Il GDPR si applica a società, imprese, professionisti e studi professionali che svolgono un’attività di raccolta e trattamento di dati personali e che abbiano sede in Italia o in qualsiasi altro paese dell’Unione Europea. Il Regolamento si applica inoltre a quei soggetti che hanno sede al di fuori dell’Unione europea, ma che offrono beni o servizi (anche per via telematica) a persone che risiedono all’interno dell’Unione Europea o che svolgano monitoraggio del loro comportamento nella misura in cui tale comportamento abbia luogo all’interno dell’Unione.
In sostanza, qualsiasi azienda nel mondo, che abbia a che fare con dati appartenenti a cittadini che risiedono nell’Unione Europea, è tenuta ad adeguarsi al GDPR.
I dati personali ai quali il Regolamento Europeo sulla Privacy fa riferimento riguardano qualsiasi informazione che può essere riconducibile a una persona fisica identificata o identificabile (c.d. “interessato”). Si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.
Tipologia di dati personali:
- Nome
- Cognome
- numero di telefono
- dati anagrafici
- indirizzo e-mail
- fotografie
- dati biometrici (impronte digitali)
- suono della voce
- abitudini alimentari
- dati genetici
- stato di salute
- orientamento sessuale
- appartenenza a partiti e/o sindacati
Alcuni dati (es: abitudini alimentari, stato di salute) possono non rientrare di per sé nel criterio generale di “identificabilità dell’individuo”. Tuttavia, in un contesto più ampio e in relazione a altre tipologie di dati personali, magari identificativi di un individuo, possono rappresentare informazioni “sensibili” volte a tracciare, profilare e catalogare una persona. Sono dati, pertanto, che meritano particolare attenzione, e per i quali il Legislatore ha infatti previsto specifiche norme e adempimenti, inserendoli nelle c.d. “categorie particolari di dati personali” (quelli che, prima del GDPR, chiamavamo “dati sensibili”).
Tipologia di trattamento dei dati
Per “trattamento” si intende qualunque tipo di operazione che viene svolta su dati personali. Ad esempio, raccogliere dati creando un archivio o una banca dati, creare copie dei dati, accedere ai dati in lettura o modificarli, comunicare i dati a terzi e trasmetterli via internet o con altre modalità, sono tutte operazioni di trattamento soggette al GDPR.
I trattamenti sono normalmente descritti attraverso il riferimento a processi aziendali e procedure di gestione e accesso a banche dati aziendali, ad esempio ai fini della compilazione del Registro delle attività di trattamento.
Ricordiamo che l’utilizzo di media digitali per la raccolta e il trattamento dei dati impone una serie di accorgimenti specifici per far si che il sito web dell’azienda che effettua la raccolta e il trattamento dei dati sia conforme al GDPR
