Una definizione ampia di dati, file e loro elaborazione

Estratto dal libro di Bruno DUMAY: GDPR DECRYPTION – Per manager, dipartimenti strategici e dipendenti di aziende e organizzazioni – Prefazione di Gaëlle MONTEILLER

Pensiamo di sapere cosa siano i dati personali (si noti che il termine non è usato al singolare, probabilmente perché è necessario raccogliere almeno due dati – un nome e un indirizzo, ad esempio – per iniziare il loro trattamento). Ma attenzione, per evitare errori, teniamo conto della definizione formulata nell'articolo 4 del Regolamento: "qualsiasi informazione riguardante una persona fisica identificata o identificabile; si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale".

Sebbene la formulazione sia tutt'altro che fluida, non lascia dubbi sul significato ampio in cui il termine dovrebbe essere inteso. "Qualsiasi informazione" associata a una persona costituisce un dato personale. L'elenco di aggettivi associati all'"identità" della persona sottolinea, se necessario, la portata del termine "informazione". 

La CNIL ha chiarito il concetto di dati personali in un commento all'articolo 2 della legge sulla protezione dei dati: "I dati sono considerati "personali" quando riguardano persone fisiche identificate, direttamente o indirettamente. Una persona è identificata quando, ad esempio, il suo nome compare in un file.

Una persona è identificabile quando un file contiene informazioni che ne consentono l'identificazione indiretta (ad esempio: indirizzo IP, nome, numero di registrazione, numero di telefono, fotografia, elementi biometrici come impronte digitali, DNA, codice fiscale, codice fiscale nazionale dello studente (INE), insieme di informazioni che consentono di discriminare una persona all'interno di una popolazione (alcuni file statistici) come, ad esempio, luogo di residenza e professione, sesso ed età). I dati che potresti considerare anonimi possono costituire dati personali se consentono di identificare una persona specifica indirettamente o tramite l'incrocio di informazioni. Si tratta infatti di informazioni non associate al nome di una persona, ma che consentono facilmente di identificarla e di conoscerne le abitudini o i gusti.

In questo senso, i dati personali includono anche tutte le informazioni che, incrociate, consentono di identificare una persona specifica (ad esempio, un'impronta digitale, il DNA, una data di nascita associata a un comune di residenza)...

Il GDPR esclude dal suo ambito di applicazione le attività degli Stati connesse alla loro sicurezza (16^e considerando), e naturalmente le attività di natura puramente nazionale (art. 2). D'altro canto, il regolamento riguarda tutte le imprese (e amministrazioni, organizzazioni e associazioni) che trattano dati di cittadini europei, indipendentemente dal fatto che siano stabiliti o meno nel continente. Analogamente, se un'impresa si avvale di un subappaltatore con sede al di fuori dell'UE, anche quest'ultimo deve agire in conformità (art. 3).

Poiché questi dati sono archiviati in file, teniamo presente anche la definizione di questo termine: "qualsiasi insieme strutturato di dati personali accessibile secondo criteri specifici, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o distribuito funzionalmente o geograficamente". Anche in questo caso, è chiaro che non possiamo essere furbi nel cercare di archiviare dati in database che non potrebbero essere definiti "file". Non solo il nostro strumento verrebbe riclassificato, ma l'autorità di controllo considererebbe senza dubbio questa circostanza aggravante.

Allo stesso modo, un artigiano che oppone resistenza all'informatizzazione e che conserva archivi cartacei dei propri clienti in ordine alfabetico non può sottrarsi al GDPR (art. 2, comma 1).

È proprio perché sono destinati a essere trattati che i dati che costituiscono i file devono essere protetti. Cos'è il trattamento? "Qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione" (art. 4, comma 2). L'elenco delle parole è pressoché esaustivo: non appena tocchiamo dati, li trattiamo e siamo quindi soggetti alla normativa. A fortiori, la profilazione – il trattamento dei dati in modo da valutare o prevedere un comportamento – deve essere rigorosamente monitorata.

Il GDPR raccomanda la pseudonimizzazione ove possibile, in modo che i dati non possano più essere attribuiti a una persona fisica senza l'utilizzo di informazioni aggiuntive. "La pseudonimizzazione dei dati personali può ridurre i rischi per gli interessati e aiutare i titolari del trattamento e i responsabili del trattamento ad adempiere ai propri obblighi in materia di protezione dei dati" (28).^e considerando).  

Il controllo sul trattamento è spinto al limite, poiché si estende oltre i confini. Infatti, i dati trasferiti al di fuori dell'Unione Europea rimangono soggetti al diritto europeo, per il trasferimento ovviamente, ma anche per qualsiasi successivo trattamento. Ci si può anche chiedere se possano sorgere controversie legali, in particolare con la Cina o gli Stati Uniti. Per informare in anticipo i partner stabiliti al di fuori dell'UE, il regolamento raccomanda la sottoscrizione di norme vincolanti d'impresa (BCR) o l'adozione di clausole contrattuali standard, convalidate dall'organismo europeo.

Infine, chiariamo che una violazione dei dati personali è una "violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati" (art. 4, par. 12). Anche in questo caso, il termine è quindi da intendersi in senso molto ampio.