Si fa ancora molta confusione a proposito di trattamento dati personali. Spesso le aziende non hanno affatto chiara la differenza tra un tipo di dato piuttosto che un altro. Di conseguenza attuano modalità e procedure di trattamento non adatte. In alcuni casi se ne lavano (erroneamente) le mani con frasi del tipo “non trattiamo dati sensibili” e in questo modo si mettono a rischio.
Proprio per fare chiarezza, in questo articolo proponiamo un glossario con classificazione dati e suggerimenti per il corretto trattamento.
Iniziamo dalla definizione normativa. Ai sensi dell’Art. 4 del GDPR, il dato personale è:
“qualsiasi informazione riguardante una persona fisica identificata o identificabile, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”.
Ecco tutte le distinzioni utili:
Sono tutte le informazioni che permettono di identificare direttamente una persona come:
Per questo tipo di informazioni personali vale la tutela generale prevista dal Regolamento GDPR per i dati personali (trattamento dei dati basato sul controllo del dato e sull'informativa nei confronti dell'interessato).
L’Art. 9 GDPR considera particolari i “dati personali che rivelino
Sono sostanzialmente gli ex dati sensibili che possono essere trattati solo previo consenso esplicito (compresi i dati resi manifestamente pubblici dall’interessato ad esempio sui social media) o per specifiche finalità di legge.
I dati biometrici sono definiti come:
“i dati personali ottenuti da un trattamento tecnico specifico, relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica e che ne consentono o confermano l’identificazione univoca”.
Quindi fanno sempre parte dei dati identificativi (in quanto permettono di identificare una persona), ma si distinguono dai precedenti perché sono strettamente connesse con le caratteristiche fisiche e comportamentali di una persona come volto, iride, retina, voce, impronte digitali o anche la calligrafia.
Altra differenza tra dati identificativi nel complesso e dati biometrici, nonché la più importante ai fini di questo articolo, è che per questi ultimi è riservato lo stesso trattamento riservato ai dati particolari (è richiesto consenso esplicito al trattamento o la presenza di una specifica finalità di legge).
Sono informazioni personali, ma private in modo irreversibile di qualunque elemento identificativo e, proprio per questo, non considerati come dati personali.
Un esempio di dati anonimizzati sono quelli utilizzati puramente a scopo statistico, storico o scientifico... divulgati pubblicamente, ma in forma anonima per rispettare la privacy del soggetto interessato.
Una misura di sicurezza molto utile al Trattamento dati GDPR è la pseudonimizzazione.
I dati pseudonimi sono a tutti gli effetti dati personali, ma in questo caso gli elementi identificativi sono occultati ricorrendo a stringhe alfanumeriche o nickname, quindi con un processo reversibile. In parole povere, la persona cui si rivolge il dato è difficilmente identificabile.
Proprio per questa ragione ai dati pseudonimi si applica una tutela ridotta rispetto ai dati personali. Il titolare del dato deve garantire adeguate misure di protezione per mantenere segreta la chiave di decodifica.