Una persona fisica può essere identificata attraverso i suoi dati:

• Direttamente: la persona fisica sarà identificata dal suo cognome, nome, indirizzo, ecc.;

• Indirettamente: la persona fisica sarà identificata in particolare dal suo numero di telefono, dalla sua targa, dal suo indirizzo postale o di posta elettronica (a meno che l’indirizzo di posta elettronica non contenga i cognomi e i nomi), il numero della sua carta di credito, ecc…

Questi dati identificativi sono qualificati come dati personali e regolati dalla legge sulla protezione dei dati e dal regolamento generale sulla protezione dei dati (GDPR).

1) Il regime di diritto commune per i dati personali

I dati personali sono costituiti da:

• Qualsiasi informazione relativa a una persona fisica

• Identificato o identificabile. Una persona fisica è una persona umana nata viva ed in vita (che gli permette di acquisire personalità giuridica e quindi di avere diritti e doveri).

L’identificazione di una persona viene effettuata a volte grazie a dati univoci come il nome o a volte tramite l’incrocio di dati (numero di telefono, numero di carta di credito, tessera magnetica di trasporto, ecc.).

I dati relativi a una persona morale, invece, non costituiscono dati personali. È una persona morale una società, un’associazione, un’amministrazione ecc…

2) Dati personali sensibili

Costituisce dati personali sensibili che rivelano:

• Origini razziali o etniche,

• Opinioni politiche,

• Credenze religiose o filosofiche o appartenenza sindacale,

• Dati genetici,

• Dati biometrici al fine di identificare univocamente una persona fisica,

• Dati sanitari o dati relativi alla vita sessuale o all’orientamento sessuale.

Tali dati sono qualificati come sensibili e non possono essere raccolti a meno che:

• L’interessato ha espresso il consenso,

• L’informativa è resa manifestamente pubblica dall’interessato,

• I dati sono necessari per salvaguardare la vita umana,

• L’utilizzo dei dati è giustificato dall’interesse pubblico e autorizzato dalla CNIL,

• I dati riguardano gli iscritti o aderenti ad un’associazione o ad un’organizzazione politica, religiosa, filosofica, politica o sindacale.

Le informazioni relative a reati o condanne non sono classificate come dati sensibili. Tuttavia, beneficiano di una protezione specifica. In quanto tali, solo i tribunali e alcune autorità pubbliche possono farne uso, proprio come la vittima nell’ambito della difesa dei suoi interessi.

Il Regolamento Generale sulla Protezione dei Dati (GDPR) introduce un equilibrio tra la necessaria gestione dei dati da parte delle amministrazioni e delle aziende e la tutela della privacy degli interessati. La normativa in materia di dati personali segue quindi alcuni principi volti a garantire il rispetto di tale equilibrio.

1) Legittimità

Il trattamento può basarsi solo sul consenso, sulla necessità contrattuale, su un obbligo legale, sulla tutela della vita umana, su un interesse pubblico, su un legittimo interesse del titolare del trattamento.

2) Trasparenza

Sulle finalità e sull’identità del titolare del trattamento nonché su ogni altra informazione necessaria per garantire la corretta raccolta dei dati

3) Proporzionalità

I dati devono essere adeguati, pertinenti, limitati e necessari allo scopo

4) Rispetto dello scopo

Lo scopo deve essere esplicito, legittimo, determinato. Si presume compatibile un successivo trattamento a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica oa fini statistici.

5) Sicurezza

Si tratta dell’obbligo di adottare misure tecniche e organizzative adeguate rispetto al rischio incorso e alla natura dei dati personali.

6) Responsabilità/Responsabilità

Ciò obbliga il titolare del trattamento ad attuare un processo di conformità che includa una componente etica.

7) Nomina obbligatoria di un Responsabile della protezione dei dati

Tale obbligo è limitato alle autorità pubbliche, alle attività che richiedono un monitoraggio regolare e sistematico e alle attività consistenti in un trattamento su larga scala di dati sensibili.