Uno degli obblighi che grava sui soggetti che trattano dati personali. L’informativa va resa disponibile a qualsiasi persona fisica di cui il titolare tratti i dati personali, in un contesto aziendale i soggetti tipicamente coinvolti nel trattamento di dati personali saranno i dipendenti, i fornitori persone fisiche, i clienti, gli utenti del sito web, i possibili futuri assunti ed eventuali visitatori. Per ognuna di queste categorie sarà opportuno individuare le migliori modalità d’informazione, a titolo esemplificativo per i dipendenti sarà sufficiente allegare l’informativa al contratto di lavoro e affiggerla alla bacheca aziendale, per i clienti sarà opportuno fornire l’informativa al primo contatto utile ecc.
Nella vecchia disciplina il legislatore italiano individuava, sotto la formula “dati sensibili” poi entrata nel linguaggio comune, una serie di categorie di dati meritevoli di particolare attenzione in quanto idonei a rivelare aspetti della sfera più intima del soggetto al quale si riferivano.
Il GDPR al quale è necessario fare riferimento ora, individua invece due differenti categorie di dati meritevoli di ulteriore tutela:
Dati particolari (art. 9 del Regolamento) che grossomodo corrispondono ai vecchi dati sensibili, cioè quelli idonei a rivelare l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché i dati genetici, i dati biometrici intesi a identificare in modo univoco una persona fisica, i dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona.
Dati giudiziari, relativi a condanne penali o reati.
In entrambe le situazioni il GDPR prevede, come detto, una tutela più ampia per la protezione di queste categorie di informazioni, nel caso dei dati particolari ne vieta il trattamento a meno che non ricorra una delle ipotesi previste dallo stesso articolo 9 (ad esempio il consenso dell’interessato), mentre per i dati giudiziari prevede che questi possano essere controllati esclusivamente sotto il controllo dell’autorità giudiziaria.
Il dato personale, a norma dell’art. 4 punto 1 del GDPR, è qualsiasi informazione riguardante una persona fisica identificata o identificabile.
Con identificabilità di un soggetto la norma si riferisce , oltre ai dati che permettono di per sé di distinguere il soggetto da tutti gli altri (es. Nome e Cognome), a tutte quelle informazioni che permettono, tramite informazioni supplementari, di giungere all’identità della persona fisica, questi saranno quindi dati di contatto o dati relativi all’ubicazione o ancora dati in grado di rivelare le caratteristiche fisiche, genetiche, fisiologiche dl soggetto e così via.
Tale definizione di dato personale ha comportato l’ingresso tra i dati personali dei dati di navigazione (ad esempio l’indirizzo IP) che permettono, mediante l’incrocio delle informazioni raccolte, di arrivare alla persona fisica cui corrispondono.
Il GDPR di conseguenza NON si applica ai dati anonimi, cioè quei dati ai quali sia impossibile associare una persona determinata.
Il GDPR innanzitutto si applica solo ai dati personali di persone fisiche, non si applica di conseguenza ai trattamenti riguardanti persone giuridiche, come sottolineato al primo punto dell’articolo 2 del regolamento.
Sempre l’art. 2 del regolamento prevede alcune esclusioni, in particolare il GDPR non si applica a quei trattamenti che:
- Effettuati da una persona fisica nell’ambito di attività a carattere esclusivamente personale o domestico.
- Effettuati dalle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali.
- Effettuati dagli stati membri e riguardanti le politiche estere e di sicurezza comune contenute al titolo V capo 2 del TUE.
- effettuati per attività che non rientrano nell’ambito di applicazione del diritto dell’unione.
Â
L’art. 3 definisce poi l’ambito territoriale di applicazione del GDPR : sono sottoposti alla disciplina quei trattamenti che siano effettuati da un titolare (cioè colui che determina finalità e modalità del trattamento) o da un responsabile del trattamento (cioè il soggetto che tratta i dati per conto del titolare) che:
- Sia stabilito in uno stato membro
- Pur non essendo stabilito nel territorio dell’Unione (gli esempi più immediati sono le grandi multinazionali del web, come Google o Facebook, le quali, pur avendo sede negli USA e quindi al di fuori del territorio dell’Unione Europea) esegua trattamenti di dati che riguardano interessati che si trovano nell’Unione (è dunque sufficiente che l’interessato si trovi fisicamente sul territorio dell’unione europea, senza nessun vincolo riguardante la sua nazionalità o residenza formale) quando questo riguarda l’offerta di beni o la prestazione di sevizi o il monitoraggio del comportamento di questi (ad esempio come vviene in caso di profilazione).