Dati personali: cosa sono? Cos’è il trattamento dei dati personali e quando è lecito? Cosa si rischia a violare la privacy? Il diritto alla privacy è uno dei più invocati allorquando si parla di divulgazione di fotografie, filmati, immagini, indirizzi di residenza, numeri di telefono, ecc. Moltissime persone tengono alla propria riservatezza e ritengono che la loro privacy sia violata se qualcuno comunichi ad altri i propri dati personali. Ciò è vero, ma nei limiti di quanto previsto dalla legge. Quando è consentito divulgare i dati personali altrui?

Per rispondere a questa domanda dovremo necessariamente comprendere cosa intende la legge per dati personali; solo successivamente potremo capire se è possibile o meno la loro divulgazione e, in caso positivo, a quali condizioni. Cosa sono i dati personali? In cosa consiste il loro trattamento? È possibile diffondere i dati personali di altre persone senza che abbiano prestato il consenso? Se l’argomento ti interessa, prosegui nella lettura: ti basteranno cinque minuti per trovare le risposte che cerchi.

Per dati personali, stando alla legislazione e alla giurisprudenza vigente – i cui massimi riferimenti attuali sono il Regolamento UE 679/2016 (GDPR) e il Dlgs 101/2018 che ha integrato il Dlgs 196/2003, noto come Codice della Privacy – si intendono tutte quelle informazioni riconducibili ad una persona fisica e alla sua attività. Un dato personale può essere il nome, il cognome, l’indirizzo mail, il numero di telefono e/o cellulare; d’altro canto sono dati personali tutti quei riferimenti allo stato di salute, lavorativo, economico e sociale di una persona: estratto conto bancario, numero conto corrente, stipendio in busta paga, cartelle cliniche, eventuali problematiche di salute fisica, psichica o mentale.

Rientrano nella categoria dei dati personali anche le opinioni politiche espresse in un sondaggio, dati relativi a condanne penali o reati, l’etnia o il gruppo razziale di appartenenza, l’orientamento sessuale, il credo religioso, lo status socio-culturale di una persona: questo ultimo elenco di dato, per la loro delicatezza, viene definito “particolare” e in tali casistiche il trattamento è espressamente vietato per legge amenoché non sia previsto conformemente agli articoli 9 e 10 del GDPR.

I dati personali non particolari possono essere trattati previo consenso esplicito dell’interessato e rispettando i principi di liceità, correttezza, trasparenza, integrità, riservatezza e proporzionalità, così come sanciti dall’articolo 5,6, 7 del GDPR; in particolare il consenso deve essere informato ed è in capo al titolare del trattamento l’onore di tale dimostrazione in caso fosse necessario. Il titolare deve anche garantire una serie di diritti all’interessato in relazione ai dati forniti per l’attivazione o la fruizione di un servizio o per altre motivazioni, quali ad esempio il diritto alla portabilità, all’aggiornamento, alla limitazione, alla rettifica, alla cancellazione e all’oblio. In questo senso i riferimenti normativi principali sono gli articoli dal 15 fino al 22 del GDPR. Abbiamo visto che cos’è un dato personale e che cos’è un trattamento; urge rimarcare che quest’ultimo è da considerarsi illecito se non rispetta principi, limiti e prerogative sopra elencate. Il GDPR infatti rivoluziona l’approccio stesso alla gestione dl processo privacy con una chiara logica duale: da una lato stimola gli interessati a partecipare più attivamente alla gestione, conservazione e accessibilità dei propri dati, puntando su più sensibilizzazione e più formazione; dall’altro responsabilizza il titolare del trattamento, che deve garantire con la sua azione una serie di tutele adeguate per una piena protezione dei dati personali.

Quest’ultimo aspetto, noto come principio di responsabilizzazione – accountability – rende perfettamente l’idea del rinnovato approccio circa l’importanza fondamentale dei dati nella società attuale, iper-connessa e ricca di informazioni, dove i dati rappresentano una vera e propria fonte di ricchezza per privati e aziende: i grandi social network, le grandi agenzie di marketing e comunicazione, i cookie e la profilazione messa in campo dal mondo della rete ne sono la testimonianza più limpida.

In un mondo in cui i dati rappresentano il petrolio del terzo millennio, divulgare i dati personali altrui senza autorizzazione costituisce un grave illecito, perseguibile civilmente e in casi più gravi anche penalmente, per mezzo di sanzioni amministrative e pecuniarie molto elevate, supportate dal portato legislativo del GDPR. La divulgazione di dati di terzi è consentita solamente su espressa autorizzazione o consenso dell’interessato, e deve essere monitorata garantendo standard minimi di protezione dei dati, come richiedono espressamente una corretta applicazione del GDPR, della normativa dei singoli stati  appartenenti all’Unione e delle linee guida dei Garanti della Privacy nazionali.