General Data Protection Regulation

Dati personali e dati sensibili

In conformità al cd principio di accountability, l’adeguamento al GDPR implica l’adozione di strumenti e la previsione di misure adeguate alle necessità di trattamento presentate dallo scenario di Data Protection in cui l’azienda opera, oltre alla necessità di dimostrarne l’adeguatezza.

Per rendere adeguato il sistema è necessario effettuare preliminarmente un audit complessivo dei processi aziendali e una classificazione completa delle diverse categorie di dati trattati, e dunque, sulla scorta dei risultati acquisiti, progettare ed implementare un piano di adeguamento che per ogni categoria di dato trattato preveda misure specifiche e differenziate, con livelli di protezione crescenti per i dati classificati come maggiormente sensibili o con livelli di rischio più elevati.

Premesso quindi che, per dati personali, la normativa GDPR intende “qualsiasi informazione riguardante una persona fisica identificata o identificabile (interessato) che identifichi o renda identificabile una persona fisica e che possono fornire dettagli sulle sue caratteristiche, le sue abitudini, il suo stile di vita, le sue relazioni personali, il suo stato di salute, la sua situazione economica, ecc”, è fondamentale procedere alla esatta classificazione dei dati trattati in azienda.

A questo scopo la normativa distingue:

  • Dati che permettono l’identificazione diretta, come quelli anagrafici o le immagini fotografiche;
  • Dati che permettono l’identificazione indiretta, come il numero di targa di un’automobile o il codice fiscale;
  • Dati sensibili, come quelli che rivelano l’origine etnica o razziale, le opinioni politiche, l’appartenenza sindacale, le convinzioni religiose o filosofiche, la sfera psichica, la vita e l’orientamento sessuale, lo stato di salute, inclusi i dati biometrici ed i dati genetici;
  • Dati giudiziari, come quelli che rivelano le qualità di indagato o imputato o l’esistenza di provvedimenti giudiziari di tipo penale a carico.

I principi generali che operano riguardo alla raccolta ed al trattamento dei personali sono 2: il primo consiste nell’esclusione, a livello generale, del trattamento per i dati sensibili e giudiziari (questo tipo di dati possono essere trattati sono in ipotesi tassativamente previste, ad es. nell’erogazione di prestazioni mediche, laddove i dati raccolti siano significativi o rilevanti ai fini della somministrazione della prestazione o della terapia); il secondo, concretizza invece la cd. privacy by design, ovvero il divieto di raccolta di informazioni che eccedono le necessità di trattamento richieste dalla attività per la quale i dati sono raccolti, e limita puntualmente, cioè per ogni singolo dato richiesto, la raccolta ai dati effettivamente necessari al trattamento, richiedendo la dimostrazione della rilevanza del dato ai fini dell’esecuzione dell’attività a carico del responsabile del trattamento.

Un modello primitivo di classificazione dei dati trattati in azienda dovrebbe prevedere una scala di almeno 3 categorie di rilevanza, con altrettanti livelli di sicurezza:

  • Dati pubblici, liberamente divulgabili e per i quali non sono necessarie misure di protezione
  • Dati interni, non destinati alla divulgazione e per i quali adottare misure di protezione con bassi requisiti,
  • Dati riservati, cioè dati interni altamente sensibili per i quali adottare un alto livello di protezione

Esigenze complesse richiedono ovviamente progettazione più dettagliata, basata sulla valutazione dei rischi specifici e sulla classificazione più avanzata dei dati trattati, ai quali collegare misure di protezione differenziate.