Il Regolamento generale per la protezione dei dati personali 2016/679 è la principale normativa europea in materia di protezione dei dati personali.
Esso è nato con lo scopo di garantire alle persone fisiche un maggiore controllo sui loro dati personali e al contempo garantire alle persone giuridiche condizioni di parità e uniformità all’interno dell’UE.

Il GDPR definisce all’art. 4 il “dato personale” come “qualsiasi informazione riguardante una persona fisica identificata o identificabile; si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”.

Per identificazione, si intende la possibilità di distinguere la persona da qualsiasi altro soggetto oppure all’interno di una categoria.
Identificabile è la persona che può essere identificata anche mediante il riferimento ad ulteriori elementi, anche se i dati raccolti nell’occasione specifica non sono la base dell’identificazione. Quindi per valutare l’identificabilità occorre prendere in considerazione tutti i mezzi ragionevolmente suscettibili di essere utilizzati dal titolare o da un suo incaricato.

Alla luce di tanto, possiamo affermare che il dato personale rappresenta lo strumento tecnico-giuridico attraverso il quale i legislatori, nazionali e comunitari, tutelano l’insieme dei diritti collegati all’identità personale; pertanto, può essere definito un bene giuridico di secondo grado.

Il dato personale è un concetto dinamico che va sempre riferito al contesto in cui opera, nel senso che, anche se un’informazione isolata non è in grado di portare all’identificazione di un individuo, il fatto che detta informazione possa essere utilizzata per l’identificazione tramite incrocio con altri dati ne determina comunque la natura di dato personale.

In tal senso, la Corte dei diritti dell’uomo ha evidenziato che non esiste una netta separazione tra vita privata e vita professionale per quanto riguarda i dati personali, per cui anche le informazioni riguardanti la vita professionale e pubblica di una persona sono considerate dati personali.

L’articolo 9 e 10 del GDPR sanciscono un generale divieto di trattare alcuni categorie particolari di dati, cioè i dati che rivelino:

  • l’origine razziale o etnica;
  • le opinioni politiche;
  • le convinzioni religiose o filosofiche;
  • l’appartenenza sindacale;
  • i dati genetici, che forniscono informazioni uniche sulla fisiologia o la salute di un individuo;
  • dati biometrici intesi a identificare in modo univoco una persona fisica (ad esempio, un gruppo di fotografie caricate online, oppure negli aeroporti dove l’immagine dell’individuo viene scansionata per identificarlo);
  • dati relativi alla salute (anche la semplice ferita ad una mano), cioè tutti i dati che rivelano informazioni sullo stato di salute fisica o mentale passato, presente e futuro della persona interessata, da interpretare in senso ampio comprendendo informazioni riguardanti tutti gli aspetti, tanto fisici quanto psichici, della salute di una persona (vedi la sentenza della Corte di giustizia europea del 6 novembre 2003, C 101/01, Rs Lindqvist, punto 50 f );
  • dati relativi alla vita sessuale o all’orientamento sessuale della persona;
  • dati relativi a condanne penali e reati (rivelano l’esistenza di provvedimenti penali suscettibili di iscrizione nel casellario giudiziale, o la qualità di indagato o imputato, vedi art. 2-octies Codice Privacy), il cui trattamento è consentito solo se autorizzato da norma di legge o di regolamento.

Queste categorie di dati possono essere trattate solo nei casi espressamente indicati.
Il regolamento europeo prevede che i dati personali delle persone fisiche devono essere conservati per un periodo di tempo limitato ed in particolare non oltre il tempo necessario per raggiungere lo scopo alla base del trattamento. Nel caso in cui un titolare del trattamento volesse mantenerli per un periodo superiore, deve procedere alla loro anonimizzazione.
Importante, a tal proposito, è identificare “le parti in gioco”:
Interessato è la persona fisica alla quale si riferiscono i dati personali. Quindi, se un trattamento riguarda, ad esempio, l’indirizzo, il codice fiscale, ecc. di Mario Rossi, questa persona è “l’interessato”.
Titolare è la persona fisica, l’autorità pubblica, l’impresa, l’ente pubblico o privato, l’associazione, ecc., che adotta le decisioni sugli scopi e sulle modalità del trattamento;
Responsabile è la persona fisica o giuridica alla quale il titolare richiede di eseguire per suo conto specifici e definiti compiti di gestione e controllo per suo conto del trattamento dei dati.
In caso di violazione di sicurezza che comporta la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati, il titolare del trattamento senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, deve notificare la violazione al Garante per la protezione dei dati personali.