Le definizioni del GDPR
Per fare chiarezza sul GDPR (Regolamento Europeo 679/2016) sulla protezione dei dati personali, e comprenderne l’importanza, è opportuno soffermarsi su alcune tra le più importanti definizioni che vengono date all’art. 4 per chiarirle. La norma prescrive che le definizioni sono previste “ai fini del presente regolamento.”
Per dato personale si intende ogni informazione relativa ad una persona fisica identificata o identificabile (l’Interessato, sempre ai fini del regolamento) vale a dire colui che è identificabile direttamente o indirettamente mediante elementi quali il nome, un numero di identificazione, i dati relativi all’ubicazione, l’identificativo online ovvero uno o più elementi caratterizzanti la sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale. In sintesi ciascun dato riferibile alla persona, ivi comprese le sue preferenze nella navigazione, i click sui social e le scelte di vita quali quelle alimentari, religiose, sessuali e così via. Un’ampia gamma di elementi.
Il trattamento ai fini del GDPR consiste in tutte le operazioni compiute anche mediante processi automatizzati applicate a dati personali quali la loro raccolta, l’organizzazione, la conservazione, la modifica, la consultazione, l’uso nonché la loro comunicazione con qualsiasi forma o mezzo di trasmissione o di messa a disposizione, fino alla cancellazione e distruzione.
Particolare aspetto assume, nell’era digitale, caratterizzata dall’e-commerce, la profilazione, attività indispensabile specialmente per le aziende che operano in rete per conoscere i propri clienti e poter sottoporre le proposte migliori, cioè quelle con maggiori possibilità di essere accolte. Questa operazione, ormai demandata agli algoritmi, si sostanzia in qualsiasi forma di trattamento automatizzata per valutare gli aspetti personali relativi a una persona fisica, quali analizzare o prevedere le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti. Precisiamo che per questa forma di trattamento il Titolare deve ottenere, come del resto per tutte le altre, un espresso specifico consenso.
Il Titolare del trattamento è la persona fisica o giuridica, ovvero l’autorità che determina le finalità e i mezzi del trattamento di dati personali. In sostanza è la persona, l’azienda o l’ente che detiene i dati dell’Interessato e, in quanto tale, su di lui incombono gli obblighi di protezione, conservazione e quant’altro dei dati. Logico che su questa figura incombe anche l’obbligo di predisporre la disciplina della loro raccolta, conservazione, protezione e così via fino alla distruzione dei dati.
Figura diversa dal Titolare è quella del responsabile del trattamento, cioè la persona fisica o giuridica che tratta dati personali per conto del titolare del trattamento. In un’azienda potrebbe essere un commercialista o un consulente del lavoro, non organico alla struttura, e che per conto della stessa maneggia i dati di dipendenti, clienti, fornitori per gli scopi del suo lavoro.
Fondamentale è il consenso dell’interessato. Laddove la base per il trattamento dati non sia un obbligo di legge o altra previsione, per poter disporre dei dati di un cliente o anche solo di un navigatore di internet che chiede un preventivo, il Titolare dovrà ottenere una manifestazione di volontà libera, specifica, informata e inequivocabile da parte dell’interessato, con cui manifesti l’assenso al mediante una dichiarazione o azione positiva inequivocabile. Niente silenzio assenso quindi, per nessuna ipotesi e via ad informative precise, esaustive, chiare ed inequivocabili.
Il Data Breach, o violazione dei dati personali, consiste in qualsiasi evento che violi la sicurezza dei dati, sia che ciò avvenga accidentalmente o in modo illecito. Distruzione, perdita, modifica, divulgazione non autorizzata o accesso ai dati trattati da terzi, configurano Data Breach che deve essere segnalato senza indugio, e comunque entro settantadue ore dalla sua conoscenza, al Garante.
Ultime voci di questa rapida, e non esaustiva carrellata, sono i dati genetici, quelli cioè relativi a caratteristiche genetiche ereditarie o acquisite della persona e che forniscono informazioni univoche sulla fisiologia o sulla salute di detta persona fisica, compresi quelli che risultano anche dall’analisi di un campione biologico della persona fisica in questione e i dati biometrici, vale a dire i dati personali ottenuti mediante un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici.
Avv. Gianni Dell’Aiuto – Consulente privacy e DPO