Tutti sappiamo cosa sono i dati personali … o forse no?

Tutti sappiamo cosa sono i dati personali … o forse no?

Quali sono e come identificarli facilmente. Perchè è così importante proteggere i  propri e quelli degli altri, quando li usiamo.
Come trattarli correttamente nella vita di tutti i giorni e al lavoro

Tutti sanno cosa sia un dato personale, oppure no? Se hai qualche dubbio relativamente a cosa sia o non sia un dato personale sei arrivato, probabilmente, nel post giusto.

Se ti poni questo quesito probabilmente non ti stupirà sapere che ogni volta che, durante una lezione o durante un convegno, chiedo ai presenti: “Secondo voi cos’è, cosa si intende, per dati personali?” non ricevo mai, o quasi, la risposta corretta.

Eppure per il GDPR il dato personale è una cosa ben precisa e definita e come vedrai se continuerai a leggere quest’articolo, abbraccia molti più aspetti di quanto solitamente  t’immagini. Come abbiamo visto nell’articolo precedente dove ci occupavamo di cosa fosse una violazione dei dati, ci viene in aiuto quello che diventerà un punto di riferimento costante in questi nostri post del “Trattamento dati per Dummies”: l’articolo 4 del GDPR.

Il nostro Regolamento ci dice che il «dato personale» è “qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale“.

scanner facciale da mobile
Image by gstudioimagen on Freepik

Come sempre, se scorrendo la definizione, che magari non avevi mai avuto modo di soffermarti a leggerre, i tuoi dubbi su cosa sia un dato personale si sono dissipati, ottimo, puoi fermarti qui. Se invece hai bisogno o voglia di conoscere qualche informazione aggiuntiva, o semplicemente sei curioso, continua e cercherò di darti qualche altro elemento per provare ad aiutarti a rispondere alla domanda iniziale: quali dati siano da considerare personali e quali no?

Una curiosità che certamente avrai notato è che all’interno della definizione di dato personale viene definito anche chi sia l’interessato. Cioè quella persona fisica o già conosciuta (identificata) o che, tramite il trattamento di quei dati personali venga identificata o sia resa identificabile. O, in termini più semplici: la persona della quale si stiano trattando i dati. Infatti, se leggiamo con attenzione scopriamo che: “si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come …”. Dunque il primo dubbio dovrebbe essere chiarito: quando si parla di interessati si parla delle persone (fisiche) a cui quei dati siano riferiti e le rendano quindi identificate o identificabili.

Faccio un piccolo excursus fuori tema [OT]: se vorrai sapere cosa si intende per “trattamento” di un dato personale, non perderti il prossimo post che pubblicherò nei prossimi giorni.

Hai notato come per comprendere cosa si intenda e cosa sia un dato personale, basterebbe fermarsi al primo capoverso della definizione? Vi si legge, infatti, che un dato personale è: qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»). Hai certamente fatto caso a come ho sottolineato il testo.  L’essenza della definizione, è presto detta: un dato personale è qualsiasi informazione che riguardi uno o più interessati.

Tu sei i tuoi dati personali
Image by rawpixel.com on Freepik

A questo punto se continuiamo a leggere la definizione troviamo l’elenco di tutti quei dati che, potendo rendere identificabile la persona o integrare il suo profilo,  vengono considerati dati personali. In estrema sintesi leggendo l’elenco qualsiasi dato vada a “far comprendere” a chi ci stiamo riferendo, o identifichi altri particolari della persona già conosciuta (identificata) è considerato un dato personale.

Leggiamo infatti, sempre continuando a scorrere la Definizione, che è un dato personale il nome e fin qui nulla di strano mi dirai. Ancora, un numero identificativo, quindi un qualsiasi codice numerico (o alfanumerico ndr) che ci identifichi, ad esempio il codice che avete sul badge o il codice fiscale. Proseguiamo e troviamo i dati relativi alla ubicazione, quindi il luogo dove la persona si trova. Un identificativo on line, che può essere ad esempio un nick name o un IP Andress o un codice ID. Andando avanti troviamo poi, uno o più elementi caratteristici della sua identità e qui la definizione si fa più precisa, definendo una serie di elementi caratteristici, elencando quello fisico, quello fisiologico, e poi quello genetico e psichico. Ma non si ferma qui. Entrano nell’elenco anche quelli economici, culturali o sociali.

Per cui, per andar nel pratico se per indicare qualcuno scrivessi: “quel comico(sociale) genovese (ubicazione del luogo d’origine) con tanti capelli ricci (fisico) che adesso si occupa di politica(sociale)” ho identificato qualcuno di specifico che la maggior parte di noi conosce e identifica in maniera precisa? Per cui sto trattando dati personali? La risposta a entrambe le domande è: Sì.

Questo per dimostrarti che trattare dati personali è una cosa che tutti facciamo tutti i giorni. E quindi tutti noi, ad esempio quando interagiamo coi social network o siamo al lavoro, trattiamo dati personali in continuazione. Pensate agli indirizzi e.mail che contengono nomi, ai codici identificativi, ecc.

Pensate poi quando si inizia a trattare dati di minori (a scuola, ad esempio, o se pubblichiamo sui social la foto di un bambino) o dati che riguardano la salute delle persone (quando si va a donare il sangue, o si va da un medico per una visita, ecc.). Tutti questi sono dati personali, che sono tutelati per legge.

Ricorda, inoltre, che anche se il GDPR nel suo Considerando 27 (C27) cui dica specificatamente che: “Il presente regolamento non si applica ai dati personali delle persone decedute. Gli Stati membri possono prevedere norme riguardanti il trattamento dei dati personali delle persone decedute.” con il D.Lgs. n. 101/2018, che integra e adegua il nostro Codice della Privacy (il D.Lgs. 196/03) rispetto al GDPR, tale applicazione è stata introdotta. Per cui, anche i dati relativi ai cari estinti e i loro diritti sono tutelati, nel nostro Paese. Parleremo più approfonditamente di questo, magari, in un altro post.

Ma perché è così importante tutelare i dati personali? La tutela dei dati personali non è un mero cruccio o un adempimento burocratico, come a volte sei portato a pensare, indotto anche da molte prese di posizione che a volte troviamo qui e là, ma ha un solo scopo: proteggere la persona, l’essere umano, facendo in modo che i tuoi dati personali, ad esempio, siano usati solo per il motivo per cui tu li hai dati a qualcuno o a una azienda, e non per motivi diversi. Per far sì, insomma, che in una società altamente interconnessa come la nostra, e quella che verrà, tu possa sempre avere la possibilità di controllare chi, come e perché sta usando i tuoi dati personali.

Se vuoi approfondire il concetto di dato personale ti invito a leggere anche i Considerando C26 e C30, quest’ultimo molto utile se vuoi approfondire il concetto relativamente agli identificativi digitali. Alla prossima

Share this post