Cerchi un avvocato esperto in
Privacy e Immagine
Guide legali privacy e immagine

Trattamento dati personali: cosa significa e come funziona?

Il trattamento dei dati personali si riferisce a una serie di operazioni che devono essere svolte nel rispetto del nuovo Regolamento europeo in materia di privacy, il GDPR, in vigore dal 2018. L’attenzione viene posta soprattutti nella valutazione e gestione dei rischi connessi.

Nella vita di tutti i giorni, le persone trasmettono in modo volontario o del tutto inconsapevole un elevato numero di informazioni, inerenti ai loro interessi, alle loro abitudini, allo stile di vita, alle opinioni, etc.

Il fenomeno ha assunto una grande importanza soprattutto da quando le nuove tecnologie si sono ampiamente diffuse nella società. Pochi decenni fa, infatti, la situazione era molto diversa rispetto a quella attuale, in quanto non erano presenti i rischi potenziali che ci sono oggi.

Se da una parte i nuovi mezzi di comunicazione rendono la vita più facile a tutti noi, dall’altra aprono la strada a nuovi problemi, che è necessario gestire prontamente. L’intenzione del GDPR, il regolamento europeo entrato in vigore nel 2018 è proprio quello di favorire un corretto sviluppo delle nuove tecnologie, senza perdere di vista i diritti fondamentali dell’uomo, come quello alla privacy, alla riservatezza e all’oblio.

Cosa sono i dati personali?

Prima di descrivere cosa si intende per trattamento dei dati personali, è necessario capire quali sono le informazioni che devono essere protette, e perché è importante questo tipo di tutela.

Innanzitutto i dati personali corrispondono a tutte le informazioni che rendono possibile identificare una persona fisica, ad esempio:

  • nome e cognome
  • numero di identificazione
  • indirizzo di domicilio o residenza
  • particolarità fisiche, generiche e psichiche
  • situazione economica
  • preferenze culturali
  • opinioni politiche
  • orientamento sessuale
  • vita sociale

Si tratta di informazioni, che quotidianamente le persone comunicano alle aziende che offrono servizi nel web, anche senza averne una reale percezione.

Ad esempio, quando si attiva la geolocalizzazione per usare la mappa nello Smartphone per raggiungere un determinato luogo, vengono inviati molti dati in merito al luogo in cui si trova un individuo e in quali negozi sta entrando. I like a determinate pagine Facebook, determinano le preferenze di un individuo, che saranno sfruttate dalle aziende per proporre pubblicità in linea con gli interessi.

Quindi, mentre le persone si stanno informando online, si stanno divertendo a chattare con gli amici sui social network o stanno effettuando un acquisto su Amazon o in un altro eCommerce, aziende più o meno grandi stanno raccogliendo un gran numero di dati, che possono utilizzare ai fini commerciali.

Risulta ovvio che, tutte le informazioni raccolte devono essere organizzate e usate correttamente, per questo motivo si parla di trattamento.

Si stima che entro il 2020 il mercato globale dei dati online potrebbe avere un valore di 80 miliardi di euro.

Cosa significa trattamento dei dati personali?

Quando si parla di trattamento dei dati personali si fa riferimento a diverse azioni che possono riguardare le informazioni private degli individui.
Come abbiamo detto, mentre si naviga nel web attraverso un computer o uno smartphone è quasi impossibile non fornire elementi in grado di determinare i propri interessi e preferenze.

In particolare l’art, 4 del regolamento europeo definisce chiaramente quali sono le operazioni che possono essere effettuate in merito:

  • la raccolta: rappresenta l’inizio del trattamento, e riguarda l’acquisizione delle informazioni
  • la registrazione: ovvero la memorizzazione del dato in un supporto
  • l’organizzazione: classificazione secondo determinate logiche
  • la strutturazione: distribuzione secondo schemi precisi
  • la conservazione: tenere le informazioni memorizzate in determinati supporti
  • la consultazione: lettura dei dati
  • l’elaborazione: modifica del dato
  • la selezione: individuare le informazioni all’interno di gruppi già memorizzati
  • l’estrazione: estrapolazione dei dati di interesse
  • il raffronto: un confronto tra vari dati
  • l’utilizzo: attività generica sulle informazioni raccolte
  • l’interconnessione: uso di più banche dati
  • il blocco: conservazione, ma sospendendo tutte le altre operazioni di trattamento
  • la cessione: fare conoscere le informazioni ad altri soggetti interessati
  • la diffusione: mettere le informazioni a disposizione di soggetti terzi indeterminati
  • la cancellazione: eliminazione del dato
  • la distruzione: eliminazione definitiva

E’ evidente come tutte le azioni elencate sopra possano costituire una lesione al diritto alla privacy, se non effettuate correttamente, nel rispetto delle norme vigenti.
Tutti i vari trattamenti devono essere effettuati in maniera lecita, quindi devono essere raccolti ed utilizzati solamente per determinati scopi, che devono essere comunicati in maniera trasparente all’utente.
In caso contrario l’utilizzatore andrà incontro a sanzioni, e dovrà risarcire i danni causati.

Le novità introdotte dalle normativa europea GDPR

Il 25 maggio 2018 è entrato in vigore il nuovo Regolamento Europeo in materia di privacy, ovvero il General Data Protection Regulation, GDPR. L’obiettivo è quello di fornire delle norme in grado di unificare le regole nei vari paesi dell’Europa.

Il nuovo Regolamento ha mandato in pensione la nostra storica “Legge sulla Privacy”, del 1996, e superato anche il successivo “Codice in materia di protezione dei dati personali” del 2004, diventando l’unico riferimento normativo.

L’aspetto forse più significativo riguarda l’obbligo per le aziende di chiedere il permesso agli utenti prima di potere raccogliere le loro informazioni personali, fornendo tutte le indicazioni in merito a come verranno effettivamente usate.
L’utente ha comunque la facoltà di revocare il consenso o modificare i propri dati, contattando il responsabile.

In ogni caso, se non viene rispettato il diritto alla riservatezza e non vengono seguite le norme contenute nel GDPR, è possibile denunciare la situazione al Garante della Privacy, l’autorità di controllo nazionale. 

Le nuove norme hanno lo scopo di:

  • definire delle regole più chiare per quanto riguarda la necessità di chiedere il consenso e per redarre la relativa informativa
  • limitare il trattamento automatizzato dei dati
  • imporre dei criteri per il trasferimento delle informazioni al di fuori dei confini Ue
  • stabilire le conseguenze in caso di violazione, cioè se avviene il “data breach

Inoltre, va sottolineato che il GDPR deve essere rispettato anche dalle aziende con sede fuori dal territorio Ue, se offrono prodotti e servizi nel mercato europeo.

Rispetto alle leggi precedenti, con il Nuovo Regolamento ha assunto una rilevanza maggiore la responsabilizzazione dei titolari dei dati “accountability”, per incentivare l’attivazione di misure volte ad evitare i rischi connessi al trattamento stesso.

Trattamento dati personali: approccio risk based 

Nel paragrafo precedente abbiamo evidenziato come le nuove normative emanate dall’Ue abbiamo concentrato i loro sforzi nello stabilire le responsabilità specifiche dei titolari dei trattamenti, quando di parla di proteggere il diritto alla privacy degli individui

Tutto ciò si può sintetizzare dicendo che il nuovo approccio è “risk based”, cioè tutte le azioni devono essere messe in atto con lo scopo di minimizzare i rischi. 

Quindi non è più sufficiente un approccio di tipo formalistico, nel quale è sufficiente dimostrare di avere il consenso dell’utente, ma è necessario dimostrare di avere messo in atto le nuove politiche. “Accountability” significa proprio questo, cioè dovere rendere conto del proprio operato.

La valutazione del rischio, deve essere effettuata tenendo in considerazione la natura, la portata, il contesto e l’obiettivo del trattamento, per evitare di causare danni agli utenti, ledendo i loro diritti e libertà.

Tale orientamento ha i seguenti vantaggi:

  • pretendere che vengano rispettati determinati obblighi
  • ha una maggiore flessibilità e quindi è adattabile al mutamento dei strumenti tecnologici 

Ma anche alcuni svantaggi:

  • la valutazione dei rischi è delegata all’azienda, quindi le contestazioni sono più difficili
  • pone maggiore rilievo ai grandi trattamenti di dati, come se nelle piccole realtà non fosse possibile causare danni agli individui​
TRATTAMENTO DATI PERSONALI TUTELA PRIVACY GDPR VIOLAZIONE PRIVACY
Condividi l'articolo:
CERCHI UN AVVOCATO ESPERTO IN PRIVACY E IMMAGINE?
Ho preso visione dell’informativa sulla privacy e acconsento al trattamento dei dati.*

Quanto costa il servizio?
Il costo della consulenza legale, qualora decidessi di proseguire, lo concorderai direttamente con l'avvocato con cui ti metteremo in contatto.