Skip to main content

Cosa costituiscono i dati personali (GDPR)?

    Il GDPR è costruito intorno alla protezione dei dati personali dei cittadini e dei residenti dell'UE. Capire cosa significa permetterà alla tua azienda di gestire i requisiti del GDPR. Infatti, il GDPR si applica solo ai dati personali. Ma cosa sono esattamente i dati personali? L'ampiezza di questa categoria potrebbe sorprenderti! In questo articolo, ti aiuteremo a determinare quali dei tuoi dati ricadono sotto i regolamenti del GDPR, sperando di impedirti di cancellare informazioni utili inutilmente.

    Spiegheremo anche la differenza tra dati personali e dati personali sensibili - una distinzione chiave secondo il GDPR, con implicazioni per come vengono raccolti, memorizzati e trattati.

    Cosa sono esattamente i dati personali?

    Sfortunatamente, il GDPR non include una lista completa di ciò che considera dati personali. Il regolamento afferma che i dati personali sono "qualsiasi informazione relativa a una persona fisica identificabile".

    Per i profani, questo significa qualsiasi informazione che può essere utilizzata - da sola o in combinazione con altre informazioni - per identificare un soggetto vivente dei dati. I dati personali possono essere qualcosa di ovvio, come un nome o un nome utente, o possono essere qualcosa di meno evidente come i filmati delle telecamere a circuito chiuso.

    Questo perché tali dati possono essere usati per confermare la vostra presenza fisica da qualche parte. Include anche i dati di localizzazione del telefono, gli indirizzi IP e i dati dei cookie, così come gli indirizzi e-mail e di casa.

    Tuttavia, è importante ricordare che queste cose da sole non costituiscono necessariamente dati personali, come definito dalle norme GDPR - tutto dipende dalla circostanza specifica.

    Cosa c'entra la circostanza?

    Prendiamo il nome di qualcuno, per esempio.

    Si potrebbe supporre che questo sarebbe sempre classificato come dato personale ai sensi del GDPR, ma vi sbagliereste. Dato che ci sono 48.532 John Smiths negli Stati Uniti, questo nome da solo non può essere usato per identificare una specifica persona individuale(US Census Bureau). In confronto, è probabilmente sicuro dire che il figlio di Elon Musk è l'unica persona sul pianeta chiamata X Æ A-12 Musk (per il momento).

    È quindi ovvio che il GDPR considererebbe il suo nome come un dato personale, dato che questa informazione è sufficiente da sola per azzerare la sua identità individuale. Tuttavia, questo cambia se è combinato con altre informazioni in archivio. L'indirizzo e-mail johnsmith@businessx.com sarebbe considerato un dato personale, poiché indica che c'è solo un John Smith che lavora per questa particolare azienda.

    C'è qualcosa che non è considerato dato personale?

    Nella maggior parte dei casi, i dati di persone morte non sono considerati dati personali ai sensi del GDPR. Il considerando 26 afferma anche che i dati anonimi non rientrano nel regolamento GDPR. L'anonimizzazione è il processo di cancellazione di tutti gli identificatori personali dai dati. Non deve essere confusa con i dati pseudonimi o crittografati, che possono ancora essere rielaborati per identificare le persone. Tuttavia, il GDPR incoraggia attivamente la pseudonimizzazione dei dati personali perché fornisce un ulteriore livello di sicurezza per gli interessati. Questo perché i dati pseudonimizzati possono essere accessibili solo ai dipendenti autorizzati - riducendo così i rischi per la privacy delle persone che hanno dato i loro dati alle aziende.

    E i dati personali sensibili del GDPR?

    I dati personali sensibili - o "dati di categoria speciale" nel gergo ufficiale dell' articolo 9 - sono stati evidenziati dal GDPR come qualcosa che deve essere gestito con maggiore sicurezza. Ecco tutti gli esempi di dati personali sensibili:

    • Origine razziale o etnica
    • Opinioni politiche
    • Credenze religiose o filosofiche
    • Appartenenza a un sindacato
    • Fedina penale
    • Dati classificati
    • Dati genetici
    • Dati finanziari
    • Dati biometrici
    • Dati sulla salute
    • Vita sessuale o orientamento sessuale
    • Informazioni commerciali o di lavoro

    Questa distinzione tra dati personali e dati personali sensibili è importante. Secondo il GDPR, i dati sensibili possono essere trattati solo se soddisfano una o più delle seguenti condizioni:

    • Se la persona ha fornito un consenso esplicito o ha già reso pubblici i dati
    • Se i dati sono necessari per proteggere gli interessi degli interessati che sono fisicamente incapaci di fornire il consenso
    • Se i dati sono essenziali per soddisfare i requisiti di occupazione, sicurezza sociale o protezione sociale secondo la legge
    • Se i dati sono necessari a un'organizzazione senza scopo di lucro per svolgere attività legittime
    • Se i dati sono necessari per attività legate a un interesse pubblico sostanziale per quanto riguarda la salute o la medicina

    Sei pronto per i dati

    Speriamo che ora tu abbia un'idea migliore di quali dati personali e sensibili hai in archivio. Questo è il primo passo verso l'identificazione e la classificazione dei dati, e la garanzia che il modo in cui archivi i dati personali rispetti i diritti degli utenti internet dell'UE secondo il GDPR. Migliorare la sicurezza di queste informazioni sensibili ti proteggerà meglio anche nello sfortunato caso di una violazione dei dati - riducendo le multe che la tua azienda riceverebbe dalle autorità di protezione dei dati.

    Puoi scoprire di più sul GDPR e sulla privacy dei dati nella nostra guida completa.