Pronti per la privacy? Le novità del Gdpr in dieci domande

3/11Diritto

Quali dati personali riguarda e come vengono distinti?

di Rosario Imperiali


default onloading pic
(sdecoret - stock.adobe.com)

di Rosario Imperiali

Quando si affronta il tema dei dati personali viene alla mente la raffigurazione di una piramide ad ampia base, che racchiude tutte le ipotesi che consentono di qualificare un’informazione, come personale, ai fini dell’applicabilità della normativa data protection. Le parti alte della figura sono occupate da quelle categorie speciali di dati a più alto tasso di sensibilità riguardo ai diritti ed alle libertà degli interessati e, conseguentemente, a più elevato rischio; in Italia, siamo abituati a indicarle come dati sensibili o giudiziari.

Da ultimo, il vertice della figura è occupato dall’informazione più intima tra tutte: un multi-dato spesso ignoto allo stesso interessato, quello genetico.

La scala dei valori sul dato personale viene ribadita nel Gdpr, con poche novità. A beneficio di altri contesti nazionali, dove il dibattito sulla qualificazione dell’informazione come dato personale era stato più incerto, diversamente che da noi, il legislatore comunitario rende inequivoca l’attrazione nella cerchia di dato personale di qualsiasi identificativo - incluso lo pseudonimo - che sia in grado di individuare, anche in via indiretta, l’interessato.

Rimangono fuori dall’ambito solo i dati anonimi, cioè quelli non riconducibili in alcun modo ad un individuo determinato, insieme a quelli per i quali il processo di re-identificazione possa considerarsi ragionevolmente improbabile a causa della necessità di avvalersi per lo scopo di mezzi eccessivi, prendendo in considerazione l’insieme dei fattori obiettivi, tra cui i costi, il tempo necessario per l’identificazione e le tecnologie disponibili al momento.

Per i dati sensibili e giudiziari sono previste maggiori salvaguardie e garanzie volte a ridurre il pericolo di violazioni a danno degli interessati: maggiore è l’obbligo di trasparenza, il consenso deve essere esplicito e non solo inequivocabile, i processi decisionali automatizzati sono di regola vietati, in presenza di tali speciali categorie di dati l’obbligo di tenuta del registro dei trattamenti permane anche per le piccole e medie imprese e, infine, se essi sono presenti su larga scala presuppongono la valutazione d’impatto (Dpia) e la designazione del Dpo.

Riproduzione riservata ©
Loading...

Newsletter

Notizie e approfondimenti sugli avvenimenti politici, economici e finanziari.

Iscriviti
Loading...