Data Science, GDPR Compliant

GDPR Definition of Personal Data

GDPR Definition of Personal Data

Qual è la definizione del GDPR per dati personali? Comprenderla ci aiuta a condurre analisi evitando costose sanzioni amministrative: ecco la GDPR Definition of Personal Data.

Prima di proseguire, ricordiamoci alcuni assunti fondamentali senza i quali la comprensione del post sarebbe parecchio più ostica.

Distinguiamo tre entità giuridiche:

  • Il Consiglio d’Europa (CdE), noto anche come Council of Europe (CoE) è un’organizzazione internazionale che comprende 47 stati in Europa, istituita per promuovere la democrazia, e proteggere i diritti umani e lo Stato di diritto in Europa. Ha prodotto una regolamentazione simile al GDPR ,e chiamata Modernised Convention 108.
  • Il Consiglio Europeo, noto anche come European Council è un organismo collegiale che definisce le direzioni politiche comunitarie e le priorità dell’Unione Europea.
  • L’Unione Europea, o European Union (EU) è l’organizzazione internazionale politica ed economica con carattere sovranazionale. Attualmente conta 27 stati che hanno parzialmente delegato la propria sovranità su specifiche questione di interesse comunitario. Tutti i paesi dell’EU hanno prima aderito al Consiglio d’Europa.

Di nostro interesse sono poi:

  • Court of Justice of the European Union (CJEU), basta in Lussemburgo, si assicura che le leggi europee (EU Law dora in anzi) siano interpretate e rispettate in modo analogo in ogni paese dell’unione.
  • International Court of Justice (ICJ) è l’organismo giuridico delle Nazioni Unite (United Nation) di base all’Aia. (The Hague). Gestisce le dispute tra paesi, con il suo operato a primaria fonte della Legge Internazionale.

Questi termini torneranno a più riprese, dunque è bene averli sempre sotto mano.

GDPR Definition of Personal Data

Il GDPR è chiaro nella sua ambiguità.

Come molti testi di legge, è difficile dare norme precise e puntuali e anche qui troviamo una zona grigia di interpretazione.

Cercheremo comunque di dare quante più chiare informazioni possibili… senza annoiare.

Continua a leggere…

Sotto la EU law (27 stati) e la CoE law (47 stati) i dati personali o personal data sono definiti come l’informazione riferita a una persona fisica identificata o identificabile, definita data subject o interessato.

Punto.

Dato personale è per il GDPR qualsiasi informazione riferita a una persona identificata o identificabile.

Andiamo direttamente alla fonte per ricalcare ulteriormente la definizione.

«dato personale»: qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale;

General Data Protection Regulation, Art. 4 (1)

Per determinare se una persona sia identificabile, è necessario considerare tutte le ragionevoli misure che sia possibile attuare per identificare in modo diretto o indiretto l’individuo e trattare così in modo differente una persona dall’altra.

Quando i dati della persona così delineata sono processati, la persona è definita data subject o interesssato.

Quello che hai appena letto è contenuto nel Recital 26 del GDPR.

GDPR: Data Subject’s Personal Data

Il Recital 26 è fondamentale anche per chiarire un altro punto.

Devi sapere infatti una cosa fondamentale.

L’EU Law riconosce le sole persone naturali come beneficiari delle regole di protezione dati (Art. 1, Recital 26) e solo gli essere viventi sono protetti dalla legge europea di protezione dati. (Recital 27)

Il Recital 27 smentisce quindi ogni ragionevole dubbio: il GDPR non si applica ai dati personali di interessati deceduti.

Presta qui la massima attenzione.

Devi infatti sapere che il GDPR riconosce ai singoli stati la possibilità di fornire ulteriori disposizioni in materia di trattamento dei dati personali di interessati deceduti.

Vanno quindi esaminati casi specifici in funzione dello stato in cui il dato deve essere processato.

Sono concetti chiave in ambito finanziario e medico, i primi settori a essere coinvolti nella spiacevole situazione di un lascito prematuro.

La legge di protezione dati europea (EU data protection law) non copre dunque l’elaborazione dati di persone giuridiche (legal person) e in particolare non riguarda le imprese costituite come tali. (Recital 14)

Nature of the data

Qualsiasi informazione può potenzialmente essere un dato personale se impiegato per identificare un interessato.

La valutazione che un supervisore fa sulle prestazioni lavorative di un suo dipendente, salvate nella cartella personale del dipendente, sono da intendersi dati personali del subordinato.

Questo anche se la valutazione riflette in parte o totalmente l’opinione personale del superiore.

Un frase come “il dipendente è stato assente dal lavoro per 5 settimane negli ultimi sei mesi” costituisce un dato personale del dipendete e la sua elaborazione è dunque soggetta al GDPR.

Il confine tra vita privata e professionale è spesso una zona grigia di difficile interpretazione.

Il GDPR chiarisce allora ogni possibile dubbio.

I dati personali riguardano le informazioni sulla vita privata di una persona, incluse le attività professionali, così come informazioni sulla sua vita pubblica.

Direct vs Indirect Identifiers

In questo post abbiamo chiarito una differenza, spesso fraintesa, tra identificatori diretti e indiretti.

L’identificazione di una persona sappiamo oggi poter avvenire non solo attraverso i convenzionali direct identifiers come nome, numero di telefono, codice fiscale (social security number) o la targa del veicolo.

E’ tuttavia possibile usare anche altri attribuiti, come cookies, web traffic surveilance tools per individuare singole persone dai loro comportamenti (habits).

Teniamo presente che oggi è possibile asserire informazioni sullo stato economico sociale di un individuo studiando il suo comportamento online, senza disporre di dati come il nome o l’indirizzo di residenza.

Queste informazioni possono poi essere usate come discriminante e rappresentano dunque un dato personale.

Bulletproof mode

Facciamo dunque un rapido riassunto.

La legge dell’Unione Europea (EU Law) e quella del Consiglio d’Europa (CoE Law) stabilisce che un’informazione contiene dati di una persona se:

  • un individuo è identificato o identificabile da questa informazione;
  • un individuo, sebbene non venga identificato, possa essere individuato da questa informazione in modo che si capisca chi sia l’interessato conducendo ulteriori ricerche.

Ti svelo un altro concetto fondamentale.

Il GDPR è stato progettato per essere longevo.

GDPR chiarisce infatti che la diretta o indiretta identificabilità degli individui richiede una valutazione continua.

Sempre il Recital 26 ci informa infatti che la valutazione deve sempre tenere in considerazione la tecnologia disponibile al momento dell’elaborazione dati e gli sviluppi tecnologici.

Per il momento è tutto.

Per aspera, ad astra.

Un caldo abbraccio, Andrea

Written by -
Tags | , ,

You Might Also Like

enigma-cripthography-cypbersecurity-data-science-machine-learning-homomorphic-encryption-additive-secret-sharing-deep-learning-privacy-preserving

Introduzione alla Crittografia (Cryptography) | Differential Privacy

Maggio 2, 2020
self-taught-data-scientist-machine-learning-data-science-tips-data-scientist-salary-how-to-become-google-blog-data-science-machine-learning-deep-learning

Self-Taught Data Scientist: consigli operativi

Novembre 3, 2019
adversarial-ai-adversarial-example-deep-learning-italia-machine-learning-blog-italia

Adversarial AI: cyberattack a un nuovo livello

Maggio 10, 2020