<img height="1" width="1" style="display:none;" alt="" src="https://dc.ads.linkedin.com/collect/?pid=50912&amp;fmt=gif">
Blog GDPR

Trattamento Dati Personali: Classificazione Dati per fare chiarezza

[fa icon="calendar"] 17-dic-2019 11.00.00 / da Paolo Monini

Trattamento-Dati-Personali--Classificazione-Dati-per-fare-chiarezza

Si fa ancora molta confusione a proposito di trattamento dati personali. Spesso le aziende non hanno affatto chiara la differenza tra un tipo di dato piuttosto che un altro. Di conseguenza attuano modalità e procedure di trattamento non adatte. In alcuni casi se ne lavano (erroneamente) le mani con frasi del tipo “non trattiamo dati sensibili” e in questo modo si mettono a rischio.

Proprio per fare chiarezza, in questo articolo proponiamo un glossario con classificazione dati e suggerimenti per il corretto trattamento.

 

Classificazione Dati Personali

Iniziamo dalla definizione normativa. Ai sensi dell’Art. 4 del GDPR, il dato personale è:

qualsiasi informazione riguardante una persona fisica identificata o identificabile, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”.

Ecco tutte le distinzioni utili:

 

Dati Identificativi

Sono tutte le informazioni che permettono di identificare direttamente una persona come:

  • nome e cognome
  • data e luogo di nascita
  • indirizzo di residenza
  • numeri di telefono
  • indirizzi email
  • indirizzo IP
  • targa del veicolo
  • numeri identificativi dei documenti e carte di pagamento
  • identità digitale
  • account name o nickname

Per questo tipo di informazioni personali vale la tutela generale prevista dal Regolamento GDPR per i dati personali (trattamento dei dati basato sul controllo del dato e sull'informativa nei confronti dell'interessato).

 

Dati Particolari

L’Art. 9 GDPR considera particolari i “dati personali che rivelino

  • l'origine razziale o etnica,
  • le opinioni politiche,
  • le convinzioni religiose o filosofiche,
  • l'appartenenza sindacale,
  • dati biometrici intesi a identificare in modo univoco una persona fisica,
  • dati relativi alla salute (clicca per leggere subito i dettagli)
  • o alla vita sessuale o all'orientamento sessuale della persona”.
  • Sono annoverati in questa categoria anche i dati giudiziari.

Sono sostanzialmente gli ex dati sensibili che possono essere trattati solo previo consenso esplicito (compresi i dati resi manifestamente pubblici dall’interessato ad esempio sui social media) o per specifiche finalità di legge.

 

Dati Biometrici

I dati biometrici sono definiti come:

“i dati personali ottenuti da un trattamento tecnico specifico, relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica e che ne consentono o confermano l’identificazione univoca”.

Quindi fanno sempre parte dei dati identificativi (in quanto permettono di identificare una persona), ma si distinguono dai precedenti perché sono strettamente connesse con le caratteristiche fisiche e comportamentali di una persona come volto, iride, retina, voce, impronte digitali o anche la calligrafia.

Altra differenza tra dati identificativi nel complesso e dati biometrici, nonché la più importante ai fini di questo articolo, è che per questi ultimi è riservato lo stesso trattamento riservato ai dati particolari (è richiesto consenso esplicito al trattamento o la presenza di una specifica finalità di legge).

 

Dati Anonimizzati

Sono informazioni personali, ma private in modo irreversibile di qualunque elemento identificativo e, proprio per questo, non considerati come dati personali.

Un esempio di dati anonimizzati sono quelli utilizzati puramente a scopo statistico, storico o scientifico...  divulgati pubblicamente, ma in forma anonima per rispettare la privacy del soggetto interessato.

 

Dati Pseudonimi

Una misura di sicurezza molto utile al Trattamento dati GDPR è la pseudonimizzazione.

I dati pseudonimi sono a tutti gli effetti dati personali, ma in questo caso gli elementi identificativi sono occultati ricorrendo a stringhe alfanumeriche o nickname, quindi con un processo reversibile. In parole povere, la persona cui si rivolge il dato è difficilmente identificabile.

Proprio per questa ragione ai dati pseudonimi si applica una tutela ridotta rispetto ai dati personali. Il titolare del dato deve garantire adeguate misure di protezione per mantenere segreta la chiave di decodifica.

 

Se hai ancora dubbi sul tipo di dati che tratti nell'esercizio della tua attività di impresa, richiedi una nostra consulenza professionale. TI aiuteremo a far ordine tra i tuoi dati.

Consulenza Privacy

Categorie: Regolamento Privacy, Misure di Sicurezza Privacy

Paolo Monini

Scritto da Paolo Monini

Founder & Risk Manager in ArchiMedia srl dal 1995. Lead Auditor 27001/2014. Privacy Officer Certified TÜV. Delegato Federprivacy.