Trattamento dei dati personali

Il “trattamento dei dati personali” è regolato da una rigorosa e complessa normativa, il Regolamento UE 2016/679 (GDPR).

Ci sono almeno tre fondamentali motivi in forza dei quali “vale la pena” (visti gli oneri economici e burocratici) uniformare la propria attività a detto Regolamento:

  • la protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale è un diritto fondamentale (Considerando n. 1, GDPR);
  • una imprudente gestione dei dati personali potrebbe facilmente arrecare danni gravi e irreparabili al titolare di tale diritto;
  • le responsabilità, in caso di violazione del diritto in questione, sono decisamente importanti (oltre alla responsabilità civile, l’art. 84 del GDPR prevede sanzioni amministrative pecuniarie fino a 20 000 000 EUR, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore).

Senza alcuna pretesa di esaustività, al fine di inquadrare in modo semplice il contesto in cui opera il Regolamento citato si risponde in modo sintetico a 4 domande.

Cosa si intende per “trattamento dei dati personali”?

Prima di rispondere a tale domanda è bene precisare che per “dato personale” si intende “qualsiasi informazione riguardante una persona fisica identificata o identificabile” (art. 4, comma 1, numero 1, GDPR).

In particolare “si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale” (v. sempre art. 4, comma 1, numero 1, GDPR).

La persona in tal modo identificabile è definita dal GDPR con il termine “interessato”.

Ciò detto, per “trattamento dei dati personali” si intende “qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione”.

Quando il trattamento dei dati personali è consentito?

Il trattamento dei dati personali è consentito (art. 6 GDPR):

  • quando è autorizzato dall’interessato;
  • quando è autorizzato dalla legge.

Nel secondo caso può farsi rientrare anche l’ipotesi del trattamento dei dati personali effettuato “da una persona fisica per l’esercizio di attività a carattere esclusivamente personale o domestico” (in questa ipotesi, forse è più corretto parlare di trattamento libero, anziché di trattamento autorizzato).

Quando il trattamento dei dati personali è lecito?

Non è sufficiente che il trattamento dei dati personali sia consentito (autorizzato dall’interessato, permesso/autorizzato dalla legge), ma è necessario che sia effettuato entro determinati limiti e ispirato a determinati principi (cfr art. 5, GDPR).

Cosa si rischia in caso di trattamento dei dati personali illecito?

Un trattamento dei dati personali illecito può comportare delle rilevanti responsabilità in capo a chi ha violato le prescrizioni del GDPR:

  • illecito civile (il responsabile è tenuto al risarcimento integrale dei danni arrecati);
  • illecito amministrativo (il responsabile è tenuto al pagamento di sanzioni pecuniarie fino a 20 000 000 EUR, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore).

 

Pubblicato da

Giovanni Crescella

Avvocato Patrocinante in Cassazione e dinanzi alle Giurisdizioni Superiori

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *