Il trattamento dei dati personali nel regolamento privacy riguarda qualsiasi tipo di operazione compiuta sia su sopporto cartaceo sia attraverso mezzi informatici, che consiste nella semplice raccolta, registrazione, conservazione, modifica, consultazione, comunicazione o distruzione di un’informazione riferita ad un soggetto in maniera inequivocabile. Occorre porre attenzione al fatto che la normativa non richiede l’esercizio di tutte queste attività, ma basta anche soltanto una di queste operazioni (come ad esempio la semplice raccolta) per effettuare il trattamento del dato.
Un dato personale è qualsiasi informazione che fa riferimento a una persona fisica identificata o identificabile e può riguardare il possesso di informazioni come il nome, i recapiti telefonici di riferimento, i dati relativi all'ubicazione, gli identificativi online e altri elementi relativi alla sua individuazione
Nel regolamento privacy, i dati personali includono:
Questi elementi permettono l'identificazione univoca di una persona, mentre se un'informazione è riferibile a più persone senza individuare univocamente qualcuno, non è considerata un dato personale.
Un’altra categoria definita nel regolamento privacy è quella dei dati particolari. Si tratta di dati idonei a rivelare l'origine razziale o etnica, l’opinione politica, la convinzione religiosa o filosofica, l’appartenenza sindacale di un soggetto identificato o identificabile. Anche i dati relativi alla salute, i dati genetici e i dati biometrici sono dati particolari e, in quanto tali, sono sottoposti ad una maggior tutela da parte dell’ordinamento, che deve essere assicurata attraverso l’implementazione di misure tecniche ed organizzative particolarmente efficaci.
Per proteggere i dati personali nel regolamento privacy, potrebbe essere utile implementare misure tecniche ed organizzative adeguate. Per esempio, la pseudonimizzazione e la cifratura dei dati sono metodiche particolarmente consigliate in caso di trattamento di dati particolari, poiché proteggono maggiormente la segretezza dei dati. Sono due misure tecniche che rendono il dato disponibile soltanto nel caso in cui vengano utilizzate informazioni aggiuntive, in modo da non poter correlare il dato all’identità originaria della persona fisica. È possibile sostituire i dati con dati simili, casuali, mascherando così i dati e rendendoli ricostruibili soltanto in presenza della “chiave” che rende il dato leggibile. È quindi necessario implementare un sistema che permetta di decifrare il dato “mascherato” in modo tale da proteggerlo e garantire l’anonimato nei confronti di chi non ha l’autorizzazione per leggerlo.
Per trattare i dati personali nel regolamento privacy in maniera lecita occorre avere il consenso del soggetto “interessato” a cui si riferiscono i dati. Un consenso che deve essere raccolto in maniera libera (per esempio, non attraverso la compilazione di un’informativa con le caselle pre-spuntate), e inequivocabile (non devono esserci dubbi sul fatto che sia stato dato il consenso a trattare i dati). Il consenso deve essere inoltre attuale, informato e sempre revocabile. Proprio per questo, nel caso di consenso al trattamento dei dati richiesto online, è necessario inserire nei moduli le indicazioni attraverso le quali è possibile revocare il consenso al trattamento del dato precedentemente prestato: deve essere semplice per il soggetto poter negare successivamente il consenso, allo stesso modo in cui è stato semplice poterlo dare.
Secondo il regolamento privacy, il consenso deve essere:
Il trattamento dei dati personali nel regolamento privacy è una questione centrale per la tutela delle informazioni degli individui. Rispettare le norme del GDPR e ottenere un consenso valido e informato sono passaggi essenziali per proteggere i diritti degli interessati. Nel prossimo articolo, approfondiremo i diritti degli individui riguardo la gestione dei propri dati e le modalità per mantenere il controllo su di essi.