Tutti i datori di lavoro al di là del requisito dimensionale devono rispettare il Regolamento?
Risposta
In base a quanto viene stabilito dall’articolo 2 del Regolamento UE 2016/679, le norme che in esso sono indicate trovano necessaria applicazione in tutti i casi in cui viene operato un trattamento di dati personali interamente o parzialmente automatizzato e anche nel caso in cui il trattamento di dati personali contenuti in un archivio, o destinati a figurarvi, non sia automatizzato ma svolto con modalità manuali e su dati analogici e non digitali.
Perché il Regolamento europeo trovi applicazione occorre pertanto che vi sia prima di tutto un trattamento di dati personali. Al fine di rispondere al quesito posto resta pertanto da definire in modo corretto ed esaustivo, e soprattutto utile, che cosa si intende per “trattamento” e quando i dati sono qualificabili come “dati personali”.
Ebbene, senza alcuna novità rispetto a quanto previsto nel nostro già vigente Codice privacy (Decreto Legislativo n. 196/2003), nel Regolamento europeo per “dato personale” si intende “qualsiasi informazione riguardante una persona fisica identificata o identificabile”. Quindi, ad esempio, devono essere considerati dati personali: l’indirizzo di posta elettronica [email protected], i dati anagrafici del Sig. Rossi, il suo numero di telefono … ma così era, e sarà, sino al 25 maggio prossimo, in vigenza del Decreto Legislativo n. 196/2003.
“Trattamento”, secondo quanto stabilito dall’articolo 4 del nuovo testo di riferimento, è “qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione”.
Come emerge chiaramente dalle numerose operazioni richiamate nella norma a titolo esemplificativo, il concetto di trattamento si estende a tutte quelle attività che implicano una conoscenza di dati personali, effettuate con o senza l’ausilio di processi automatizzati.
Tuttavia – e questo costituisce una novità rispetto a quanto previsto dal Codice privacy – così come viene indicato dal già citato articolo 2 del Regolamento UE 2016/679, perché lo stesso trovi applicazione occorre che il trattamento sia automatizzato, in tutto o in parte, oppure che l’eventuale trattamento non automatizzato riguardi dati contenuti o destinati ad essere contenuti in un archivio (da intendersi quale “qualsiasi insieme strutturato di dati personali accessibili secondo criteri determinati, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o ripartito in modo funzionale o geografico”). I trattamenti effettuati senza l’ausilio di processi automatizzati, quindi, rientrano nell’ambito di applicazione del Regolamento europeo solo se relativi a dati contenuti in archivi oppure se relativi a informazioni destinati a esserlo (indicazione che ovviamente lascio spazio ad una certa valutazione discrezionale).