Il trattamento dati personali è il cuore del GDPR, la normativa europea sulla privacy entrata in vigore nel 2018. Questa rivoluzionaria legislazione ha introdotto importanti novità che impattano in modo significativo su freelance digital, agenzie digital, imprese web ed e-commerce.
Prima del GDPR, il trattamento dati personali era già disciplinato dalla legge sulla privacy, ma la nuova normativa ha elevato il dato personale a oggetto di tutela primaria.
Vediamo quindi nel dettaglio cosa s’intende oggi per “trattamento dati” e quali sono le informazioni personali coinvolte nella disciplina legislativa.
CONTENUTO DELL'ARTICOLO
- 1 Principi del trattamento dati personali GDPR
- 2 Trattamento dati personali: quali dati sono “personali”?
- 3 Cosa significa trattare i dati personali
- 4 Chi può trattare i dati
- 5 Consenso al trattamento dati personali: è la regola ma…?
- 6 Trattamento necessario dei dati personali
- 7 Consenso dell’interessato non necessario per il trattamento dati personali:
- 8 Consenso dell’interessato “rinforzato” per il trattamento dati
- 9 Conclusione trattamento dati personali
Principi del trattamento dati personali GDPR
Guarda il video
I principi relativi al trattamento dei dati introdotti dal GDPR ed elencati all’art. 5, sono sicuramente il punto di partenza per capire la ratio dell’intera normativa:
- liceità, correttezza e trasparenza del trattamento, nei confronti del soggetto interessato al trattamento. Da questo principio deriva l’obbligo della messa a disposizione dell’informativa privacy;
- limitazione della finalità del trattamento: i dati possono essere trattati solo per le finalità per cui vengono acquisiti;
- minimizzazione dei dati: non si possono chiedere dati ulteriori rispetto a quelli necessari per raggiungere le finalità per cui sono acquisiti. Ad esempio non si può chiedere il numero di telefono per far iscrivere una persona ad un webinar, per cui è sufficiente avere l’indirizzo e-mail;
- esattezza e aggiornamento dei dati, compresa la tempestiva cancellazione dei dati che risultino inesatti rispetto alle finalità del trattamento;
- limitazione della conservazione: ossia, è necessario provvedere alla conservazione dei dati per un tempo non superiore a quello necessario rispetto agli scopi per i quali è stato effettuato il trattamento;
- integrità e riservatezza: occorre garantire la sicurezza adeguata dei dati personali oggetto del trattamento. Principi che si concretizzano nella privacy by design.
Trattamento dati personali: quali dati sono “personali”?
I dati personali sono tutte quelle informazioni attraverso cui si può risalire all’identità di una persona.
I dati personali si distinguono in due categorie, dati personali comuni e dati personali particolari.
Esempi di dati personali comuni:
- nome e cognome
- indirizzo e-mail personale
- indirizzo e-mail aziendale da cui si può identificare la persona
- indirizzo di residenza, domicilio
- l’immagine della persona
- il codice fiscale
- targa dell’auto
I dati personali comuni spesso sono di pubblico dominio: il codice fiscale ad esempio si può ricavare andando su specifici siti web. Le immagini, ad esempio le foto, spesso sono pubbliche, così come il nome e cognome di una persona, senza considerare la targa della macchina.
Esempi di dati personali particolari, precedentemente chiamati dati “sensibili”, per il cui trattamento il GDPR prevede una disciplina specifica:
- convinzioni religiose
- orientamento sindacale e opinioni politiche
- dati relativi ad etnia.
Ciò che contraddistingue i dati particolari rispetto ai dati comuni, è la maggior limitazione del trattamento. È necessario avere il consenso esplicito dell’interessato, a meno che quei dati non siano necessari per legge. Il classico esempio è quello della necessità di trattare i dati per il calcolo della retribuzione e a fini pensionistici.
Menzione a parte meritano i dati sanitari e i dati giudiziari che possono essere trattati solo da personale autorizzato per legge.
Fatte le dovute premesse, arriviamo al punto. Cosa significa “trattamento” dei dati personali. Quando inizia e quando finisce.
Ascolta il podcast
Cosa significa trattare i dati personali
Per trattamento dei dati personali si intende tutto il processo che parte dall’acquisizione dei dati, comprende la modalità di utilizzo dei dati stessi, la conservazione, fino alla cancellazione. Il GDPR disciplina ogni aspetto del trattamento. Andiamo a vedere nei dettagli.
Partiamo dal concetto per cui il dato personale anche se è pubblico, cioè facilmente reperibile, non è a disposizione di tutti. Per il trattamento dei dati personali, da qualsiasi fonte provengano, è necessario avere il consenso dell’interessato.
#1. Acquisizione dati personali
L’interessato al trattamento deve sempre essere informato:
- di quali saranno i dati trattati
- per quali finalità i suoi dati saranno trattati
- per quanto tempo i suoi dati saranno trattati
Da qui l’obbligo dell’informativa privacy.
Anche il consenso trattamento dati personali per essere valido deve essere acquisito rispettando determinati principi.
Il consenso deve essere:
- libero: non condizionato ( da qui il divieto del cookie wall ad esempio)
- chiaro ed inequivocabile
- specifico per ogni finalità di trattamento, si parla di “granularità” del consenso
- verificabile: da qui l’importanza della conservazione della modalità di acquisizione del consenso
- revocabile e modificabile
Corso sulla Privacy e Gdpr
24 lezioni teoriche e pratiche sul Gdpr
Con questo corso potrai imparare, tra l’altro:
- Tutti gli aspetti fondamentali del R.U. 679/2016
- Quali sono i dati personali e quali non rientrano nel GDPR
- Tipologie di dati personali e relative tutele
- I soggetti del GDPR e relative responsabilità
- Corretta gestione dei dati personali online e offline
Il nostro corso esclusivo su tutto quello che ti serve sapere gestire la privacy sui tuoi asset digitali in modo legale ma anche performante al fine di evitare multe salate e problemi con gli utenti e clienti.
#2. Modalità di trattamento dati personali
Una volta che abbiamo acquisito legittimamente i dati, non possiamo farne ciò che vogliamo, e per quanto tempo vogliamo. Ci sono dei vincoli da rispettare:
- Finalità trattamento dati personali: l’utilizzo dati personali deve essere limitato alle finalità per cui sono stati acquisiti o per finalità affini. In questo secondo caso deve essere fatta un’attenta valutazione se sia il caso o meno di trattare il dato senza informare l’utente.
- Tempistiche di trattamento dati personali: i dati possono essere conservati solo per il tempo necessario a raggiungere le finalità per cui sono stati acquisiti.
Va da sé che è assolutamente vietata la diffusione dati personali.
#3. Modalità di conservazione dati personali
Il GDPR non dice esplicitamente come vanno conservati i dati, ma fornisce indicazioni importanti in merito alle modalità con cui vanno scelti i sistemi di conservazione dei dati. Nella consapevolezza che un certo margine di rischio di data breach è fisiologico, il titolare del trattamento deve fare di tutto per evitarlo. Da qui l’importanza della valutazione d’impatto. Ma anche la necessità di rivedere l’organizzazione aziendale se non adeguata alla conservazione sicura dei dati.
Inoltre l’azienda deve stare al passo con le innovazioni tecnologiche volte a rendere sempre più sicura la conservazione dei dati personali.
#4. Cancellazione dati
Disiscrizione e cancellazione dei dati non sono la stessa cosa. Quando un utente chiede la disiscrizione ad esempio da una lista, questo non implica che i dati debbano essere cancellati dal database. Se quella era l’unica lista a cui l’utente era iscritto, i suoi dati non saranno più utilizzati. La cancellazione è obbligatoria quando
- l’utente lo richiede, se non c’è una finalità di trattamento che è superiore alle esigenze dell’interessato;
- quando viene raggiunta la finalità per cui i dati erano trattati;
- quando scade il tempo massimo di conservazione dei dati, ad esempio per finalità di marketing.
“Ottima esperienza dalla a alla z. Consulenze dedicate molto interessanti ed esaustive, approccio serio ma al tempo stesso informale e risultato ovviamente top. Super consigliato per chi è nel settore digitalE”
Lorenzo Marinotti
Copywriter freelance
Chi può trattare i dati
Il titolare a poter trattare i dati personali non è l’unico soggetto autorizzato a trattare i dati, anzi il titolare del trattamento dati personali è colui che decide le finalità e le modalità del trattamento, non necessariamente si occupa della parte esecutiva del trattamento. I dati potranno essere “lavorati” da 2 altri soggetti:
- il responsabile del trattamento
- l’autorizzato al trattamento
Il Regolamento europeo non lascia nulla al caso anche per le modalità di incarico di questi soggetti e per i loro poteri e doveri in merito al trattamento dati personali.
Consenso al trattamento dati personali: è la regola ma…?
…ci sono eccezioni per cui talvolta il consenso dell’interessato non è necessario per trattare i dati, ed eccezioni per cui non è richiesto il verificarsi di uno dei principi cardine del consenso, quello per cui deve essere libero.
Bisogna distinguere le situazioni:
- i casi in cui l’interessato è obbligato a rilasciare il consenso. Quindi il titolare del trattamento richiede il consenso, ma se non viene dato non è possibile procedere, siamo nel caso del trattamento necessario dei dati. Ad esempio il caso di elaborazione del c.v.
- i casi in cui il consenso non è necessario. Questi casi sono elencati in maniera esaustiva dal GDPR. Fra questi casi però emerge il “legittimo interesse” del titolare del trattamento, categoria che può essere soggetta a dubbi interpretativi per i parametri di valutazione.
- i casi in cui è necessario un consenso “rinforzato”, come quando vengono trattati dati sensibili, o particolari come li chiama il Regolamento Europeo. Oppure quando i dati personali sono trattati ai fini di profilazione marketing. In questi due casi, oltre ai normali requisiti del consenso, se ne aggiungono altri.
Visto che trattamento dati e consenso privacy sono due argomenti strettamente legati, andiamo nel dettaglio su tutte le casistiche appena elencate.
Trattamento necessario dei dati personali
Uno dei requisiti del consenso è che per essere valido deve essere libero. Ci sono casi però in cui l’interessato è tenuto a rilasciare il consenso altrimenti non si può procedere per un’attività, che spesso è svolta nel suo interesse:
- adempiere ad un obbligo previsto per legge. Ad esempio il trattamento dei dati al fine dell’emissione della fattura al soggetto interessato
- finalità contrattuali: anche la semplice spedizione di un prodotto necessita il trattamento del dato indirizzo
Un caso che può essere assimilato al trattamento dati è:
Autorizzazione al trattamento dei dati personali nel c.v.
Qui è l’interessato al trattamento che si attiva affinché i suoi dati vengano trattati. Ad esempio per l’elaborazione del c.v., il candidato allega una sorta di liberatoria privacy, che permette di elaborare i dati presenti nel c.v.
Va da sé che se vale sempre la regola per cui una volta che si è raggiunta la finalità per cui i dati sono raccolti i dati stessi devono essere cancellati. Questa regola ha una ragione più forte per essere applicata in questi casi.
Come vale il principio per cui l’interessato può richiedere la modifica o la cancellazione dei dati anche prima che la finalità del trattamento venga raggiunta. Il titolare del trattamento dovrà eliminare il c.v. del candidato dal proprio database.
Se è l’interessato al trattamento a proporre la propria candidature, il titolare del trattamento non è tenuto a fornire l’informativa privacy. Ma non vengono meno gli altri diritti dell’interessato.
Guida gratuita GDPR
39 pagine formative gratuite sul GDPR
SFOGLIA L’ANTEPRIMA
Una Guida esclusiva di 39 pagine per adeguarti al GDPR, evitare sanzioni e aumentare le tue performance legali.
Lo strumento gratuito migliore per affacciarsi al mondo del GDPR!
Consenso dell’interessato non necessario per il trattamento dati personali:
Si possono distinguere in 2 tipologie:
- quelle per cui il titolare del trattamento ha un interesse superiore a quello dell’interessato al trattamento. Siamo nel caso del legittimo interesse
- quelle per cui la finalità del trattamento è più importante del consenso stesso.
Il legittimo interesse
Il GDPR stabilisce che talvolta l’interesse del titolare del trattamento a trattare i dati è superiore al diritto al consenso privacy dell’interessato al trattamento. Tuttavia l’interesse del titolare deve essere “bilanciato” con il diritto alla privacy dell’interessato.
Quindi è errato dare un’interpretazione estensiva del legittimo interesse.
Per quanto riguarda il marketing, il Regolamento Europeo stabilisce che
“Può essere considerato legittimo interesse trattare dati personali per finalità di marketing diretto”.
Ma presupposto è che ci sia una relazione fra titolare del trattamento e interessato al trattamento, ad esempio quando l’interessato è un cliente.
Ad oggi possiamo far rientrare in questa ipotesi solo il soft-spam, che è alla stregua di una comunicazione informativa. Il soft-spam per essere a norma di GDPR deve rispondere a questi requisiti:
- forma di marketing diretto, quindi e-mail ma anche marketing off-line come una lettera inviata per posta
- può avere come oggetto solo prodotti attinenti a quelli già venduti. In gergo si dice che si può fare up-selling e cross-selling.
Le altre ipotesi di consenso non necessario
- Per adempimento delle obbligazioni derivanti dal contratto. Ad esempio per rilasciare le carte fedeltà che permettono di avere sconti e premi. Ma attenzione: se i dati vengono utilizzati anche a fini marketing e profilazione è necessario inserire il modulo di consenso al trattamento dati personali. Per queste finalità l’interessato al trattamento sarà libero di scegliere senza che ciò rechi pregiudizio al raggiungimento delle finalità principali per cui la carta fedeltà viene rilasciata
- il trattamento dei dati personali è necessario per adempiere agli obblighi di legge
- il trattamento è necessario per far valere un diritto in giudizio
Consenso dell’interessato “rinforzato” per il trattamento dati
Ai normali requisiti del consenso se ne aggiungono altri:
Consenso scritto
Il GDPR non prevede come requisito del consenso la forma scritta, quello che richiede è che il consenso sia verificabile. Sicuramente un consenso acquisito verbalmente non è tracciabile.
Il consenso scritto è preferibile sicuramente per il trattamento di dati sensibili o particolari:
- dati sanitari
- dati che sono inerenti all’etnia della persona, al suo orientamento sessuale, politico, religioso
- dati da cui si deduce che l’interessato fa parte di sindacati, partiti politici, organizzazioni religiose
Anche la modalità di acquisizione del consenso deve essere conservata affinché il titolare del trattamento possa dimostrare la liceità del trattamento dei dati. Quindi il titolare del trattamento dovrà provvedere a conservare il modulo del consenso acquisito in un posto assolutamente sicuro. Così come dovrà garantire che questi moduli di acquisizione del consenso saranno poi eliminati in maniera adeguata affinché i dati non siano più leggibili una volta terminata la finalità per cui erano stati acquisiti.
Consenso esplicito: profilazione a fini marketing
La profilazione viene fatta, ad esempio, attraverso il monitoraggio delle azioni degli utenti sul sito web.
Sui siti web, soprattutto e-commerce inseriamo dei codici di tracciamento che permettono di in-seguire le azioni dell’utente sul nostro sito per poter poi fare remarketing attraverso vari canali: Google ads, Facebook ads e e-mail marketing.
Con questi codici di tracciamento vengono acquisiti dati aggregati che permettono di inserire gli utenti in determinate liste a seconda delle azioni che compiono. Per questo si parla di profilazione, attività che per il GDPR è border-line. Infatti pur acquisendo dati aggregati, si vanno a trattare dati inerenti ai gusti e alle abitudini degli utenti.
Il metodo attraverso cui viene richiesto il consenso all’attività di marketing e profilazione è il banner dei cookie, che vediamo sulla pagina del sito web quando vi atterriamo per la prima volta.
Ecco che la normativa sui cookie, del 2014, e la normativa del GDPR, del 2016, si intersecano andando a trattare la stessa materia per questa casistica.
Il fatto che le 2 normative non siano contemporanee ha creato problemi di interpretazione, per la cui risoluzione il Garante della Privacy ha emesso le linee guida del 21 giugno del 2021.
In questo contesto il Garante chiarisce che non c’è contraddizione fra i principi enunciati dal GDPR, in particolare in merito ai requisiti del consenso, e la normativa sui cookie, ma anzi si integrano perfettamente.
Portiamo 2 esempi che sono poi la parte clou delle linee guida:
- Lo scroll della pagina non può essere interpretato come acquisizione del consenso. Su questa materia il Garante italiano non fa che confermare la posizione presa dell’EDPB lo scorso anno. In merito a questo la legge sui cookie non dice nulla, quindi non ci sono articoli che contraddicono questa pronuncia. Mentre il GDPR, pur non parlando direttamente dei cookie, fa riferimento comunque degli strumenti attraverso cui si acquisiscono i dati, e il cookie banner è uno strumenti di acquisizione del consenso
- I titolari di sito web non possono invocare il legittimo interesse a fini marketing per evitare di dover chiedere il consenso al trattamento dei dati personali. Anche in merito a questa materia la legge sui cookie non dice nulla, mentre il GDPR elenca i casi in cui il titolare del trattamento ha un interesse superiore alla tutela della privacy dell’interessato al trattamento. è vero che il GDPR, all’art. 47, parla di legittimo interesse nel caso di marketing diretto, ma la norma non deve essere interpretata in maniera estensiva. Ad oggi solo il soft-spam rientra in questa ipotesi.
Queste linee guida sono innovative?
Per qualcuno sì, visto che sono non pochi i titolari di siti web che devono adeguarsi. Per l’adeguamento il Garante ha dato un termine di 6 mesi, quindi scadrà a gennaio 2022.
Quando i dati ai fini della profilazione vengono acquisiti invece off-line, ad esempio nel momento in cui si compila il modulo per ottenere una tessera fedeltà, la modalità di acquisizione del consenso deve rispettare i medesimi requisiti visti per la cookie e la privacy policy. Cambierà la modalità di conservazione del consenso: su moduli scritti conservati al sicuro o trasferiti su un software on-line con eliminazione del modulo scritto.
Conclusione trattamento dati personali
Si fa presto a parlare di trattamento dati personali e a definire le regole per l’acquisizione del consenso.
La verità è che la materia è molto complessa.
Se il marketing è la principale fonte del lavoro di un imprenditore, non può pensare di fare l’adeguamento GDPR da solo, senza conoscere molto bene la materia.
Profilazione, funnel di vendita, marketing diretto oggi sono la base di ogni attività imprenditoriale.
Cosa possono fare gli avvocati di Legal for Digital per la tua impresa?
- consulenza GDPR: per analizzare il tuo business dal punto di vista del trattamento dati e vedere se ci sono criticità legali
- adeguamento GDPR dell’azienda: gli adempimenti legali cambiano a seconda del tipo di azienda
- legal strategy: per un business vincente a norma di legge
Se non sai quale servizio è quello giusto per te, scrivici e fissiamo una call conoscitiva gratuita!
Brunella Martino
Avvocato specializzato in privacy e proprietà intellettuale con 18 anni di esperienza, DPO, arbitro in materia societaria, autrice Flaccovio Editore, formatrice aziendale, socia FederPrivacy, già componente Aiga nazionale Dipartimento Diritto delle nuove tecnologie, Founder Legal for Digital studio dell'anno per il Sole 24 Ore e Corriere della Sera
Quali sono i dati personali e come sono tutelati secondo il GDPR
11 Gennaio 2024Il concetto di dato personale, secondo GDPR, si riferisce a qualsiasi informazione che può essere utilizzata per identificare direttamente o indirettamente una persona.
L’obiettivo di questo articolo è offrire una guida essenziale per chiunque desideri comprendere le implicazioni legali e pratiche legate ai dati personali.
L’accessibilità dei siti web: una guida per renderli inclusivi e conformi alla normativa
25 Marzo 2025Come rendere accessibile un sito web a livello legale senza perdere di performance
Leggi altro
Il cookie banner è sempre obbligatorio? Cosa dice la legge
30 Settembre 2024Il banner è sempre obbligatorio? No. Ma quando è obbligatorio sfruttiamolo come leva strategica e non vediamolo solo come obbligo legale.
Leggi altro