Categorie

GDPR: a quali dati, a quali attività e a che tipo di trattamenti si applica

Per un approccio corretto al GDPR per prima cosa è necessario chiarire a quali dati, a quali attività ed a che tipo di trattamenti deve essere applicata la normativa.

Per prima cosa possiamo dire che la nozione di dato personale contenuta nal Regolamento Europeo non è molto diversa da quella del Codice della Privacy: il GDPR definisce quindi dato personale "qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»)", con l'ulteriore precisazione che "si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale" (art. 4 GDPR).

La norma quindi si applica ogni qualvolta ci si appresti a trattare dati personali (anche quelli comuni) e non solo in caso di trattamento di dati sensibili (o giudiziari). Questa precisazione ci sembra rilevante soprattutto sulla base dell'esperienza già fatta con il vecchio Codice della Privacy e di quanto rilevato sul campo; non era raro incontrare titolari o responsabili con la convinzione che "tanto noi non trattiamo dati sensibili".

Inoltre è importante notare che la protezione di cui parla il GDPR è rivolta esclusivamente alle persone fisiche, indipendentemente dalla nazionalità o dal luogo di residenza, e non alle persone giuridiche (questo, peraltro, in continuità con quanto già previsto dal Codice della Privacy).

Ma come sono classificati i dati? La prima classificazione li suddivide in:

1. Personale
2. Particolare

Biometrico
• Genetico
• Salute
• Altro
[dati personali che rivelino l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, dati relativi alla vita sessuale o all'orientamento sessuale della persona.]
3. Relativo a condanne e reati

In questa sede vale la pena sottolineare ancora le limitazioni al trattamento espressamente previste nel nuovo Regolamento:
a) È vietato trattare dati personali che rivelino l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona. [Art.9]
b) Il trattamento dei dati personali relativi alle condanne penali e ai reati o a connesse misure di sicurezza sulla base dell'articolo 6, paragrafo 1, deve avvenire soltanto sotto il controllo dell'autorità pubblica o se il trattamento è autorizzato dal diritto dell'Unione o degli Stati membri deve prevedere garanzie appropriate per i diritti e le libertà degli interessati. Un eventuale registro completo delle condanne penali deve essere tenuto soltanto sotto il controllo dell'autorità pubblica.

Una seconda cosa che riveste una importanza fondamentale riguarda la definizione delle tipologie di attività rilevanti per la nuova normativa: la disciplina introdotta dal Regolamento andrà applicata a tutti i casi di trattamenti di dati personali interamente o parzialmente automatizzati, nonché ai trattamenti manuali che abbiano ad oggetto dati personali contenuti o destinati ad essere contenuti in archivi.

Al fine di superare alcuni limiti della precedente normativa, uno degli obiettivi del legislatore è stato quello di creare una impalcatura giuridica che possa affrontare le evoluzioni tecnologiche a cui andremo incontro nel corso del tempo. Si tratta di un approccio neutrale che tiene conto di un mondo, quello della tecnologia appunto, in evoluzione continua e, per questo, difficile da controllare. Si è voluto, in questo modo, fare in modo che l'applicazione del Regolamento non dipenda dalle tecniche utilizzate nelle operazioni di trattamento.

A parziale deroga di quanto affermato sopra, il GDPR prevede delle escusioni, in particolare:

  • attività che non rientrano nell'ambito di applicazione del diritto europeo;
  • attività riguardanti la politica estera e la sicurezza comune dell'UE (disciplinate dal Trattato sull'Unione Europea);
  • attività di autorità pubbliche, volte alla prevenzione, indagine, perseguimento di reati ed esecuzione di sanzioni penali (incluse misure di salvaguardia per la sicurezza pubblica), per salvaguardare l'indipendenza della magistratura ed evitare ingerenze da parte delle autorità di controllo in settori particolarmente delicati;
  • attività a carattere esclusivamente personale e domestico da parte di persone fisiche, senza connessioni con attività commerciali o professionali: ad esempio uso dei social network e simili attività online, sempre per fini personali.

L'area "Regolamento Europeo Privacy" mette a tua disposizione una serie di approfondimenti su tutti gli aspetti della normativa per accompagnarti, con una serie di articoli, guide ed infografiche, fino al 25 maggio 2018 quando sarà definitivamente applicabile in tutti gli stati membri dell’Unione Europea il nuovo Regolamento.

Non perdere gli aggiornamenti: Iscriviti alla Newsletter dedicata!

ISCRIVITI ALLA NEWLETTER DEDICATA

Vuoi rivolgere ai nostri esperti le tue domande o esporre i tuoi dubbi? 
Inviaci la tua domanda cliccando sul bottone qui sotto: ti risponderemo!

RICHIEDI MAGGIORI INFORMAZIONI

Oppure inserisci un commento e condividi le tue riflessioni e le tue domande con gli altri utenti del blog.

Inserisci un nuovo commento

Ultime news

Tags

Informatore Informatico - Blog di In.Ser.T. srl in collaborazione con Martinelli spa e Pc Copia srl - Design by: In.Ser.T srl - Copyright 2016 - Privacy Policy

info@informatoreinformatico.it