Iñigo de Miguel Beriain (UPV/EHU)
Questa parte delle Linee guida è stata rivista da Daniel Jove Villares, Universidade Da Coruna, Spagna
Questa parte delle Linee guida è stata rivista e convalidata da Marko Sijan, Senior Advisor Specialist, (HR DPA)
Definizione
Secondo l’articolo 4(2) del GDPR, il trattamento “qualsiasi operazione o insieme di operazioni eseguite su dati personali o su insiemi di dati personali, con o senza l’ausilio di mezzi automatizzati, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la divulgazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione”.
Pertanto, il concetto di trattamento è ampio. Esso copre una vasta gamma di operazioni eseguite su dati personali, anche con mezzi manuali o automatizzati, se fa parte di un archivio strutturato, cioè un insieme strutturato di dati personali che sono accessibili secondo criteri specifici, sia centralizzato, decentralizzato o disperso su base funzionale o geografica (art. 4(6)).
Chiaramente, l’elenco incluso nell’articolo 4(2) non è esaustivo, il che significa che anche altre operazioni con dati personali che funzionano bene con la definizione generale dovrebbero essere considerate trattamento secondo il GDPR. Alcuni esempi di trattamento includono: gestione del personale e amministrazione del libro paga; accesso/consultazione di un database di contatti contenente dati personali; invio di e-mail promozionali; triturazione di documenti contenenti dati personali; pubblicazione/inserimento di una foto di una persona su un sito web; memorizzazione di indirizzi IP o indirizzi MAC; registrazione video (CCTV), ecc. [1]
Il trattamento come concetto chiave nel GDPR
Il trattamento è un elemento essenziale in termini di diritti di protezione dei dati. Ciò che il GDPR regola veramente non sono i dati in sé, ma il trattamento dei dati personali. Questo uso dei dati fa scattare l’applicazione delle norme sulla protezione dei dati. Infatti, l’articolo 1(1) del GDPR afferma che “Il presente regolamento stabilisce norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali e norme relative alla libera circolazione dei dati personali.”
Le circostanze del trattamento definiscono gli elementi normativi essenziali: la necessità (o meno) di trovare un motivo per trattare i dati, se si tratta di una categoria speciale; la base di legittimità appropriata; se si tratta di un trattamento uno ad uno o di un trattamento su larga scala; il livello di rischio specifico; le garanzie da attuare; e così via. Ogni trattamento sarà, insomma, un evento separato e indipendente, con caratteristiche e dimensioni proprie. Quindi, è sempre necessario pensare che le norme di protezione dei dati si applicano a ciascuno di essi.
- Commissione UE, Cosa costituisce il trattamento dei dati, all’indirizzo: https://ec.europa.eu/info/law/law-topic/data-protection/reform/what-constitutes-data-processing_en. ↑