GDPR: alcune nozioni base – Parte I

Il 25 Maggio 2018 diventa applicativo il Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 Aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, meglio conosciuto nell’ambiente con l’acronimo GDPR.

Con l’evoluzione tecnologica i dati acquistano un valore in sé e vengono tutelati per ciò che sono.

Oggi giorno i dati sono la materia prima della nuova economia basata sulla conoscenza e sull’elaborazione delle informazioni.

I dati vengono quindi considerati un motore per lo sviluppo, l’essenza per fatturare.

Il GDPR (General Data Protection Regulation) si applica ad ogni trattamento di dati personali di persone fisiche (automatizzato, semi automatizzato o non automatizzato); ciò significa che ogni supporto in cui siano contenuti dei dati personali è sottoposto al regolamento (tutti parlano di GDPR in ottica di siti web e di database ma in realtà le multe possono arrivare anche per pagine stampate o per post-it attaccati alle nostre scrivanie).

Si applica inoltre a tutte le aziende che hanno una sede in Europa o che hanno a che fare con cittadini Europei ovunque avvenga il trattamento: ad esempio un hotel in Egitto che ha clienti Italiani è sottoposto al regolamento.

Lo scopo principale del GDPR è quindi quello di difendere e tutelare i diritti dell’interessato.

Si tratta quindi di un diritto alla riservatezza che non dipende da alcuna norma, ma dalla personale volontà del singolo di non rivelare informazioni relative alla sua vita privata.

Definizioni GDPR

La definizione presente nell’articolo 4 stabilisce l’oggetto del regolamento:

Dato personale: qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato“).

Si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale;

Trattamento: qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione.

Un dato personale dunque può essere rappresentato, ad esempio, da:

• voce,
• immagini,
• filmati,
• fotografie,
• numero di telefono,
• codice fiscale,
• targa automobilistica,
• impronta digitale,
• ore di servizio prestate,
• informazioni sulle condizioni patrimoniali,
• IP,
• cookies,
• dati di geolocalizzazione, ecc.

Tutto quello quindi che potrebbe essere univocamente riconducibile ad una persona fisica è un dato personale anche se di questa persona non conosciamo il nome.

Rientrano dunque in questo contesto e richiedono quindi un consenso esplicito:

• dati Identificativi: consentono l’identificazione diretta dell’interessato come nome, cognome, data di nascita, numero di telefono, codice fiscale, il numero di conto corrente e tutte quelle informazioni che permettono di sapere quando, con chi e per quanto tempo ci si è collegati in rete;
• altre categorie particolari di dati personali: origine razziale, opinioni politiche, convinzioni religiose o filosofiche, dati genetici, dati biometrici, dati sulla salute, orientamento sessuale, dati penali o su reati.

Il Consenso

Il consenso ad un certo trattamento che fino ad oggi poteva anche essere tacito diventa obbligatoriamente esplicito.

In ogni istante il cittadino potrà verificare come questo viene applicato ed eventualmente revocarlo in modo semplice.

Secondo il nuovo regolamento:

“il consenso dovrebbe essere espresso mediante un’azione positiva inequivocabile con la quale l’interessato manifesta l’intenzione libera, specifica, informata e inequivocabile di accettare che i dati personali che lo riguardano siano oggetto di trattamento, ad esempio mediante dichiarazione scritta, anche elettronica, o orale”.

Il consenso può anche essere manifestato attraverso azioni positive, cioè attività che consentono di concludere che la persona fisica acconsente al trattamento dei suoi dati (es: banner cookie che comunica che se continuiamo a navigare vengono installati determinati cookies).

GDPR e Profilazione

Con il GDPR cambia anche la visione relativa alla profilazione dell’utente che non sarà più sufficiente, nel caso di questioni che hanno effetti giuridici, a deciderne una soluzione.

L’art. 4 del definisce profilazione:

“qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi ad una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica.”

L’attività di profilazione è un’attività:

• definita;
• automatizzata;
• che consiste nell’attribuire a persone, in un database, un profilo comune (il trattamento dei dati per queste persone comporta azioni automatiche con rilevanza giuridica).

La profilazione viene quindi vista come un’attività tecnica basata su software attraverso la quale si compie una discriminazione tra le persone che vengono così differenziate in base a specifiche caratteristiche.

Chiunque voglia fare profilazione deve indicarlo in maniera esplicita e specifica nella normativa, ed il consenso per la profilazione deve essere espresso.

Nel caso di marketing diretto l’interessato avrà sempre diritto di opporsi alle attività di profilazione.

Questi sono solo alcuni concetti base legati al nuovo Regolamento, per ulteriori informazioni aspetta di leggere l’articolo GDPR alcune nozioni base-parte II 😉