Le linee guida per la protezione dei dati personali secondo EDPB e EDPS

Le linee guida per la protezione dei dati personali secondo EDPB e EDPS

Dato personale: che cos’è e come si identifica

In una società iperconnessa come quella in cui viviamo, sempre più informazioni sono condivise, tra di noi e con i fornitori dei servizi che usiamo. Con la diffusione e l’uso sempre più massiccio delle tecnologie, nuovi dati personali si sono aggiunti a quelli tradizionali. Come i dati relativi alle comunicazioni elettroniche che svolgiamo quando navighiamo in Internet o usiamo il nostro smartphone, oppure come i dati che consentono la geolocalizzazione, fornendo informazioni sulla nostra posizione, i nostri spostamenti e i luoghi che frequentiamo.

Questa nuova categoria di dati personali ha assunto un peso rilevante in tema di privacy. La protezione dei dati personali è diventata una priorità che impone di adottare le giuste misure per garantire a tutti noi i diritti e le libertà fondamentali, in particolare quella alla riservatezza. Allo stesso tempo, la presenza di regole per la protezione dei dati personali e la necessità di doverle rispettare favoriscono l’innovazione nel settore dei servizi digitali.

Che cosa si intende, esattamente, per dati personali? L’articolo 4 del GDPR fornisce una definizione di dato personale e spiega che si tratta di “qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale“.

Un ulteriore approfondimento, che aiuta a comprendere meglio di che cosa si parla quando si fa riferimento a un dato personale, lo offre il Garante per la Protezione dei Dati Personali (GPDP), l’autorità amministrativa indipendente istituita dalla legge 31 dicembre 1996, n. 675.

Per il GPDP sono particolarmente importanti:

  • i dati che permettono l’identificazione diretta: fanno parte di questo gruppo i dati anagrafici, come nome e cognome, e le immagini;
  • i dati che permettono l’identificazione indiretta: tra questi rientrano gli indirizzi IP, il codice fiscale e il numero di targa;
  • i dati rientranti in particolari categorie: vale a dire i cosiddetti dati sensibili, ossia quelli che rivelano l’origine razziale o etnica, le convinzioni religiose, filosofiche, le opinioni politiche e l’appartenenza sindacale, oltre a quelli legati alla salute o alla vita sessuale. Il GDPR include in questa classe anche i dati genetici, i dati biometrici e quelli sull’orientamento sessuale;
  • i dati relativi a condanne penali e reati: si tratta dei cosiddetti dati giudiziari, cioè quelli che possono essere usati per verificare l’esistenza di determinati provvedimenti giudiziari soggetti a iscrizione nel casellario giudiziale, come i provvedimenti penali di condanna definitivi e le misure alternative alla detenzione. Il GDPR (Regolamento UE 2016/679) include in questi dati quelli relativi a condanne penali, reati o misure di sicurezza connesse.

Dati personali e privacy: perché è importante proteggerli?

Aziende e singole persone devono essere consapevoli dei rischi legati alla mancata protezione dei dati personali che trattano, adottando misure adeguate per prevenirne la violazione e l’abuso, allo scopo di aumentare la fiducia nel mondo digitale.

Ecco alcune ragioni principali che fanno della data privacy un argomento di primaria importanza nel contesto della cyber security:

  • privacy e prevenzione del furto di identità: proteggendo adeguatamente le informazioni personali si evita un loro uso improprio da parte di malintenzionati, che potrebbero sfruttarli per commettere reati informatici, come il furto di identità o l’accesso non autorizzato a conti bancari e account online;
  • sicurezza finanziaria: le informazioni finanziarie personali, come i numeri di carta di credito, i conti bancari e i numeri di previdenza sociale, sono particolarmente sensibili e la loro protezione è fondamentale per prevenire transazioni non autorizzate e frodi finanziarie.
  • protezione della reputazione: la perdita o la divulgazione non autorizzata di informazioni personali può avere conseguenze sia sulla riservatezza che sulla reputazione degli individui e delle aziende. I danni di un data breach possono essere estremamente gravi, dalla perdita di affari o clienti al danno di immagine, passando anche per sanzioni imposte dagli organismi preposti alla regolamentazione della privacy;
  • adempimento degli obblighi normativi: l’adeguata protezione dei dati personali è fondamentale per essere conformi alle leggi in materia, come il GDPR che impone una serie di misure volte a tutelare i diritti degli individui in materia di privacy. La mancata conformità può comportare sanzioni legali e multe significative.

Cosa dice la versione 2.0 delle Linee Guida dell’EDPB?

L’European Data Protection Board (EDPB), in italiano Comitato europeo per la protezione dei dati, è un organismo europeo indipendente il cui scopo è garantire un’applicazione coerente del GDPR e promuovere la cooperazione tra le autorità di protezione dei dati dell’UE. Sotto la sua egida si riuniscono le autorità nazionali di controllo dei paesi dello Spazio Economico Europeo, nonché il Garante europeo della protezione dei dati (European Data Protection Supervisor – EDPS).

Nella versione 2.0 delle Linee Guida 9/2022, in merito alla gestione e alla notifica della violazione di dati personali, l’EDPB ha chiarito che sebbene sia compito dei responsabili del trattamento e degli incaricati del trattamento mettere in atto misure adeguate per prevenire, reagire e affrontare una violazione, vi sono alcune misure pratiche che dovrebbero essere adottate in tutti i casi:

  • le informazioni relative a tutti gli eventi legati alla sicurezza devono essere rese note a una o più persone responsabili che abbiano il compito di affrontare gli incidenti, stabilire l’esistenza di una violazione e valutare il rischio;
  • il rischio per le persone a seguito di una violazione deve essere valutato (probabilità di assenza di rischio, rischio o rischio elevato), informando i settori dell’organizzazione interessati;
  • la notifica all’autorità di vigilanza e, potenzialmente, la comunicazione della violazione ai singoli interessati devono essere effettuate, se necessario;
  • allo stesso tempo, il responsabile del trattamento deve agire per contenere e recuperare la violazione. La documentazione della violazione dovrebbe avvenire man mano che questa si sviluppa.

È quindi chiaro che il responsabile del trattamento ha l’obbligo di agire sulla base di qualsiasi segnalazione iniziale e di stabilire se si sia effettivamente verificata una violazione. Una volta che ha una ragionevole certezza della violazione deve adottare tutte le misure necessarie per risolverla. Inoltre, deve notificare l’evento all’autorità di controllo senza ritardi indebiti.

Se un responsabile del trattamento non agisce in modo tempestivo e diventa evidente che si è verificata una violazione, ciò potrebbe essere considerato come una mancata notifica ai sensi dell’articolo 33 del GDPR.

Articolo precedenteEmissione e ricezione fatture elettroniche: quali sono le regole
Articolo successivoCos’è l’Attestato di Prestazione Energetica in edilizia?

ARTICOLI CORRELATIALTRO DALL'AUTORE