Data protection: il regolamento per disciplinare il trattamento dei dati personali
L’argomento privacy, negli ultimi anni, ha assunto una grandissima importanza a livello mondiale. La possibilità di acquisire e condividere informazioni e dati personali, attraverso piattaforme digitali, ha aumentato la possibilità di facili violazioni della privacy. Alla luce di tutto questo, dal 2016, è entrata in vigore, in tutti i paesi dell’Unione Europea, un regolamento specifico della materia. La disciplina che regolamenta il trattamento dei dati personali si chiama: “Data Protection”. Si tratta quindi di un insieme di discipline, norme e regolamenti che hanno lo scopo di proteggere nel migliore dei modi possibili il trattamento dei dati personali. Argomento molto importante a livello individuale, ma anche e soprattutto per le aziende, le imprese in genere e le start up.
Data protection: equilibrio tra privacy e scopi commerciali
Regolamento Generale sulla Protezione dei Dati in sigla RGPD (o GDPR in inglese General Data Protection Regulation), è quindi l’insieme delle norme e procedure rivolte alla protezione dei dati personali. Ufficialmente l’argomento è stato regolamentato con la norma dell’UE n°2016/679. Le regole sono entrate in vigore a partire dal 27 aprile 2016 e la pubblicazione ufficiale sulla Gazzetta dell’Unione Europea è avvenuta il 4 maggio 2016.
Lo scopo della Commissione Europea è stato quello di rafforzare la protezione dei dati personali dei cittadini dell’UE (all’interno e all’esterno dei confini dell’unione). La data protection ha, in generale, lo scopo di tutelare la raccolta e la diffusione dei dati personali, trovando il giusto compromesso tra tutela della privacy e utilizzo dei dati a scopi commerciali.
In altre parole questo significa che chi acquisisce i dati di un utente (ad esempio quando un utente si registra su un sito e-commerce per eseguire un acquisto per il quale richiede regolare emissione di fattura elettronica), deve garantire che le informazioni acquisite saranno utilizzate esclusivamente per scopi consentiti dalla legge. Inoltre il soggetto che acquisisce i dati personali degli utenti, deve essere stato esplicitamente autorizzato (mediante richiesta di consenso) dal soggetto interessato.
GDPR: Regolamento Generale sulla Protezione dei Dati
Il GDPR è il principale riferimento normativo al quale attenersi in materia di tutela dei dati personali. Il regolamento stabilisce:
“norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché norme relative alla libera circolazione di tali dati” e si propone di proteggere “i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali”.
Il GDPR fa riferimento a tutti quei dati attraverso i quali è possibile l’identificazione univoca di una persona:
- personali
- personali particolari
- genetici
- biometrici
- sulla salute
- dati personali relativi a condanne penali o reati
Dati personali
Si tratta dei dati che consentono di identificare in modo univoco un soggetto. L’identificazione del soggetto può essere fatta in modo diretto o indiretto. Rientrano in questa categoria dati come: come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.
Dati personali particolari
In italiano sono chiamati “Dati Sensibili”. In questa categoria troviamo: origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, dati relativi alla vita sessuale o all’orientamento sessuale della persona.
Sono considerati dati sensibili anche quelli genetici, biometrici e quelli sulla salute.
Dati genetici
Con questi si identificano i dati ereditati o acquisiti, ottenuti tramite analisi di DNA ed RNA da un campione biologico della persona fisica in questione.
Dati biometrici
Categoria particolare nella quale rientrano: immagine facciale, grazie ai quali è possibile identificare una e una sola persona fisica.
Dati sulla salute
Sia fisica che mentale, passata, presente o futura. Inoltre anche informazioni su servizi di assistenza sanitaria, laddove presenti, indipendentemente dalla fonte, quale, ad esempio, un medico.
Dati personali relativi a condanne penali o reati
Il trattamento dei dati personali relativi a reati o condanne deve avvenire sotto il controllo dell’autorità pubblica o se è autorizzato dal diritto dell’Unione.
Data protection a regola d’arte
Il trattamento dei dati personali è ritenuto valido quando il titolare ha dato il proprio consenso all’acquisizione degli stessi. Questo implica l’obbligo da parte del soggetto che acquisisce i dati, di poter dimostrare l’ottenimento del consenso da parte del soggetto interessato. Chi ha rilasciato i propri dati deve sempre avere la possibilità di revocarli in qualsiasi momento.
Inoltre il trattamento dei dati personali è ritenuto valido quando:
- deve avvenire per l’esecuzione di un contratto
- per l’adempimento di un obbligo legale
- per la salvaguardia dell’interessato
- in casi di esecuzione di un compito di pubblico interesse
- per il perseguimento di un legittimo interesse del titolare del trattamento o di un soggetto terzo
Data protection e i dati che non possono essere trattati
La Data protection definisce anche tutti i dati che non possono essere trattati:
“dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona”.
Tutti questi dati possono essere trattati solo in presenza dell’esplicito consenso dell’interessato (e negli altri casi di liceità sopra elencati).