1.1 – Cos’è il GDPR e cosa sono i dati personali

Trascrizione

Allora ragazzi, intanto grazie di essere qui. Oggi la tematica è complessa, come giustamente diceva Sonia, non è la più divertente, e già parliamo di aspetti legali. Come dicevo l’obiettivo è quello di fare un processo, un percorso per arrivare alla fine del corso ad avere una conoscenza che ci permetta di fare delle scelte, di capire cosa va bene, cosa non va bene, che è qualcosa di fondamentale. E vi dico la verità, è il 70% dei problemi in ambito privacy, non sapere quale direzione seguire. Piccola presentazione, io sono Alessandro Marcellotti, più noto come avvocato del digitale, fra le altre cose sono un docente in scuola di formazione, ho scritto un libro, sono formatore aziendale e ho fondato tra le altre cose Legal for Digital, il primo studio legale completamente verticalizzato sul mondo del digitale. Come dico io facciamo quattro cose in croce, privacy evidentemente, vendita online, contrattualistica per il digital e il grande ambito dei libri. Fra le altre cose abbiamo ricevuto anche il premio del solito 24 ore fra i migliori studi proprio nell’ambito della privacy, quindi diciamo che questo è un tema più caldo di altri per noi. Detto questo partiamo da un concetto base, ma che cos’è questo GDPR? Il GDPR non si applica a tutti i dati, questo è fondamentale da capire, ma si applica solamente ai dati personali, vale a dire a dati di persone fisiche, mi raccomando persone fisiche non persone giuridiche. E l’elemento fondamentale, che vedrete perché è veramente fondamentale, il discorso dell’identificazione, vale a dire che questa persona deve essere conosciuta o conoscibile, quindi identificata o identificabile. Vi faccio un esempio subito veloce, pensate ad Analytics, nel momento in cui voi abbiate sul sito Analytics anonimizzato, quindi non andate a fare per capirci Google Ads, quel dato tecnicamente non permette l’identificazione. Google sì, voi titolari del sito no. Ecco perché è importante capire se quella persona può essere identificata o identificabile. Se pensiamo all’immagine di una persona, nel momento in cui ho di fronte una persona, c’è il viso di una persona, sicuramente sarà identificabile. Il Face ID del cellulare cosa permette l’identificazione del volto, ma se al contrario avete una foto ad esempio della nuca, difficilmente sarà un soggetto identificabile e quindi e quindi non rientra nel GDPR, vuol dire che questa normativa di cui stiamo parlando non ci interessa. Detto questo, ma allora quali sono i dati personali? I dati personali possono essere veramente tantissimi, sicuramente parliamo del nome e cognome di un soggetto, parliamo del numero di telefono, parliamo della mail personale, su questo vi farò proprio un approfondimento specifico. Parliamo della targa dell’auto, perché? Perché nel momento in cui vado a inserire su un database la targa dell’auto, riesco a scoprire di chi è quell’auto e se è una persona fisica, quindi il titolare non è una società, avrò un dato personale, l’indirizzo di casa e potresti dirmi ma perché dovrei avere l’indirizzo di casa? Perché un e-commerce dove spedisce prodotti, la maggior parte dei casi se parliamo di consumer li spedisce all’indirizzo di casa, quindi cominciamo a entrare nel mindset di quanti dati personali tutti i giorni trattiamo per noi o eventualmente per i nostri clienti, perché se siamo nell’ambito marketing e comunicazione i dati che trattiamo maggiormente non sono nel nostro interesse. Questo è uno spoiler che vedremo fra qualche istante. Altro elemento fondamentale che voglio chiarire perché quasi tutti i giorni sento dire dati sensibili. Cosa sono i dati sensibili? La risposta è oggi non esistono più i dati sensibili. Una volta i dati sensibili erano quei dati come quelli sanitari, giudiziari, sessuali, politici. Ora nella nuova normativa del GDPR non si parla più di dati sensibili ma di dati particolari. Particolari proprio in confronto ai dati di cui parlavo prima. È chiaro che per la normativa, per questo regolamento europeo, il nome e un cognome è un dato personale che ha una certa importanza però è molto più importante da tutelare un dato come quello giudiziare, quindi sapere ad esempio se un soggetto ha dei carichi pendenti. Quindi ad esempio io che sono un avvocato, meglio il mio studio, tratta dei dati quando siamo in ambito giudiziale che la cui normativa ritiene ci debba essere una tutela maggiore perché nel momento in cui vengono condivisi ci potrebbe essere un pericolo maggiore. Quindi impariamo che i dati sensibili non esistono più e oggi si parla di dati particolari ma solo in questi casi. Non sottovalutateli perché tante situazioni, pensiamo ai dati sanitari, pensate anche solo a una piattaforma che vende corsi di yoga. Bene, nel momento in cui andiamo a chiedere informazioni su particolari patologie che potrebbero creare problemi per quel tipo di attività stiamo trattando un dato particolare e quindi e quindi dobbiamo porre maggiore attenzione. Bene, quali mail posso utilizzare? Perché questo è un tema veramente veramente comune che mi chiedono sempre perché va bene le mail personali ma anche le mail aziendali potrebbero essere un grosso enorme problema. Questa è una mail sicuramente aziendale e la mail è un dominio aziendale e preceduta dalla parola studio non c’è nessun dato personale ma stessa cosa per tutte le mail che incrociate online e sono info chiocciola, amministrazione, commerciale chiocciola. Il concetto è se voi trovate una mail con un dominio aziendale preceduta da un’indicazione che non è un dato personale quella è una mail aziendale a tutti e tutti gli effetti e conseguentemente cosa fondamentale non rientrando nel GDPR tutto quello che stiamo dicendo oggi non vi interessa, non rileva e quindi potete trattare quella mail potenzialmente come volete. Mi raccomando nel senso che se non si applica il GDPR non ho bisogno di tutti quei consensi di cui parliamo e parleremo. Andiamo a vedere però i casi particolari. Questa mail è una Gmail, ok? Di per sé è una mail personale, non è detto, in questo caso chiaramente c’è il mio nome e cognome è sicuramente una mail personale quindi rientra nel GDPR. E questa mail? Questa mail è un’altra Gmail dove però è preceduta da un nome evidentemente di fantasia. Se tra cosa dicevamo prima, dato identificato, identificabile, nel momento in cui tramite quel dato riesco a identificare una persona fisica quindi è un dato personale anche questa mail è un dato personale anche se non c’è un nome e un cognome. Stessa cosa vale per tutte le altre mail che siano Yahoo, Hotmail, quello che volete. Il senso è se è personale rientra nel GDPR. Vi voglio però portare un ennesimo caso molto particolare. Questa mail abbiamo detto prima che laddove abbiamo un dominio aziendale la mail è aziendale? Sicuramente sì, ma non abbiamo la certezza che sia una mail non personale. Perché? Perché nel momento in cui in quella mail ci sono dati personali il GDPR prevale e conseguentemente quella mail aziendale diventa una mail personale, rientra nel GDPR. Anche qui voglio portarvi un elemento in più. Soprattutto quando parliamo di aziende, ma vale anche per le agenzie marketing, quando abbiamo un dipendente a cui viene attribuita una mail personale, quindi con loro nome e cognome o anche solo l’iniziale del nome e il cognome, mi raccomando dobbiamo stabilire nell’informativo e negli accordi con il dipendente i dovuti trattamenti di quella mail. Tradotto, essendo una mail personale potrebbe il dipendente vietarne l’accesso all’azienda, potrebbe addirittura chiudere quella mail e conseguentemente far perdere un sacco di dati all’azienda e l’azienda non ci può accedere o chiudere quella mail senza consenso del dipendente. Quindi mi raccomando ogni volta che trattiamo dati personali poniamo attenzione o almeno fermiamoci un attimo e capiamo le potenzialità e i pericoli dell’utilizzo di un dato personale senza le dovute regole.