News

GDPR Privacy

Road To GDPR Compliance: le categorie di dati personali

In questo nuovo articolo della nostra serie “Road to GDPR Compliance”, che analizza concetti e principi fondanti della protezione dei dati personali per fornire utili approfondimenti, ci chiediamo: che cos’è un dato personale e quali categorie esistono? 

Per dato personale (ai sensi dell’art. 4 GDPR) si intende: 

«qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale». 

 Emergono, subito, alcuni concetti fondamentali rispetto alla nozione di dato personale: 

  • Informazione; 
  • Persona fisica; 
  • Il rapporto tra le due precedenti (informazione-persona fisica); 
  • L’identificazione o identificabilità. 

Per quanto concerne il primo elemento, l’informazione, questa deve essere intesa quale rappresentazione di persone, fatti o cose. L’estensione è volutamente ampia e viene rafforzata (riprendendo il testo dell’articolo sopra riportato) dalla parola “qualsiasi” utilizzata quale incipit della definizione. Peraltro, stando a quanto stabilito dal Gruppo di lavoro ex art. 29 (“WP29”) nell’opinion 4/2007: non è necessario che l’informazione sia “vera o dimostrata” affinché quest’ultima sia considerabile quale dato personale. 

Successivamente, la persona cui sono riferite le informazioni, affinché siano considerabili dati personali, deve essere una persona fisica. I dati societari delle persone giuridiche non sono infatti considerati come dati personali e non sono disciplinati dal GDPR. 

Il rapporto tra l’informazione e la persona fisica è la chiave per l’applicabilità del GDPR. L’informazione deve, infatti, riguardare una persona fisica. 

Infine, i concetti di “identificazione” e “identificabilità” svolgono un ruolo centrale nell’applicazione delle disposizioni di cui al GDPR.  Si tratta, in questo caso, di un attributo che permetta di correlare l’informazione alla persona fisica. Attenzione, però, l’identificazione può essere anche solo indiretta. Per esempio, il Garante Privacy ha stabilito che l’indirizzo IP, cioè quell’indirizzo univoco che identifica un dispositivo su Internet o in una rete locale è a tutti gli effetti un dato personale. In alcuni casi però tale informazione potrebbe identificare solo indirettamente una persona fisica specifica: pensate al caso di un PC Desktop che viene utilizzato da un intero nucleo familiare all’interno delle mura domestiche.  

Ancora una volta, quindi, comprendiamo quanto sia ampia la definizione di dato personale che ritroviamo all’interno del Regolamento europeo.  

Quali sono le categorie di dati personali?

Nel quadro dettato dal GDPR si parla espressamente solo delle “categorie particolari di dati personali” e dei “dati relativi a condanne penali e reati”. 

A queste due categorie, la dottrina ha aggiunto l’espressione “dati comuni” per indicare tutti quei dati che non rientrano nelle due categorie menzionate direttamente dal GDPR. 

Ma andiamo con ordine. 

Si parla di “dati comuni” per indicare i dati di utilizzo più diffuso. Per fare alcuni esempi di dati personali appartenenti a tale categoria: 

  • dati che permettono l’identificazione diretta: es. dati anagrafici (nome, cognome), immagini, ecc;
  • dati che permettono l’identificazione indiretta: es. un numero di identificazione (codice fiscale, lo stesso indirizzo IP o il numero di targa). 

Rientrano, invece, nelle “categorie particolari di dati personali”: 

  • Dati che rivelano l’origine razziale od etnica; 
  • Dati che rivelano le convinzioni religiose; 
  • Dati che rivelano le opinioni filosofiche; 
  • Dati che rivelano le opinioni politiche; 
  • Dati che rivelano l’appartenenza sindacale; 
  • Dati relativi alla salute o alla vita sessuale; 
  • Dati genetici o dati biometrici. 

Infine, i dati appartenenti a condanne penali e reati sono i c.d. ”dati giudiziari“, che possono rivelare l’esistenza di determinati provvedimenti giudiziari soggetti ad iscrizione nel casellario giudiziale o la qualità di imputato o di indagato. 

Esempi di dati relativi a condanne penali e reati sono:  

  • Casellario giudiziale; 
  • Carichi pendenti; 
  • Sentenze; 
  • Condanne;
  • Sequestri e/o confische. 

In verità, la distinzione tra dati comuni e dati particolari o giudiziari non è sempre così semplice da identificare come può sembrare da questo elenco: un e-commerce che tiene traccia degli acquisti effettuati dai singoli clienti potrebbe rappresentare, in linea generale, un trattamento di dati comuni; ma se a farlo è una farmacia che vende anche online alcuni dei suoi farmaci, a quel punto potremo ricavare alcune patologie dei Clienti sulla base degli acquisti effettuati, con ciò ricadendo nel trattamento di dati particolari relativi alla loro salute.   

La Commissione Europea, dopo il GDPR del 2016, ha proposto una serie di nuovi Regolamenti in ambito digital, fra cui l'imminente AI Act.

Che cosa si intende per trattamento?

Riprendendo il contenuto dell’art. 4 del GDPR, un trattamento è «qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione». 

Anche la definizione di trattamento è molto ampia e copre sia singole operazioni elementari effettuate sui dati, sia un insieme di operazioni elementari. 

Occorre, quindi, rilevare come debba considerarsi un “trattamento di dati personali” qualsiasi attività svolta sui dati personali, anche di tipo non trasformativo, come un mero accesso, la mera consultazione o la mera attività di osservazione di un’immagine. 

A proposito di trattamento, molto spesso si discute sulla effettiva utilizzabilità dei dati personali reperibili online, magari sui social network o sulle piattaforme anche di stampo professionale. 

Questi dati, vengono considerati molto preziosi, ma bisogna prestare molta attenzione. Ad esempio… 

Esempio: posso inviare comunicazioni commerciali ad indirizzi e-mail che trovo su internet?

Una delle pratiche più diffuse è quella di inviare comunicazioni commerciali a destinatari i cui indirizzi e-mail sono disponibili pubblicamente su internet. 

Tale pratica non è da considerarsi lecita o ammissibile. 

Anche l’Autorità Garante per la protezione dei dati personali si è espressa in merito, sottolineando come i dati disponibili online, non possono essere utilizzati. 

Se si desidera inviare e-mail commerciali, ti consigliamo di seguire i seguenti suggerimenti: 

  • assicurarsi di avere ottenuto il consenso esplicito del destinatario prima di inviare comunicazioni commerciali (a meno che non si rientri nell’ipotesi del legittimo interesse, ma non può essere certamente il caso di un indirizzo mail reperito online). 
  • offrire sempre un’opzione di opt-out per consentire ai destinatari di annullare l’iscrizione alla newsletter in qualsiasi momento. 
  • evitare di utilizzare pratiche ingannevoli o false dichiarazioni nelle e-mail e fornire contenuti sempre arricchenti per il destinatario, magari con una frequenza moderata per evitare che questi percepisca la comunicazione come spam.
  • Inserire un link alla privacy policy che includa questo specifico trattamento per informare l’interessato secondo i requisiti richiesti dalla normativa.

E così abbiamo concluso anche il secondo articolo della collana Road To GDPR Compliance. Nel caso non l’avessi letto QUI trovi invece l’articolo iniziale su accountability e risk based approach, vale a dire due tra i principi fondanti della normativa privacy europea.

Articoli correlati

Garante Privacy e metadati posta elettronica dei dipendenti
Verso un futuro cookieless
Tutte le news