Benvenuto alla terza puntata del nostro filone dedicato alla tematica GDPR. Nei precedenti articoli (qui puoi leggere il primo, qui il secondo) abbiamo chiarito che cos’è il GDPR e perché è importante. Facciamo ora un passo in avanti e cerchiamo di capire assieme, in questo articolo, qual è l’ambito di applicazione del Regolamento europeo sulla protezione dei dati personali.

Il GDPR è considerato da molti una normativa complessa, infatti, per mantenere un livello di compliance adeguato, è necessario un effort non irrilevante. Per questo è importante sapere quando e dove si applica il GDPR, in modo da essere consapevoli della necessità o meno di adeguarsi a questa disciplina.

che cos'è il GDPR

Quando si applica il GDPR?

È necessario rispettare il GDPR tutte le volte in cui si effettua un trattamento non esclusivamente personale, automatizzato o non automatizzato di dati relativi ad un interessato contenuti o destinati ad un archivio.

Cosa significa ciò? Analizziamo parola per parola e cerchiamo di capirlo insieme!  

  • Chi è l’interessato? 

L’interessato è la persona fisica a cui si riferiscono i dati personali. Il GDPR, dunque, non si applica ai dati relativi alle persone giuridiche, come ad esempio ai dati di aziende, associazioni o enti. Il concetto di interessato è un concetto dinamico in quanto comprende moltissime circostanze. Tutti noi siamo quotidianamente “interessati”. Si pensi banalmente a quando si comunicano i propri dati personali per ottenere la “cartà fedeltà” di un supermercato o a quando si è ripresi da una telecamera per il controllo del traffico. 

  • Che cosa si intende per “dati personali”?

”Dato personale” è qualsiasi informazione concernente una persona fisica identificata o identificabile, oppure qualsiasi informazione riguardante una persona fisica la cui identità può essere accertata per mezzo di informazioni supplementari. 

Un dato è considerato personale, dunque, se è in grado di identificare un individuo oppure se può identificarlo per mezzo di altri dati, acquisibili in tempi e costi ragionevoli. Tieni presente, tuttavia, che il dato personale non deve necessariamente individuare fisicamente una persona (come ad esempio il nome e il cognome), ma può anche indicare il browser o il dispositivo digitale utilizzato da un soggetto che naviga in internet. Dunque, sono dati personali non solo il nome, il cognome, l’indirizzo email e di residenza, il luogo e la data di nascita, il numero di telefono, la targa del proprio veicolo, le proprie impronte digitali, ma anche l’indirizzo IP, i cookies e i dati di geolocalizzazione. 

  • Che cos’è un trattamento di dati personali?

L’articolo 4 del GDPR definisce il trattamento di dati personali come qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insieme di dati personali. Esempi di trattamento sono la semplice raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, la modifica, la consultazione, la diffusione, il raffronto, la cancellazione di dati personali. 

Ora che abbiamo chiarito ogni cosa, è evidente che aziende, liberi professionisti e enti pubblici trattano inevitabilmente dati personali: tutti sono quindi tenuti al rispetto del GDPR. 

È importante ricordare, tuttavia, che il Regolamento europeo in questione, come statuisce all’art. 2, non si applica in alcuni casi specifici, come ad esempio ai trattamenti di dati effettuati da persone fisiche per l’esercizio di attività a carattere personale o domestico, oppure effettuati dalle autorità competenti a fini di prevenzione, indagine, accertamento o perseguimento di reati o esecuzione di sanzioni penali.

  

Dove si applica il GDPR?

Il Regolamento europeo sulla protezione dei dati personali non ha solo dei limiti “materiali”, come spiegato nel paragrafo precedente, ma ha anche dei limiti “territoriali” di applicazione. Per certi versi sembrerà banale, ma è importante specificare che il GDPR è un regolamento europeo che non ha valenza per tutti gli Stati del mondo, ma segue delle regole ben specifiche. Tali limiti sono stabiliti all’art. 3 del Regolamento, il quale precisa che esso si applica:

  1. al trattamento dei dati personali effettuati da un soggetto che risiede nell’Unione Europea, indipendentemente dal fatto che il trattamento stesso sia effettuato o meno all’interno dell’UE. 
  2. al trattamento di dati personali di persone fisiche che si trovano nell’Unione Europea, effettuato da soggetti con sede al di fuori dell’UE quando questi ultimi:
    • offrono beni o servizi ai residenti dell’UE
    • monitorano il comportamento dei residenti dell’UE

In entrambi i casi è consigliabile, per chi tratta i dati personali in maniera informatizzata o con mezzi elettronici, conservare tali dati in server sicuri, ubicati all’interno dello Spazio Economico Europeo, in modo che siano sempre trattati da soggetti operanti in paesi dove sono presenti autorità amministrative indipendenti, capaci di sanzionare eventuali violazioni.

Alcuni esempi per chiarire le idee…

Facciamo ora alcuni esempi pratici per calare nella concretezza la normativa teorica spiegata finora. 

Se un’azienda italiana raccoglie i dati dei propri dipendenti per preparare le buste paga ed i cedolini mensili deve applicare il GDPR?
SI! Perché l’azienda effettua un trattamento di dati personali (data anagrafici e dati bancari) relativi a persone fisiche.

Se decido di creare una lista con i nomi e cognomi dei miei amici e dei miei familiari per invitarli al mio compleanno devo applicare il GDPR?
NO! Perchè sto trattando dei dati solamente con una finalità personale.

Se un’azienda ha sede in Francia e raccoglie dei dati personali di potenziali clienti residenti in America per effettuare delle comunicazioni promozionali, deve rispettare il GDPR? 
SI! Perchè l’azienda ha sede all’interno dell’UE, pertanto è applicabile il GDPR.

Se un’azienda informatica americana ha accesso ai dati personali di persone residenti in Italia contenuti in un software, deve rispettare il GDPR?
SI! Perchè sta trattando dati di cittadini dell’UE, dunque deve adeguarsi al GDPR.

Un’azienda australiana raccoglie dei dati personali di cittadini russi per finalità statistiche, è applicabile il GDPR?
NO! Perchè né l’azienda nè le persone fisiche risiedono nell’Unione Europea.

È evidente che i limiti materiali e territoriali di applicazione del GDPR sono precisi e puntuali ed è fondamentale comprendere quando questo regolamento deve essere rispettato.

Noi di Miriade, grazie ad attività di formazione e di assessment, possiamo guidarti nel definire le migliori pratiche per essere certo di essere compliance con la normativa e applicarne correttamente le direttive nella tua organizzazione

gdpr cos'è?

Che cos’è il GDPR? Facciamo chiarezza

VAI ALL’ARTICOLO

Scopri i servizi GDPR compliant di Miriade

SCOPRI I SERVIZI
perché importante GDPR

Perché è importante il GDPR?

VAI ALL’ARTICOLO