Cosa sono i dati personali?

Abbiamo menzionato i dati personali quando abbiamo parlato delle persone interessate e adesso è ora di dettagliarne la terminologia. In breve i dati personali sono qualsiasi dati che svelino la tua identità, che siano unici per te. Alcuni esempi includono:

NOME COMPLETO

INDIRIZZO DI CASA

NUMERO DELLA CARTA DI CREDITO

DATA DI NASCITA

UNA FOTO

INDIRIZZO E-MAIL

PUBBLICAZIONI SULLE RETI SOCIALI E ALTRO

Persino i metadati senza un identificatore evidente sono considerati dati personali nel GDPR. È vero che alcuni di tali dati non porteranno direttamente ad una persona, ad esempio il nome completo se ne è uno molto comune, ma porteranno all’identificazione della persona se combinati ad altri – ad esempio nome insieme alla data di nascita o all’indirizzo di casa.

Sia le persone interessate che le organizzazioni che trattano i dati devono fare attenzione al modo il cui il GDPR vede tale informazioni. Le persone interessate hanno vari diritti relativi al modo in cui i loro dati personali possono essere trattati. Nel caso delle organizzazioni, la conformazione alle regole di processazione dei dati è essenziale per evitare possibili multe.

DATI PERSONALI CLASSICI

Tale categoria include i “sospetti” usuali:

NOME

INDIRIZZO DI CASA

NUMERO DI TELEFONO

DATA DI NASCITA E/O LUOGO DI NASCITA

CARTA DI IDENTITÀ

LUOGO DI LAVORO O SCUOLA

Presi separatamente, alcuni di tali dati non porteranno direttamente ad una persona fisica. Se abbiamo a che fare con un nome molto comune, ad esempio, serviranno dati addizionali per l’identificazione della persona. Lo stesso vale nel caso dell’indirizzo di casa, se più persone abitano nella stessa casa o nel caso del luogo di nascita – è molto probabile che più di una persona sia nata la stessa data e nello stesso luogo. Però se cominci a combinare due o più di tali dati, puoi identificare una persona in maniera unica. Altri dati, quali la carta di identità, il numero di telefono, il conto bancario o la carta di credito sono unici per ogni persona e porteranno alla sua identificazione.

DATI PERSONALI DIGITALI

In tale categoria includiamo:

I CONTI O LE PUBBLICAZIONI SULLE RETI SOCIALI

INDIRIZZO E-MAIL

METADATI

INDIRIZZO IP (IN CERTI CASI)

È facile comprendere perché i conti sulle reti sociali possono portare all’identificazione di una persona. Nel maggior numero di casi soltanto per creare un conto devi inserire certi dati “classici” personali, quali nome o data di nascita. Se dopo tutto questo aggiungi delle foto con te stesso, l’identificazione ne sarà facile.

Un argomento molto dibattuto è l’indirizzo IP. Il GDPR dice che gli indirizzi IP dovrebbero essere ritenuti dati personali visto che rientrano nella categoria di “identificatori online”. Ovviamente nel caso dell’indirizzo IP dinamico – che cambia ogni volta che una persona acceda ad una rete – si dibatte ancora se può portare all’identificazione di una persona. Al momento il Regolamento ritiene anche tale tipo di indirizzi IP come dati personali. La logica dietro tale decisione è relativamente semplice. Il fornitore di servizi internet ha un registro con gli indirizzi IP dinamici temporanei e sa a chi ne è stato assegnato ognuno. Il possessore di un sito web ha un registro delle pagine visitate da ogni indirizzo IP dinamico (ma non ha altri dati che portino all’identificazione della persona). Se le due informazioni sono messe insieme, il possessore del sito web potrebbe identificare la persona dietro un certo indirizzo IP. Nonostante tutto questo, le possibilità che tale scenario diventi realtà sono basse, visto che il fornitore di servizi internet deve adempire certe condizioni legali prima di poter fornire le informazioni al possessore di un sito web.

La conclusione resta che tutti gli indirizzi IP si devono ritenere dati personali per essere in conformità al GDPR.

DATI SENSIBILI

Una categoria speciale di dati sono i dati sensibili includenti adesso dati genetici e biometrici, che se vengono trattati portano all’identificazione certa di una persona. Dall’altra parte i dati relativi a reati o a condanne sono trattati separatamente, il diritto penale non rientrando sotto gli effetti del GDPR. Un altro tipo di dati non rientranti sotto gli effetti del GDPR sono i dati anonimizzati, visto che nessuna persona può essere identificata partendo da essi.