Definizione di dati personali e come proteggerli?

La definizione di dato personale, a livello europeo, è contenuta all’interno del Regolamento Generale sulla Protezione dei Dati (GDPR).

Dall’entrata in vigore del GDPR nel maggio 2018, in Italia è stato emanato il decreto legislativo 101/2018 che recepisce la direttiva europea. Pertanto, in questo articolo consideriamo principalmente il GDPR.

Il Regolamento Generale sulla Protezione dei Dati (GDPR) dell’UE definisce i dati personali in questo modo: “«dato personale»: qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale;” – (art. 4 GDPR)

Questo regolamento generale ha sostituito la direttiva del 1995, aggiornando così la normativa sulla protezione dei dati a livello europeo.

La normativa precedente, infatti, definiva il dato personale come: “qualsiasi informazione concernente una persona fisica identificata o identificabile («persona interessata»); si considera identificabile la persona che può essere identificata, direttamente o indirettamente, in particolare mediante riferimento a un numero di identificazione o a uno o più elementi specifici caratteristici della sua identità fisica, fisiologica, psichica, economica, culturale o sociale;” – (art. 2 Direttiva 95/46/CE del Parlamento europeo e del Consiglio).

Dal confronto si evince che non è cambiato molto, è stata solamente aggiunta la caratteristica “genetica” tra le varie tipologie identificabili come dato personale. L’inclusione delle caratteristiche genetiche nel nuovo ordine riflette il progresso della biotecnologia e della medicina, poiché l’elaborazione dei dati sulle caratteristiche genetiche è più rilevante oggi rispetto a quanto non fosse 20 anni fa.

Ecco le categorie di dati personali definiti all’interno del GDPR dell’Unione Europea:

Dati che consentono l’identificazione diretta dell’interessato:

• nome e cognome;
• indirizzo di casa;
• indirizzo e-mail;
• numero identificativo nazionale;
• numero di passaporto;
• indirizzo IP (quando collegato ad altri dati);
• numero di targa del veicolo;
• numero di patente;
• volto, impronte digitali o calligrafia;
• numeri di carta di credito;

L’articolo 9 del GDPR sancisce un generale divieto di trattare alcuni tipi di dati, cioè quelli che rivelino:

• l’origine razziale o etnica;
• le opinioni politiche;
• le convinzioni religiose o filosofiche;
• l’appartenenza sindacale;
• i dati genetici, che forniscono informazioni uniche sulla fisiologia o la salute di un individuo;
• dati biometrici intesi a identificare in modo univoco una persona fisica (ad esempio, un gruppo di fotografie caricate online, oppure negli aeroporti dove l’immagine dell’individuo viene scansionata per identificarlo);

Queste categorie di dati possono essere trattati solo nei casi espressamente indicati all’interno del regolamento GDPR.

La protezione dei dati personali rientra nel diritto all’autodeterminazione informativa. Ognuno ha il diritto di sapere come vengono gestiti i propri dati. Se questi dati non sono adeguatamente protetti, si potrebbero creare molti danni.

Il nuovo regolamento europeo stabilisce che ognuno dovrebbe essere in grado di decidere da solo quali dati personali desidera divulgare e chi può utilizzarli.

È particolarmente importante proteggere i dati quando la loro divulgazione può comportare discriminazioni e svantaggi.

Le aziende devono adottare misure di sicurezza aggiuntive per il trattamento dei dati personali. Esistono diverse possibilità per proteggere i dati, ad esempio tokenizzazione, pseudonimizzazione, anonimizzazione e crittografia. Con la crittografia, i dati personali diventano irriconoscibili e quindi la persona interessata non è identificabile. Alcuni affermano, addirittura, che i dati personali crittografati non rientrano più nei dati personali, proprio perché la loro lettura non permetterebbe di riconoscere alcuna persona.

Ad esempio, è utile notare che i dati personali non dovrebbero essere archiviati nel cloud per motivi di sicurezza, soprattutto quando si tratta di archiviazione cloud con server all’estero soggetti ad altre leggi (meno rigorose) sulla protezione dei dati.

Tuttavia, se i dati sono crittografati senza alcuna possibilità che una terza parte possa accedervi, l’archiviazione dei dati nel cloud è ammissibile anche secondo il GDPR europeo.

Una delle attività criminali che potrebbe minare i nostri dati personali è il phishing. Che cos’è il phishing? Si tratta di una tecnica illecita utilizzata da malintenzionati per entrare in possesso di informazioni riservate relative a una persona o a un’azienda, come ad esempio username e password, codici di accesso bancari, numeri di conto corrente, dati del bancomat e della carta di credito, allo scopo di compiere operazioni fraudolente.

Per assicurarsi che i propri dati personali non finiscano nelle mani sbagliate, è bene implementare alcune misure di sicurezza come:

• aggiornare regolarmente sistema operativo e applicazioni;
• fare uso di una VPN mentre si naviga sul web;
• attivare Threat Protection, la funzionalità di NordVPN che permette di rilevare e bloccare file e siti malevoli prima che possano agire;
• utilizzare password sicure e cambiarle frequentemente;
• usare un firewall;
• far attenzione a siti, mail e telefonate sospette.