GDPR Definition of Data Processing (Trattamento dati personali)

Qual è la definizione del GDPR per l’elaborazione dati (Data Processing) ? Comprenderla ci aiuta a condurre analisi evitando costose sanzioni amministrative sul trattamento dei dati personali: ecco la GDPR Definition of Data Processing.

Nel precedente blogpost abbiamo esaminato la definizione di Personal Data.

La nostra serie continua oggi con il data processing, ovvero il trattamento dei dati personali.

Ti lascio qui sotto una breve descrizione delle organizzazioni più comunemente citate nella nostra esplorazione del GDPR.

Distinguiamo tre entità giuridiche:

Il Consiglio d’Europa (CdE), noto anche come Council of Europe (CoE) è un’organizzazione internazionale che comprende 47 stati in Europa, istituita per promuovere la democrazia, e proteggere i diritti umani e lo Stato di diritto in Europa. Ha prodotto una regolamentazione simile al GDPR ,e chiamata Modernised Convention 108.
Il Consiglio Europeo, noto anche come European Council è un organismo collegiale che definisce le direzioni politiche comunitarie e le priorità dell’Unione Europea.
L’Unione Europea, o European Union (EU) è l’organizzazione internazionale politica ed economica con carattere sovranazionale. Attualmente conta 27 stati che hanno parzialmente delegato la propria sovranità su specifiche questione di interesse comunitario. Tutti i paesi dell’EU hanno prima aderito al Consiglio d’Europa.

Di nostro interesse sono poi:

Court of Justice of the European Union (CJEU), basta in Lussemburgo, si assicura che le leggi europee (EU Law dora in anzi) siano interpretate e rispettate in modo analogo in ogni paese dell’unione.
International Court of Justice (ICJ) è l’organismo giuridico delle Nazioni Unite (United Nation) di base all’Aia. (The Hague). Gestisce le dispute tra paesi, con il suo operato a primaria fonte della Legge Internazionale.

Questi termini torneranno a più riprese, dunque è bene averli sempre sotto mano.

Ciò detto, proseguiamo!

GDPR Definition of Data Processing ( Trattamento dati personali)

Il GDPR definisce trattamento dei dati personali (data processing) qualsiasi operazione o insieme di operazioni, interamente o parzialmente automatizzata, compiuta su dati personali, o insieme di essi, contenuti in un archivio o destinati a figurarvi. (Art. 2, 1)

In riferimento alle operazioni manuali, dobbiamo fare però alcune precisazioni.

Mentre l’EU Law fornisce disposizioni anche sul trattamento manuale dei dati personali, siano essi contenuti o destinati a essere contenuti in un archivio (Recital 15), per la CoE Law il significato della parola trattamento può essere estesa dalle leggi nazionali (domestic law) per includere l’elaborazione manuale.

Tornando alla definizione iniziale, quando parliamo di operazioni ci riferiamo ad esempio a:

Raccolta, registrazione dati
Organizzazione, strutturazione
Variazione, adattamento o modifica
Estrazione, consultazione, uso (i.e. l’impiego)
Comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa disposizione
Raffronto o interconnessione
Limitazione, cancellazione o distruzione

Ognuna di esse si intende compiuta su dati personali. (Art. 4, 2).

Le ho divise per agevolarne la lettura e lo studio ma sappi che non esiste alcuna particolare distinzione tra le operazioni: è semplicemente un elenco.

La Modernised Convention 108 (CoE Law) aggiunge anche la conservazione dei dati personali (preservation of personal data) alla definizione.

Trattamento automatizzato

Semplificando il burocratese, qualsiasi trattamento dei dati personali compiuto attraverso processi automatizzati con l’ausilio, ad esempio, di un computer, dispositivo mobile, o router, è protetto dalle regole di protezione dati dell’Unione Europea e del Consiglio d’Europa.

Gli articoli di riferimento sono in questo caso l’Art. 2 (1) e l‘Art. 4 (2)

Trattamento manuale

Anche il trattamento manuale dei dati personali richiede protezione dati (data protection).

La protezione dati si applica quindi anche al trattamento manuale dei dati personali, specialmente in caso di archivi strutturati cartacei.

Il sistema di archiviazione strutturato è quello che classifica un insieme di dati personali, rendendoli accessibili secondo determinati criteri.

Ad esempio, se un datore di lavoro registrasse su un foglio di carta i dettagli di turnover aziendali, ordinandoli alfabeticamente, queste informazioni personali costituirebbero un archivio strutturato manuale (manual filling system) soggetto alle leggi di tutela dati dell’Unione Europea.

Per il momento è tutto.

Per aspera, ad astra.

Un caldo abbraccio, Andrea

Written by Andrea Provino - Ottobre 27, 2020

Tags | data science, dataset, GDPR, privacy

4 Comments

GDPR: titolare e responsabile trattamento dati personali | Definizione Italia Ottobre 31, 2020 at 17:37

[…] aver visto cosa significhi trattare i dati personali nel precedente articolo sul GDPR, in questo post ti presento i doveri e le responsabilità di entrambe le […]

GDPR: trattamento senza consenso? - GDPR Compliant & Privacy Novembre 5, 2020 at 06:11

[…] subito un mito: è possibile il trattamento dei dati personali senza […]

Principi GDPR: liceità, correttezza e trasparenza Privacy Preserving Novembre 17, 2020 at 07:06

[…] definirsi lecito, il trattamento dei dati personali richiede il consenso dell’interessato o un’altra legittima autorizzazione (e.g. Il […]

GDPR: Principio di esattezza dei dati (Data Accuracy) - Privacy Preserving Dicembre 12, 2020 at 07:04

[…] dati inesatti rispetto alle finalità del trattamento devono essere eliminati o rettificati tempestivamente, senza […]