Dall’entrata in vigore del Regolamento UE 2016/679, anche denominato GDPR, il termine “dati personali” è molto diffuso e a volte frainteso. Ma cosa significa esattamente?
Alla luce dell’applicazione del Regolamento Europeo, è importante interpretare in modo corretto il concetto di dato personale.
In questo articolo vediamo cosa significa “dati personali” secondo il GDPR e il Garante della Privacy e come individuarli correttamente.
Perché è importante il significato di “Dato Personale”?
Senza una chiara definizione di dato personale le leggi in materia risulterebbero confuse, compromettendo la legittimità dei trattamenti e il diritto alla privacy degli interessati (in questo caso, i cittadini dell’Unione Europea).
È essenziale perciò conoscere la definizione assegnata ai dati personali, in modo da sapere come tutelarsi e riconoscere le situazioni in cui questi sono a rischio.
Definizione di Dato Personale nel GDPR
Nell’art. 4, paragrafo 1, del Regolamento UE 2016/679 – e nella precedente Direttiva 95/46/CE – il concetto di dato personale viene definito come segue:
“Qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”.
La definizione si compone di quattro elementi principali:
- Qualsiasi informazione: qualsiasi tipo di informazione su una persona identificabile. Questo include sia informazioni intime che generalmente disponibili (come i dati pubblici).
- Riguardante: sono dati personali quelle informazioni che sono più o meno facilmente riconducibili ad una persona, ovvero quei casi in cui è possibile stabilire un nesso tra il dato e l’individuo.
- Persona fisica: il GDPR si applica agli esseri umani, e non è limitato ai cittadini o ai residenti di un determinato Stato. Non si applica tuttavia alle persone decedute, anche se i singoli Paesi hanno libertà di legiferare in tal senso.
- Identificata o identificabile: nel primo caso, si parla di una persona distinguibile dalle altre; nel secondo, di una persona non ancora identificata ma che può essere potenzialmente distinta dalle altre.
Il concetto di Dato Personale secondo il Garante per la Privacy
Nel provvedimento n. 200 del 7 Novembre 2019, relativo agli elaborati scritti e ai curricula vitae dei candidati ad un concorso pubblico, il Garante della Privacy ha stabilito che:
- Nel caso degli elaborati scritti: “il contenuto degli elaborati è capace di rivelare anche informazioni e convinzioni che possono rientrare nelle «categorie particolari di dati personali» di cui all’art. 9, par. 1, del Regolamento (si pensi, in particolare, a elaborati nei quali potrebbero evincersi «opinioni politiche», «convinzioni filosofiche o di altro genere»)”
- Analogamente, nel caso dei curricula: “i contenuti generalmente inseriti nel curriculum vitae sono molteplici e la relativa ostensione può consentire l’accesso, a seconda di come è redatto il cv, a numerosi dati (es.: nominativo, data e luogo di nascita, residenza, telefono, e-mail, nazionalità) e informazioni di carattere personale (es.: esperienze e competenze professionali, istruzione e formazione, competenze personali, competenze comunicative, competenze organizzative e gestionali, pubblicazioni, presentazioni, progetti, conferenze, seminari, riconoscimenti e premi, appartenenza a gruppi/associazioni, referenze, menzioni, corsi, certificazioni, ecc.), che per motivi individuali non sempre si desidera portare a conoscenza di soggetti estranei.”
Anche la Corte di Giustizia dell’Unione Europea aveva stabilito, in occasione della sentenza del 20 dicembre 2017 (causa C-434/16), che “le risposte scritte fornite da un candidato durante un esame professionale e le eventuali annotazioni dell’esaminatore relative a tali risposte costituiscono dati personali […]”.
Il Garante per la Privacy con questo provvedimento ha perciò stabilito la definizione di dati personali, confermando la posizione presa dal GDPR: informazioni e convinzioni di carattere personale il cui libero accesso a terzi, per diversi motivi, non è sempre desiderabile.
Identifica i dati personali nella tua azienda o nel tuo Studio
Alla luce dei recenti provvedimenti su scala europea, devi essere in grado di individuare correttamente i dati personali che la tua azienda o il tuo Studio si trova a gestire, in modo da trattarli con la dovuta attenzione e proteggerli da minacce esterne. Tra queste, non vanno sottovalutate le crescenti minacce informatiche.
Noi di Alavie possiamo aiutarti ad affrontare al meglio questo tipo di situazioni. Contattaci per maggiori informazioni!
Scopri i nostri servizi in materia di GDPR e Privacy
Gestione degli obblighi previsti dal GDPR Privacy per la protezione dei dati e del business di Professionisti e aziende, formazione e adozione di misure adeguate di Data Protection e Cybersecurity.
SCOPRI DI PIÙ
