Cos’è il trattamento dei dati personali secondo il GDPR? Scopri definizione, esempi pratici, basi giuridiche, principi fondamentali e obblighi per aziende e professionisti.
Il trattamento dei dati personali è uno dei concetti fondamentali del GDPR, il Regolamento europeo che disciplina la protezione dei dati personali all'interno dell'Unione Europea.
Ogni volta che un'azienda, un professionista, una pubblica amministrazione o un'associazione raccoglie, consulta, archivia o utilizza informazioni riferibili a una persona fisica, sta effettuando un trattamento di dati personali.
Per questo motivo il GDPR stabilisce regole precise che consentono di utilizzare i dati in modo lecito, trasparente e sicuro, tutelando i diritti e le libertà degli interessati.
In questa guida vediamo cosa si intende per trattamento dei dati personali, quali attività rientrano nel trattamento, quando è consentito dalla normativa e quali sono gli obblighi previsti dal GDPR.
L'Articolo 4 del GDPR definisce il trattamento dei dati personali come qualsiasi operazione o insieme di operazioni compiute su dati personali, con o senza l'ausilio di strumenti automatizzati.
La definizione è volutamente molto ampia e comprende l'intero ciclo di vita delle informazioni, dalla raccolta fino alla cancellazione definitiva.
Rientrano nel concetto di trattamento operazioni come:
Anche una semplice visualizzazione di un dato personale costituisce un trattamento ai sensi del GDPR.
La normativa si applica esclusivamente ai dati riferiti a persone fisiche identificate o identificabili. Sono quindi esclusi, in linea generale, i dati relativi alle persone giuridiche - anche se i dati dei singoli dipendenti o referenti fisici dell'azienda rientrano comunque nella tutela.
È importante sottolineare che il GDPR non distingue tra archivi digitali e cartacei: entrambe le modalità di gestione dei dati rientrano nell'ambito di applicazione della normativa.
Le attività che costituiscono trattamento sono numerose e spesso vengono svolte quotidianamente da aziende e professionisti.
Tra le principali troviamo:
Ad esempio, conservare i dati di contatto di un cliente all'interno di un gestionale aziendale rappresenta un trattamento, così come inviare una newsletter, archiviare una fattura o consultare un fascicolo contenente informazioni personali.
Comprendere il concetto di trattamento è più semplice attraverso alcuni esempi concreti.
Un e-commerce che raccoglie nome, indirizzo e dati di pagamento dei clienti per evadere un ordine sta effettuando un trattamento necessario all'esecuzione del contratto.
Uno studio medico che registra i dati sanitari dei pazienti tratta categorie particolari di dati personali per finalità di diagnosi e cura.
Una società che invia comunicazioni promozionali tramite e-mail utilizza dati personali per finalità di marketing.
Anche una palestra che gestisce le iscrizioni dei propri clienti, una scuola che conserva i dati degli studenti o un professionista che archivia le informazioni dei propri clienti effettuano trattamenti di dati personali.
In tutti questi casi il trattamento deve avvenire nel rispetto dei principi previsti dal GDPR e sulla base di una valida base giuridica.
Il GDPR individua due figure principali coinvolte nel trattamento dei dati personali.
Il titolare del trattamento è la persona fisica o giuridica che determina finalità e modalità del trattamento.
In pratica è il soggetto che decide:
Possono essere titolari aziende, professionisti, enti pubblici, associazioni e organizzazioni di qualsiasi dimensione.
Il Responsabile del trattamento è invece il soggetto che tratta i dati per conto del Titolare.
Rientrano in questa categoria, ad esempio:
Il rapporto tra Titolare e responsabile deve essere disciplinato da un contratto o da un altro atto giuridico conforme all'Articolo 28 del GDPR.
Per poter trattare dati personali è necessario individuare una base giuridica valida.
L'Articolo 6 del GDPR prevede sei possibili condizioni di liceità:
Ogni trattamento deve basarsi su almeno una di queste condizioni.
Ad esempio, un e-commerce può trattare i dati del cliente per eseguire un ordine, mentre un'azienda potrebbe richiedere il consenso per l'invio di comunicazioni commerciali.
Per le categorie particolari di dati personali - come dati sanitari, biometrici o relativi alle convinzioni religiose - si applicano inoltre le condizioni aggiuntive previste dall'Articolo 9 del GDPR.
L'assenza di una base giuridica rende il trattamento illecito e può esporre l'organizzazione a sanzioni rilevanti.
L’Articolo 5 del GDPR individua i 7 principi fondamentali che devono essere rispettati in qualsiasi attività di trattamento.
I dati devono essere trattati in modo lecito, corretto e trasparente nei confronti dell'interessato.
I dati devono essere raccolti per finalità determinate, esplicite e legittime e non possono essere utilizzati per scopi incompatibili.
Devono essere raccolti esclusivamente i dati necessari rispetto alle finalità perseguite.
I dati personali devono essere accurati e aggiornati quando necessario.
I dati non possono essere conservati più a lungo del necessario rispetto alle finalità del trattamento.
Devono essere adottate misure tecniche e organizzative adeguate per garantire la sicurezza dei dati personali.
Il titolare deve essere in grado di dimostrare il rispetto di tutti i principi previsti dal GDPR attraverso procedure, documentazione e misure organizzative adeguate.
Il mancato rispetto di questi principi può comportare violazioni della normativa e l'applicazione di sanzioni da parte dell'autorità di controllo.
Uno degli aspetti più importanti del trattamento riguarda la conservazione dei dati personali.
Il GDPR stabilisce che le informazioni devono essere conservate soltanto per il tempo necessario al raggiungimento delle finalità per cui sono state raccolte.
Al termine del periodo di conservazione, i dati devono essere:
I tempi di conservazione possono variare in base alla tipologia di trattamento.
Ad esempio:
Il Titolare deve indicare nell'informativa Privacy il periodo di conservazione oppure i criteri utilizzati per determinarlo.
La cancellazione deve essere effettiva e riguardare tutti i supporti sui quali i dati risultano memorizzati, compresi quelli gestiti da eventuali responsabili del trattamento.
L'inosservanza dei principi di conservazione previsti dal GDPR può comportare sanzioni amministrative fino a 20 milioni di euro o fino al 4% del fatturato mondiale annuo dell'organizzazione, a seconda di quale importo risulti superiore.
Il trattamento dei dati personali comprende qualsiasi operazione effettuata su informazioni riferibili a una persona fisica, dalla raccolta fino alla cancellazione.
Per essere conforme al GDPR, ogni organizzazione deve individuare una corretta base giuridica, rispettare i principi fondamentali del regolamento e adottare adeguate misure di sicurezza durante l'intero ciclo di vita dei dati.
Una gestione corretta dei trattamenti non consente soltanto di evitare violazioni e possibili sanzioni, ma contribuisce anche a rafforzare la fiducia di clienti, dipendenti e partner commerciali, dimostrando attenzione verso la protezione dei dati personali e il rispetto della normativa vigente.
Verifica subito se la tua attività è soggetta agli obblighi privacy, quali sono i provvedimenti da adottare e qual è il Piano Privacy giusto per te.
Ti garantiamo la nostra assistenza specialistica per tutti gli aspetti relativi al nostro servizio e agli adempimenti Privacy.
Uno dei nostri esperti è a tua disposizione e ti risponderà gratuitamente.