COSA SI INTENDE PER TRATTAMENTO DEI DATI PERSONALI E COSA COMPORTA
Cosa si intende per trattamento dei dati personali?
Si considera trattamento dei dati personali qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione.
Quella appena riportata è la definizione fornita dal Regolamento UE 679/2016 (d’ora in avanti GDPR).
Come si evince dalla semplice lettura della norma, il legislatore europeo ha scelto un approccio molto ampio per definire il concetto di trattamento. Questo perché la tecnologia evolve molto velocemente, mentre le leggi sono piuttosto difficili da modificare, essendo richiesto un vasto consenso, specialmente in Europa. Tale ampia definizione permette dunque di raccogliere al suo interno un numero potenzialmente indefinito di possibili tipologie di trattamento presenti e future.
Tra le varie tipologie di trattamento, inoltre, ne esistono alcune più pericolose di altre. Si pensi ad esempio alla profilazione. Vediamola più nello specifico.
Che cos’è la profilazione?
Per profilazione si intende qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo dei medesimi al fine di valutare determinati aspetti personali relativi a una persona fisica. Tale valutazione concerne il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica.
Elemento centrale del concetto di profilazione è la spinta alla valutazione. Come ci mostra la definizione proposta dal GDPR, la raccolta di dati in liste profilate permette di valutare un individuo, per gli scopi più disparati. In alcuni casi, come ad esempio i software di valutazione delle performance individuali, il trattamento automatico tramite profilazione può comportare penalizzazioni o addirittura discriminazioni. Si pensi a una grande azienda che profili i propri dipendenti al fine di valutarne la produttività: i lavoratori meno produttivi potrebbero ricevere riduzioni di stipendio o, addirittura, essere licenziati.
Ma torniamo al concetto di trattamento dei dati personali.
Quali sono le caratteristiche di un trattamento dei dati personali?
Un trattamento dei dati personali comporta alcuni oneri in capo al titolare: il rispetto del principio di responsabilizzazione e degli altri principi del GDPR; l’obbligo di informativa; la nascita di alcuni diritti in capo all’interessato. Vediamoli più nello specifico.
Che cos’è il principio di accountability o responsabilizzazione?
Per accountability o responsabilizzazione si intende il particolare approccio tramite il quale è stato concepito il GDPR, basato sull’adozione di comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del regolamento (fonte: Garante privacy).
Quali sono i principi applicabili al trattamento dei dati personali?
I dati personali devono essere: trattati in modo lecito, corretto e trasparente nei confronti dell’interessato («liceità, correttezza e trasparenza»); raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità («limitazione della finalità»); adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione dei dati»); esatti e, se necessario, aggiornati («esattezza»); conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati («limitazione della conservazione»); trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»); il titolare del trattamento deve essere in grado di comprovare la propria competenza («responsabilizzazione»).
Cosa deve contenere l’informativa?
L’informativa deve contenere:
- l’identità e i dati di contatto del titolare del trattamento e, ove applicabile, del suo rappresentante;
- i dati di contatto del responsabile della protezione dei dati, ove applicabile;
- le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento;
- qualora il trattamento si basi sull’articolo 6, paragrafo 1, lettera f), i legittimi interessi perseguiti dal titolare del trattamento o da terzi;
- gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali;
- ove applicabile, l’intenzione del titolare del trattamento di trasferire dati personali a un paese terzo rispetto all’UE.
- il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;
- l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento l’accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento dei dati personali che lo riguardano o di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati;
- l’esistenza del diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca;
- il diritto di proporre reclamo a un’autorità di controllo;
- se la comunicazione di dati personali è un obbligo legale o contrattuale oppure un requisito necessario per la conclusione di un contratto, e se l’interessato ha l’obbligo di fornire i dati personali nonché le possibili conseguenze della mancata comunicazione di tali dati;
- l’esistenza di un processo decisionale automatizzato, compresa la profilazione.
Decidere di raccogliere e trattare dati personali è dunque una scelta da non fare a cuor leggero, poiché comporta tutti gli oneri appena citati, oltre ad alcune conseguenze in caso di mancato rispetto delle norme del GDPR. Vediamo quali.
Quali sono le conseguenze di un erroneo trattamento dei dati personali?
In caso di trattamento illecito di dati personali è possibile ricevere una sanzione da parte del Garante privacy. Inoltre, se si arreca un danno a terzi, questi potrebbero richiederne il risarcimento. Nel caso in cui, poi, il trattamento illecito abbia causato o rischi di causare gravi conseguenze, è possibile incorrere in un procedimento penale.
SCARICA IL FILE CHE ABBIAMO PREPARATO PER TE
Scopri i nostri consigli pratici che ti serviranno per iniziare subito a rispettare le norme imposte dal GDPR e a rendere più sicura la tua attività
COSA SI INTENDE PER TRATTAMENTO DEI DATI PERSONALI E COSA COMPORTA
Cosa si intende per trattamento dei dati personali?
Si considera trattamento dei dati personali qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione.
Quella appena riportata è la definizione fornita dal Regolamento UE 679/2016 (d’ora in avanti GDPR).
Come si evince dalla semplice lettura della norma, il legislatore europeo ha scelto un approccio molto ampio per definire il concetto di trattamento. Questo perché la tecnologia evolve molto velocemente, mentre le leggi sono piuttosto difficili da modificare, essendo richiesto un vasto consenso, specialmente in Europa. Tale ampia definizione permette dunque di raccogliere al suo interno un numero potenzialmente indefinito di possibili tipologie di trattamento presenti e future.
Tra le varie tipologie di trattamento, inoltre, ne esistono alcune più pericolose di altre. Si pensi ad esempio alla profilazione. Vediamola più nello specifico.
Che cos’è la profilazione?
Per profilazione si intende qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo dei medesimi al fine di valutare determinati aspetti personali relativi a una persona fisica. Tale valutazione concerne il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica.
Elemento centrale del concetto di profilazione è la spinta alla valutazione. Come ci mostra la definizione proposta dal GDPR, la raccolta di dati in liste profilate permette di valutare un individuo, per gli scopi più disparati. In alcuni casi, come ad esempio i software di valutazione delle performance individuali, il trattamento automatico tramite profilazione può comportare penalizzazioni o addirittura discriminazioni. Si pensi a una grande azienda che profili i propri dipendenti al fine di valutarne la produttività: i lavoratori meno produttivi potrebbero ricevere riduzioni di stipendio o, addirittura, essere licenziati.
Ma torniamo al concetto di trattamento dei dati personali.
Quali sono le caratteristiche di un trattamento dei dati personali?
Un trattamento dei dati personali comporta alcuni oneri in capo al titolare: il rispetto del principio di responsabilizzazione e degli altri principi del GDPR; l’obbligo di informativa; la nascita di alcuni diritti in capo all’interessato. Vediamoli più nello specifico.
Che cos’è il principio di accountability o responsabilizzazione?
Per accountability o responsabilizzazione si intende il particolare approccio tramite il quale è stato concepito il GDPR, basato sull’adozione di comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del regolamento (fonte: Garante privacy).
Quali sono i principi applicabili al trattamento dei dati personali?
I dati personali devono essere: trattati in modo lecito, corretto e trasparente nei confronti dell’interessato («liceità, correttezza e trasparenza»); raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità («limitazione della finalità»); adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione dei dati»); esatti e, se necessario, aggiornati («esattezza»); conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati («limitazione della conservazione»); trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»); il titolare del trattamento deve essere in grado di comprovare la propria competenza («responsabilizzazione»).
Cosa deve contenere l’informativa?
L’informativa deve contenere:
- l’identità e i dati di contatto del titolare del trattamento e, ove applicabile, del suo rappresentante;
- i dati di contatto del responsabile della protezione dei dati, ove applicabile;
- le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento;
- qualora il trattamento si basi sull’articolo 6, paragrafo 1, lettera f), i legittimi interessi perseguiti dal titolare del trattamento o da terzi;
- gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali;
- ove applicabile, l’intenzione del titolare del trattamento di trasferire dati personali a un paese terzo rispetto all’UE.
- il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;
- l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento l’accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento dei dati personali che lo riguardano o di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati;
- l’esistenza del diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca;
- il diritto di proporre reclamo a un’autorità di controllo;
- se la comunicazione di dati personali è un obbligo legale o contrattuale oppure un requisito necessario per la conclusione di un contratto, e se l’interessato ha l’obbligo di fornire i dati personali nonché le possibili conseguenze della mancata comunicazione di tali dati;
- l’esistenza di un processo decisionale automatizzato, compresa la profilazione.
Decidere di raccogliere e trattare dati personali è dunque una scelta da non fare a cuor leggero, poiché comporta tutti gli oneri appena citati, oltre ad alcune conseguenze in caso di mancato rispetto delle norme del GDPR. Vediamo quali.
Quali sono le conseguenze di un erroneo trattamento dei dati personali?
In caso di trattamento illecito di dati personali è possibile ricevere una sanzione da parte del Garante privacy. Inoltre, se si arreca un danno a terzi, questi potrebbero richiederne il risarcimento. Nel caso in cui, poi, il trattamento illecito abbia causato o rischi di causare gravi conseguenze, è possibile incorrere in un procedimento penale.
SCARICA IL FILE CHE ABBIAMO PREPARATO PER TE
Scopri subito i nostri consigli pratici che ti serviranno per iniziare subito a rispettare le norme imposte dal GDPR e a rendere più sicura la tua attività