Dati personali e dati sensibili

In conformità al cd principio di accountability, l’adeguamento al GDPR implica l’adozione di strumenti e la previsione di misure adeguate alle necessità di trattamento presentate dallo scenario di Data Protection in cui l’azienda opera, oltre alla necessità di dimostrarne l’adeguatezza.

Per rendere adeguato il sistema è necessario effettuare preliminarmente un audit complessivo dei processi aziendali e una classificazione completa delle diverse categorie di dati trattati, e dunque, sulla scorta dei risultati acquisiti, progettare ed implementare un piano di adeguamento che per ogni categoria di dato trattato preveda misure specifiche e differenziate, con livelli di protezione crescenti per i dati classificati come maggiormente sensibili o con livelli di rischio più elevati.

Premesso quindi che, per dati personali, la normativa GDPR intende “qualsiasi informazione riguardante una persona fisica identificata o identificabile (interessato) che identifichi o renda identificabile una persona fisica e che possono fornire dettagli sulle sue caratteristiche, le sue abitudini, il suo stile di vita, le sue relazioni personali, il suo stato di salute, la sua situazione economica, ecc”, è fondamentale procedere alla esatta classificazione dei dati trattati in azienda.

A questo scopo la normativa distingue:

Dati che permettono l’identificazione diretta, come quelli anagrafici o le immagini fotografiche;
Dati che permettono l’identificazione indiretta, come il numero di targa di un’automobile o il codice fiscale;
Dati sensibili, come quelli che rivelano l’origine etnica o razziale, le opinioni politiche, l’appartenenza sindacale, le convinzioni religiose o filosofiche, la sfera psichica, la vita e l’orientamento sessuale, lo stato di salute, inclusi i dati biometrici ed i dati genetici;
Dati giudiziari, come quelli che rivelano le qualità di indagato o imputato o l’esistenza di provvedimenti giudiziari di tipo penale a carico.

I principi generali che operano riguardo alla raccolta ed al trattamento dei personali sono 2: il primo consiste nell’esclusione, a livello generale, del trattamento per i dati sensibili e giudiziari (questo tipo di dati possono essere trattati sono in ipotesi tassativamente previste, ad es. nell’erogazione di prestazioni mediche, laddove i dati raccolti siano significativi o rilevanti ai fini della somministrazione della prestazione o della terapia); il secondo, concretizza invece la cd. privacy by design, ovvero il divieto di raccolta di informazioni che eccedono le necessità di trattamento richieste dalla attività per la quale i dati sono raccolti, e limita puntualmente, cioè per ogni singolo dato richiesto, la raccolta ai dati effettivamente necessari al trattamento, richiedendo la dimostrazione della rilevanza del dato ai fini dell’esecuzione dell’attività a carico del responsabile del trattamento.

Un modello primitivo di classificazione dei dati trattati in azienda dovrebbe prevedere una scala di almeno 3 categorie di rilevanza, con altrettanti livelli di sicurezza:

Dati pubblici, liberamente divulgabili e per i quali non sono necessarie misure di protezione
Dati interni, non destinati alla divulgazione e per i quali adottare misure di protezione con bassi requisiti,
Dati riservati, cioè dati interni altamente sensibili per i quali adottare un alto livello di protezione

Esigenze complesse richiedono ovviamente progettazione più dettagliata, basata sulla valutazione dei rischi specifici e sulla classificazione più avanzata dei dati trattati, ai quali collegare misure di protezione differenziate.

Cookie	Durata	Descrizione
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Share This Article

Post correlati

Organizzazione Interna

Adeguarsi: un obbligo o un’opportunità?

Analisi dei rischi GDPR

Gestione dei Cookie