top of page
Cerca

L'ABC del GDPR: aspetti fondamentali

Aggiornamento: 9 mag 2024

In un’era caratterizzata da una crescente digitalizzazione, la tutela dei dati personali è diventata una priorità assoluta per enti e professionisti operanti all’interno dell’Unione europea. Il regolamento UE 679/2016, noto come GDPR (General Data Protection Regulation), risponde a questa esigenza introducendo norme rigorose per il trattamento dei dati personali dei cittadini europei. Questa pillola mira a delineare i principi fondamentali del GDPR, offrendo una guida chiara su si chi deve adeguare, in quali circostanze il Regolamento non si applica, e quali sono i concetti chiave da comprendere per una corretta gestione dei dati.



Chi deve adeguarsi al GDPR?

Il GDPR si applica a un’ampia gamma di soggetti, inclusi professionisti, imprenditori, associazioni e enti pubblici che gestiscono dati personali di individui nell’Unione europea, indipendentemente dalla loro ubicazione geografica. Ciò significa che l’adeguamento al GDPR è richiesto non solo alle imprese con sede nell’UE, ma anche a quelle extraeuropee che offrono beni o servizi ai cittadini dell’UE o che monitorano il loro comportamento.

Per chiarire il concetto, ecco alcuni esempi su chi deve adeguarsi al GDPR:

  • l’avvocato italiano che raccoglie e tratta i dati personali dei propri clienti;

  • l’azienda cinese che offre in vendita i propri prodotti o servizi anche sul territorio dell’UE;

  • l'azienda americana che svolge attività di profilazione delle abitudini di persone fisiche che si trovano nell’Unione europea.


Quando non si applica

Ci sono delle eccezioni disciplinate all’art. 2(2) del regolamento 679/2016. Nei seguenti casi, il Regolamento non trova applicazione:

  • trattamenti effettuati da privati per scopi esclusivamente personali o domestici;

  • trattamenti effettuati per attività che non rientrano nell’ambito di applicazione del diritto dell’Unione, come ad esempio attività riguardanti la sicurezza nazionale dei singoli Stati membri dell’UE;

  • trattamenti effettuati dalle Autorità competenti a fini di prevenzione, indagine, accertamento o perseguimento di reati o esecuzione di sanzioni penali;

  • trattamenti che riguardano solo ed esclusivamente persone giuridiche, società o enti;

  • trattamenti che riguardano persone decedute.

Per chiarire il concetto, immaginiamo una biblioteca che conserva una collezione di lettere scritte da un autore famoso, ora deceduto. Queste lettere potrebbero contenere informazioni personali sull’autore, come il suo indirizzo di casa o i dettagli della sua vita privata. Tuttavia, dal momento che l’autore è deceduto, queste informazioni non sono più considerate «dati personali».



Cosa si intende per dato personale?

Secondo l’articolo 4 (1) del regolamento 679/2016, un dato personale è una «qualsiasi informazione che identifica o rende identificabile una persona fisica». Con «identificabile» si intende una persona che può essere identificata direttamente o indirettamente, con particolare riferimento a un identificativo come il nome un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.

Per chiarire il concetto, ecco alcuni esempi di dati personali:

  • dati anagrafici (nome, cognome, data di nascita, ecc.);

  • codice fiscale;

  • indirizzo e-mail;

  • numero di telefono;

  • dati genetici;

  • dati che riguardano lo spostamento sul territorio.


Categorie di dati particolari

Nel Regolamento, oltre ai dati personali in generale, vengono disciplinate anche delle categorie particolari di dati, precedentemente noti come «dati sensibili» e «dati giudiziari». I dati particolari sono quelli che indicano:

  • l’origine razziale o etnica;

  • le opinioni politiche;

  • le convinzioni religiose o filosofiche;

  • l’appartenenza sindacale;

  • lo stato di salute;

  • la vita sessuale o l’orientamento sessuale della persona.

Mentre con dati giudiziari, si fa riferimento a quei dati che riguardano reati e condanne penali o alle misure di sicurezza ad essi correlate. 


Il divieto generale e le eccezioni nel trattamento.

Relativamente a questi dati, la regola generale prevede il divieto di trattarli, a meno che l’interessato non abbia manifestato il proprio consenso secondo l’articolo 9(2), oppure nei casi espressamente indicati secondo l’articolo 9(2):

  • trattamento necessario per tutelare un interesse vitale dell’interessato;

  • trattamento effettuato da una fondazione, associazione o altro organismo senza scopo di lucro che persegue finalità politiche, filosofiche, religiose o sindacali, a condizione che il trattamento riguardi unicamente i membri, gli ex membri o le persone che hanno regolari contatti con l’ente e sempreché i dati personali non siano comunicati all’esterno senza il consenso dell’interessato;

  • trattamento relativo a dati personali resi manifestamente pubblici dall’interessato;

  • trattamento necessario per accertare, esercitare o difendere un diritto in sede giudiziaria o ogniqualvolta le autorità giurisdizionali esercitino le loro funzioni giurisdizionali;

  • trattamento necessario per motivi di interesse pubblico;

  • trattamento necessario per finalità di medicina preventiva o di medicina del lavoro.



Cosa si intende per trattamento?

Secondo l’articolo 4(2) del Regolamento, con il termine «trattamento» si intende «qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali come: la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, la diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione».

Per chiarire il concetto, ecco qualche esempio di trattamento dati:

  • raccolta: un'azienda raccoglie informazioni personali tramite un modulo online compilato dai clienti;

  • organizzazione: un'azienda organizza i dati dei suoi dipendenti in base al dipartimento di appartenenza;

  • adattamento o modifica: un'applicazione di editing di foto permette agli utenti di adattare e modificare le proprie immagini;

  • estrazione: un'azienda estrae informazioni pertinenti dai dati dei clienti per condurre analisi di mercato;

  • consultazione: un dipendente accede al database aziendale per consultare le informazioni relative a un cliente;

  • uso: un'azienda utilizza i dati dei clienti per personalizzare le offerte promozionali;

  • diffusione o messa a disposizione: un sito web pubblica le informazioni personali di utenti registrati all'interno di un forum pubblico;





Riepilogo

In questa prima pillola alla scoperta del regolamento 679/2016, abbiamo affrontato i seguenti temi:

  • chi deve adeguarsi al GDPR;

  • quando il GDPR non trova applicazione;

  • la definizione di dato personale e la categoria dei dati particolari;

  • la definizione di trattamento dati.


Nel mondo della protezione dei dati, due figure emergono come protagonisti: il titolare, colui che gestisce il trattamento dei dati, e l’ Interessato, l’individuo a cui i dati fanno riferimento. Scopri con noi i diritti e i doveri in capo a queste figure nella nostra prossima pillola di diritto e tecnologia!

Comments

bottom of page