Per dati personali si intende qualsiasi informazione relativa a una persona fisica, o qualsiasi combinazione di informazioni che consenta di identificare direttamente o indirettamente una persona fisica (denominata “interessato”).
Ad esempio, per dati personali si intendono:
- cognome e nome, in quanto dati direttamente identificativi
- un identificatore, l’indirizzo IP o il numero di previdenza sociale, che sono invece dei dati identificativi indiretti; oppure
- una combinazione di informazioni che identifica una persona.
Si distingue tra dati standard (indirizzo e-mail, numero di telefono, ecc.) e dati altamente sensibili (dati bancari, geolocalizzazione, ecc.).
I dati altamente sensibili vengono definiti tali perché possono comportare un rischio significativo per i diritti e le libertà delle persone interessate e richiedono di essere oggetto di misure di sicurezza speciali.
Anche i dati sensibili (origini razziali o etniche, opinioni politiche, filosofiche o religiose, appartenenza a sindacati, dati sanitari, vita sessuale, dati genetici, reati e condanne penali, dati biometrici e numeri di previdenza sociale) devono essere soggetti a una disciplina specifica.
In generale, le aziende trattano i dati personali, ad esempio i dati necessari per gestire i clienti, i fornitori o le risorse umane.
Da quel momento in poi, le aziende che raccolgono e gestiscono dati personali dei propri clienti, fornitori o dipendenti devono conformarsi al GDPR adottando misure concrete e verificabili, come la preparazione e l’aggiornamento di appositi registri, la redazione di informative o la stipula di contratti di subappalto con i loro fornitori di servizi, al fine di garantire la loro conformità alla normativa in tema di protezione dei dati personali.