I dati personali sono al centro del Regolamento generale sulla protezione dei dati (GDPR), ma molte persone non sanno ancora esattamente di cosa significa“dati personali”. Non esiste un documento definitivo di ciò che è o non è un dato personale, quindi rimane aperta la corretta interpretazione della definizione data dal GDPR: “dato personale” = qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”)” Art. 4. In altre parole, qualsiasi informazione che riguarda chiaramente una determinata persona.

QUINDI A COSA È APPLICABILE? IL GDPR SPECIFICA:

“Si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale” Art. 4.

DATI PERSONALI E CONTESTO DI RACCOLTA

In determinate circostanze, l’indirizzo IP, il colore degli occhi, il lavoro o le opinioni politiche di qualcuno potrebbero essere considerate dati personali tutelati dal GDPR.
L’espressione “determinate circostanze” è alla base della questione, perché le informazioni sono considerate dati personali in base al contesto in cui i dati vengono raccolti. Le aziende solitamente raccolgono una moltitudine di informazioni diverse sulle persone, e anche se un dato da solo non può identificare la persona, potrebbe diventare rilevante se messo insieme ad altri dati.
Facciamo un esempio. Un’azienda raccoglie informazioni su persone che scaricano contenuti dal proprio sito web e chiede loro di indicare la loro occupazione. Questo caso non rientra nel campo di applicazione dei dati personali del GDPR, poiché, con tutta probabilità, molte persone hanno la stessa occupazione. Allo stesso modo, un’azienda potrebbe chiedere alle persone il nome del loro datore di lavoro. A meno che l’azienda abbia un solo dipendente quest’informazione non può essere utilizzata per identificare qualcuno.

Rimane il fatto che se le informazioni vengono raccolte insieme, con esse si potrebbe limitare il numero di persone a tal punto da poter stabilire l’identità di qualcuno. Ma non succede sempre. Ad esempio, sapere che qualcuno è un avvocato non limita molto il campo. In questo caso, i dati dovrebbero essere intersecati con ulteriori informazioni, come il nome della persona.

PER IL GDPR IL NOME PROPRIO DI PERSONA È DATO PERSONALE?

Non c’è nulla di scontato nella determinazione di questa domanda. In teoria il nome di Mario Rossi potrebbe non essere un dato personale perché ci sono molte persone con quel nome. Tuttavia, se il nome è inserito in un contesto con altre informazioni come l’indirizzo, un numero del cellulare o altri dati comuni, potrebbe risultare facile identificare la persona in modo inequivocabile. D’altro canto, a volte non serve nemmeno il nome per identificare qualcuno. Semplicemente perché non conosci il nome di una persona non significa che non la puoi identificare. Se lavori in una grande azienda magari non conosci i nomi di tutti colleghi, ma sei in grado di identificarli.

QUALI SONO I DATI CONSIDERATI “PERSONALI” DAL GDPR?

Il regolamento non specifica con certezza un elenco di informazioni sui dati personali.
Dovremmo comunque attenerci ad una lista di informazioni) che possono essere considerate senz’altro dati personali, sia prese singolarmente che in combinazione tra loro:

•  Dati biografici passati o attuali, come data di nascita, codici personali, numero di telefono ed indirizzo email.
•  Aspetto fisico e comportamento, come colore degli occhi, corporatura e tratti del carattere.
•  Dati relativi al posto di lavoro e informazioni sull’istruzione, come inquadramento, informazioni fiscali o pagelle scolastiche.
•  Dati privati e soggettivi, come scelte religiose, posizioni politiche e dati di geo-localizzazione.
•  Salute, malattia e dati genetici, tra cui anamnesi ed informazioni sui congedi per malattia.

COME GESTIRE I DATI PERSONALI

Per conformarsi al GDPR le aziende devono gestire in modo corretto tutti i dati personali delle persone. Ci sono delle azioni precise da prendere perché la sola volontà di cambiare l’atteggiamento non basta.
AnyLink Group ti può affiancare per riconoscere le tue criticità e consigliarti sulle possibili soluzioni. Attraverso un rapido assessment viene reso evidente lo status quo della tua azienda e ti vengono esposti le alternative più adeguate a portarti velocemente verso la compliance al GDPR. I nostri esperti ti spiegheranno le procedure, le certificazioni e le soluzioni tecnologiche per garantire che tu possa occuparti in tranquillità del tuo business mantenendo una posizione corretta verso le persone che entrano in contatto con te.

Se hai domande o vuoi approfondire l’argomento con un nostro consulente, non esitare a contattarci, ti informiamo senza impegno e velocemente! Contattaci.
Le soluzioni AnyLink Group per GDPR e formazione rientrano nelle categorie idonee ad usufruire degli incentivi statali previsti dalla Finanziaria 2019.