GDPR e trattamento dei dati: cosa è necessario sapere

Viviamo in un mondo in cui qualunque cosa facciamo la facciamo utilizzando i nostri dati, sia in formato cartaceo che digitale. Dato che l’ultima legge sulla privacy risale agli anni Novanta, c’era bisogno, quindi, di un regolamento europeo che ne regolasse il trattamento.

Il General Data Protection Regulation (legge europea n. 2016/679), entrato in vigore nel 2016 regola il trattamento dei dati personali e la privacy nel contesto dell’intera Unione Europea.

Questa legge ha 3 obiettivi principali

  • proteggere i dati personali dei cittadini europei;
  • restituire ai cittadini il controllo dei propri dati personali;
  • semplificare le norme che riguardano gli affari internazionali, unificando e rendendo omogenea la normativa privacy dentro l’UE;

Cosa si intende per trattamento dei dati personali

Per trattamento dei dati personali secondo la legge italiana, si intende qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicati a dati personali o insiemi di dati personali, concernenti:

  • la raccolta,
  • la registrazione,
  • l’organizzazione, 
  • la conservazione, 
  • la consultazione, 
  • l’elaborazione, 
  • la modificazione, 
  • la selezione, 
  • l’estrazione, 
  • il raffronto, 
  • l’utilizzo, 
  • l’interconnessione, 
  • il blocco, 
  • la comunicazione, 
  • la diffusione, 
  • la cancellazione 
  • e la distruzione di dati, 

anche se non registrati in una banca dati. 

Il GDPR disciplina solo il trattamento dei dati personali che riguardano una persona fisica, con esclusione delle persone giuridiche (tranne poche eccezioni). Quindi solo le persone fisiche possono essere interessate al trattamento, non anche le persone giuridiche.

Cosa sono i dati personali

La definizione dei dati personali viene data dal Garante per la protezione dei dati personali:

“Sono dati personali le informazioni che identificano o rendono identificabile, direttamente o indirettamente, una persona fisica e che possono fornire informazioni sulle sue caratteristiche, le sue abitudini, il suo stile di vita, le sue relazioni personali, il suo stato di salute, la sua situazione economica, ecc…”

Più nello specifico i dati personali possono essere divisi in: 

  1. Dati che permettono l’identificazione diretta o indiretta, come nome, cognome, foto/immagini, codice fiscale, indirizzo, indirizzo IP, numero di targa.
  2. Dati rientranti in particolari categorie, come l’origine razziale, l’orientamento religioso, la salute, la vita sessuale, le convinzioni politiche, l’appartenenza sindacale, i dati genetici, i dati biometrici.
  3. Dati giudiziari, tra cui le condanne passate in giudicato, obbligo o divieto di soggiorno, ingiunzioni, misure alternative di detenzione.

Conservazione dei dati: dopo quanto tempo possono essere distrutti

L’articolo 4, comma 2 del GDPR definisce il trattamento dei dati personali come:

“Qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione.”

Per quanto tempo invece viene definito nel comma 1, lettera E dell’articolo 5:

“[I dati devono essere] conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; i dati personali possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, conformemente all’articolo 89, paragrafo 1, fatta salva l’attuazione di misure tecniche e organizzative adeguate richieste dal presente regolamento a tutela dei diritti e delle libertà dell’interessato.”

GDPR e distruzione documenti

Il GDPR regola la protezione dei dati, inclusa la loro corretta distruzione. 

Sia i documenti cartacei che quelli digitali devono essere distrutti in conformità con i requisiti legali determinati dalla legge. 

Per legge i documenti amministrativi, che contengono informazioni riservate, devono essere conservati per almeno 10 anni, dopodiché è possibile distruggerli in modo certificato e conforme al GDPR. 

La distruzione di documenti cartacei deve avvenire attraverso un processo di triturazione di tutto il materiale ad opera di aziende certificate, sotto la supervisione dell’addetto aziendale, che può seguire l’intera procedura. 

Se la tua azienda necessita di eliminare del materiale documentale rivolgiti a professionisti certificati come Distruzione documenti, la prima azienda italiana specializzata nella distruzione ed eliminazione dei dati riservati. Oltre al cartaceo, l’impresa distrugge file e informazioni sensibili da hard disk, chiavette, smartphone e computer.

Perché un distruggidocumenti da ufficio non è la scelta migliore?

Molti uffici pensano che utilizzare un distruggidocumenti possa essere sufficiente, ma in realtà non è proprio così. Ridurre un documento anche in piccole strisce di carta, non assicurerà la sua totale distruzione: alcuni software riescono a rimettere in ordine le diverse strisce di carta ricostruendo il documento appena distrutto 

Distruggere i documenti con un distruggidocumenti da ufficio e poi smaltirli o affidarli ad una ditta di pulizie o riciclo, non è quindi sufficiente.

La distruzione con speciali automezzi mobili, direttamente sul posto dove sono conservati i documenti, è l’unica procedura che assicura la distruzione sicura e certificata dei documenti aziendali e la loro completa irrecuperabilità.