Cosa copre il GDPR?

Il Regolamento generale sulla protezione dei dati (GDPR) comprende una definizione ampia e precisa di dati personali, che si estende ben oltre gli identificatori di base. Secondo l'articolo 4, paragrafo 1, del GDPR, per dato personale si intende «qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»)” [1]. Ciò include, a titolo esemplificativo e non esaustivo:

• Nomi
• Numeri di identificazione
• Dati sulla posizione
• Identificatori online (come gli indirizzi IP)
• Indirizzi e-mail, numeri di telefono e indirizzi fisici

Il GDPR amplia ulteriormente l'ambito di applicazione, classificando determinati dati come categorie particolari di dati personali. Questi sono soggetti a una protezione rafforzata a causa della loro natura sensibile. L'articolo 9, paragrafo 1, elenca queste categorie, tra cui:

• Origine razziale o etnica
• Opinioni politiche
• Convinzioni religiose o filosofiche
• Appartenenza sindacale
• Dati genetici
• Dati biometrici (se utilizzati per l'identificazione)
• Dati relativi alla salute
• Dati relativi alla vita sessuale o all'orientamento sessuale di una persona

Il regolamento vieta esplicitamente il trattamento di tali categorie particolari a meno che non siano soddisfatte condizioni specifiche, come il consenso esplicito o un rilevante interesse pubblico [2].

Applicabilità
Il GDPR si applica extraterritorialmente. L'articolo 3 stabilisce che qualsiasi organizzazione, indipendentemente dalla sua ubicazione fisica, deve conformarsi se:

• Offre beni o servizi a persone fisiche nell'UE/SEE
• Monitora il comportamento di persone fisiche all'interno dell'UE/SEE

L'analisi empirica dimostra che le organizzazioni non-UE sono spesso soggette agli obblighi del GDPR quando raccolgono o trattano i dati dei residenti dell'UE, specialmente in scenari di commercio digitale e di analisi web [3].

Risultati chiave

• La definizione di dato personale ai sensi del GDPR è volutamente ampia, per garantire la copertura di forme di identificazione tradizionali ed emergenti (ad es. cookie, ID dispositivo).
• I dati personali sensibili, come definiti dal GDPR, richiedono standard di trattamento più severi e basi giuridiche esplicite.
• La portata del GDPR è globale: le entità al di fuori dell'UE/SEE devono valutare le loro attività di trattamento dei dati per una potenziale copertura.
• L'interpretazione del regolamento da parte delle autorità di controllo e dei tribunali ha costantemente favorito una protezione completa, sottolineando l'obiettivo del regolamento di salvaguardare i diritti degli interessati [4].

Riferimenti:
[1] Regolamento (UE) 2016/679 (Regolamento generale sulla protezione dei dati), Articolo 4(1). Gazzetta ufficiale dell'Unione europea
[2] Regolamento (UE) 2016/679, Articolo 9(1).
[3] Kuner, C., Bygrave, L. A., & Docksey, C. (2020). The EU General Data Protection Regulation (GDPR): A Commentary. Oxford University Press. OUP Reference
[4] Voigt, P., & Von dem Bussche, A. (2017). The EU General Data Protection Regulation (GDPR): Practical Guide. Springer. Springer Reference