Ai sensi del GDPR, i dati personali sono definiti come qualsiasi informazione identificabile su una persona. Ciò può includere informazioni come il nome di una persona, l’indirizzo, l’indirizzo e-mail, l’indirizzo IP, i dati biometrici e altro ancora.
Il GDPR è la legislazione sulla protezione dei dati di più ampia portata al mondo. Disciplina la raccolta, l’archiviazione e la distruzione dei dati personali per tutti i cittadini dell’UE. Non sono esenti nemmeno le organizzazioni situate geograficamente al di fuori dell’UE. Questo regolamento generale copre tutti i dati personali dei cittadini dell’UE.
C’è solo un’area di confusione: cosa sono esattamente i dati personali? E cosa copre il GDPR?
Dopotutto, il mancato ottenimento del consenso esplicito per la raccolta dei dati personali ti renderà non conforme al GDPR. Ciò può portare a multe di decine di milioni.
Qui tratteremo l’esatta definizione di dati personali ai sensi del GDPR. Forniremo alcuni esempi e discuteremo le implicazioni di questa definizione.
Cosa sono i dati personali?
Secondo il GDPR, i dati personali sono definiti come:
“Per ‘dati personali’ si intende qualsiasi informazione relativa a una persona fisica identificata o identificabile (‘interessato’).
Se questo suona vago, è perché lo è.
Il GDPR non specifica con precisione cosa si intende per dato personale. Non esiste un elenco definitivo. Si tratta di una questione puramente speculativa, basata sull’interpretazione del GDPR.
Il regolamento chiarisce inoltre che è applicabile solo quando un individuo può essere identificato, direttamente o indirettamente, “con riferimento a un identificatore come un nome, un numero di identificazione, dati relativi all’ubicazione, un identificatore online o a uno o più fattori specifici dell’identità fisica, fisiologica, genetica, mentale, economica, culturale o sociale di tale persona fisica”.
Essenzialmente, tutto su di loro. Presumibilmente, la legislazione è stata scritta intenzionalmente in modo vago per includere l’intera gamma di dati personali che potrebbero essere raccolti. Ma rende altamente possibile la non conformità al GDPR.
Esempi di dati personali ai sensi del GDPR
Capire quando e dove qualcosa è considerato un dato personale è complicato. Per aiutarti, ecco cinque potenziali scenari. Riuscite a indovinare quali sono i dati personali per ciascuno di essi?
1. Possiedi un salone per cani e vuoi espanderti online. L’utente crea un sito Web che raccoglie informazioni sugli indirizzi IP e sugli identificatori dei cookie. Mantieni anche un forum in cui le persone parlano di tutto ciò che riguarda i cani: il loro account è collegato alla razza di cane che possiedono.
Risposta: In questo caso, i cookie sono sicuramente dati personali. Al contrario, la razza canina potrebbe non esserlo, in quanto non può essere utilizzata per identificare la persona in questione.
2. Gestisci un sito web di forum in cui le persone discutono in modo anonimo della loro politica locale. Non vengono fornite informazioni sulla località, il nome, l’età o la professione di una persona. Sono elencate solo le loro opinioni politiche.
Risposta: Anche se le opinioni politiche sono espresse in forma anonima, sono comunque considerate dati personali. Pertanto, sono soggetti al GDPR.
3. Lavori per una società di sondaggi online. Nell’ambito della tua indagine, raccogli informazioni anonime sulle scelte di acquisto delle persone. Le scelte di acquisto sono conservate in un database e utilizzate per valutare le tendenze pubbliche.
Risposta: Poiché le informazioni sull’acquisto sono già anonime, il GDPR non è rilevante in questo caso. Il consenso dovrà comunque essere raccolto inizialmente. In seguito, però, non è necessaria alcuna ulteriore conformità al GDPR, a condizione che non vengano raccolte ulteriori informazioni.
4. Crei un’app che consenta agli utenti di chattare con le persone nelle loro immediate vicinanze. L’app raccoglie i dati sulla posizione e memorizza la conversazione anche dopo che una persona ha eliminato l’app.
Risposta: I dati sulla posizione, il contenuto della conversazione e qualsiasi altra informazione relativa al loro account sono tutti coperti dal GDPR. Ciò significa che il consenso e il rispetto sono essenziali. Tuttavia, il GDPR specifica anche che i dati personali devono essere conservati solo per il tempo necessario. Pertanto, potresti non essere conforme al GDPR se conservi i dati molto tempo dopo che qualcuno ha eliminato l’app.
5. Crei un sito Web che consenta alle persone di trasformare le foto dei loro volti. Il sito Web ti consente di caricare la foto e quindi di scaricare l’immagine finale. Tuttavia, se l’utente fa clic sulla pagina, il sito Web non ricorda le immagini caricate in precedenza.
Risposta: In circostanze normali, una foto è considerata un dato personale. In questa occasione, però, poiché la foto viene automaticamente cancellata, allora il proprietario del sito non è regolamentato dal GDPR. Il GDPR riguarderebbe solo le informazioni raccolte come i cookie.
In che modo le organizzazioni possono gestire i dati personali
Seguendo il GDPR, è fondamentale che le organizzazioni gestiscano i dati personali con diligenza e cura. Le violazioni del GDPR possono comportare multe salate o addirittura azioni legali.
Ci sono due modi per evitare che ciò accada:
- Anonimizzazione
- Pseudonimizzazione
L’anonimizzazione è ampiamente compresa da tutti. In questo caso, tutti i dati personali vengono rimossi o crittografati per impedire una facile identificazione delle persone coinvolte. La crittografia è particolarmente utile, in quanto consente di sostituire i dati personali con altri dati.
Ciò consente di trasferire o utilizzare facilmente i dati personali senza preoccuparsi dell’impatto di una violazione dei dati.
La pseudonimizzazione funziona in modo simile. Consente di sostituire i dati personali con “identificatori artificiali”. Ciò consente alle aziende di analizzare i dati raccolti senza rischiare una violazione dei dati e rimane entro i parametri del consenso dell’utente.
Ecco alcuni esempi di pseudonimizzazione:
- Un nome utente su un forum online (invece del suo nome legale)
- Un’azienda che analizza gli acquisti degli utenti genera in modo casuale pseudonimi e dati di indirizzi falsi
- In uno studio clinico, a un soggetto viene assegnato un “numero di studio” al posto del suo nome
Conclusione
Questa è la nostra analisi completa di ciò che è considerato dati personali ai sensi del GDPR. Se gestisci un’attività online o raccogli abitualmente dati personali, probabilmente sarai interessato dal GDPR. Pertanto, è importante essere consapevoli della legislazione pertinente e di come rimanere conformi.
Se ritieni di essere interessato dal GDPR, ti consigliamo vivamente di leggere il regolamento di 88 pagine stesso.
Fonti:
https://www.ucl.ac.uk/data-protection/guidance-staff-students-and-researchers/practical-data-protection-guidance-notices/anonymisation-and#Pseudonymisation
https://www.gdpreu.org/the-regulation/key-concepts/personal-data/
https://www.british-assessment.co.uk/insights/what-is-personal-data-under-gdpr/
https://www.itgovernance.eu/blog/en/the-gdpr-what-exactly-is-personal-data
https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/what-is-personal-data/what-is-personal-data/
https://www.investopedia.com/terms/g/general-data-protection-regulation-gdpr.asp