Quando le organizzazioni cercano di proteggere i dati dei propri utenti, è necessario che comprendano i dati di cui hanno bisogno per salvaguardare. I dati personali, nel contesto del GDPR, coprono una gamma molto più ampia di informazioni rispetto alle informazioni di identificazione personale (PII), comunemente utilizzate in Nord America. In altre parole, mentre tutte le PII sono considerate dati personali, non tutti i dati personali sono PII.
Questo richiede qualche spiegazione.
Che cosa è PII?,
Le informazioni personali identificabili sono definite dall’Office of Privacy and Open Government degli Stati Uniti come:
“Informazioni che possono essere utilizzate per distinguere o tracciare l’identità di un individuo, come il loro nome, numero di previdenza sociale, record biometrici, ecc. da solo, o quando combinato con altre informazioni personali o identificative che sono collegate o collegabili a un individuo specifico, come data e luogo di nascita, nome da nubile della madre, ecc.,”
Distinguere un individuo significa identificare un individuo distinguendo una persona da un’altra e tracciare un individuo significa elaborare informazioni sufficienti per determinare un aspetto specifico delle attività o dello stato di un individuo. Seguendo questa definizione, nome, indirizzo e-mail, indirizzo postale, numero di telefono, numeri di identificazione personale (ad esempio, sicurezza sociale, passaporto, patente di guida, conto bancario) sono considerati PII.
Le informazioni sono progettate come collegate se qualsiasi informazione personale può essere utilizzata per identificare un individuo. (ad es.,: nome di nascita). Le informazioni sono classificate come informazioni collegabili se, di per sé, potrebbero non essere sufficienti per consentire di identificare una persona, ma se combinate con un’altra informazione, potrebbero identificare, rintracciare o localizzare una persona (ad esempio: data di nascita).
Prendi ad esempio due set di dati contenenti PII diversi. Quando entrambi i set di dati sono accessibili alla stessa persona, diventa possibile identificare gli individui dalla combinazione dei set di dati o dall’accesso a informazioni aggiuntive sull’argomento. Questo è dove la sicurezza delle informazioni entra in gioco., Se i controlli progettati per mantenere separate le origini dati non sono sufficienti, i dati vengono considerati collegati. Quando un’ulteriore fonte di informazioni rimane esterna o a distanza-nel caso di banche dati in silos all’interno delle organizzazioni o tramite un motore di ricerca su Internet per informazioni accessibili al pubblico, allora si ritiene che i dati siano collegabili.
Che cosa è sensibile PII?
Le PII sono considerate sensibili se la perdita, la compromissione o la divulgazione senza autorizzazione di questi dati potrebbero causare danni, imbarazzo, disagio o ingiustizia a un individuo., Ad esempio, le seguenti informazioni sono considerate PII sensibili:
- medical
- educational
- financial
- employment information
Che cosa sono i dati personali ai sensi del GDPR?,
La GDPR articolo 4, definisce i dati personali come segue:
“dati Personali”: qualsiasi informazione concernente una persona fisica identificata o identificabile (“interessato”); si considera identificabile la persona che può essere identificata, direttamente o indirettamente, in particolare mediante riferimento ad un numero di identificazione o ad uno o più elementi specifici caratteristici della sua fisica, fisiologica, psichica, economica, culturale o sociale, di identità “.,
In questa definizione vediamo quattro elementi principali: “qualsiasi informazione”, “relativa a”, “una persona identificata o identificabile” e “persona fisica”.
Primo elemento: “qualsiasi informazione”
Il termine “qualsiasi informazione” contenuto nella direttiva richiede chiaramente un’ampia interpretazione del concetto. Per quanto riguarda la natura delle informazioni, ciò significa che le informazioni sia oggettive che soggettive di una persona possono essere considerate come dati personali. Per quanto riguarda il contenuto, i dati personali coprono qualsiasi tipo di informazione., La definizione è anche neutra dalla tecnologia, non importa come vengono memorizzati i dati personali (ad esempio: alfabetico, numerico, grafico, fotografico, acustico). Ad esempio, le immagini di individui catturati da un sistema di videosorveglianza possono essere dati personali nella misura in cui gli individui sono riconoscibili.
Secondo elemento: “relativo a”
In termini generali, le informazioni possono essere considerate”relative” a un individuo quando si tratta di quel particolare individuo., Per considerare i dati relativi a qualcuno, dovrebbe essere presente una delle tre funzionalità fluenti: contenuto, scopo o risultato. Queste tre caratteristiche dovrebbero essere considerate come condizioni alternative e non come cumulative. Di conseguenza, la stessa informazione può riguardare individui diversi allo stesso tempo, a seconda di quale elemento è presente rispetto a ciascuno.
Terzo elemento: “identificato o identificabile”
“Identificato” quando, all’interno di un gruppo di persone, è “distinto” da tutti gli altri membri del gruppo., La persona fisica è “identificabile” quando, sebbene la persona non sia stata ancora identificata, è possibile farlo.
Quali informazioni possono essere un identificatore? Il GDPR fornisce un elenco non esaustivo di identificativi comuni che, se utilizzati, possono consentire l’identificazione dell’individuo a cui le informazioni in questione possono riferirsi (ad esempio, nome, numero di identificazione, dati relativi all’ubicazione, identificativo online).
Il concetto di “direttamente” o “indirettamente” identificabile implica che la misura in cui determinati identificatori sono sufficienti per ottenere l’identificazione dipende dal contesto.,
Alcune caratteristiche sono così uniche che qualcuno può essere identificato senza sforzo. Se menziono “il nostro capo”, saprai esattamente di chi sto parlando.
Quarto elemento: “persona fisica”
Il concetto di persona fisica si riferisce all’articolo 6 della Dichiarazione Universale dei Diritti umani, secondo il quale “Ognuno ha il diritto al riconoscimento ovunque come persona davanti alla legge”. Il diritto alla protezione dei dati personali è, in questo senso, un diritto universale che non è limitato ai cittadini o ai residenti in un determinato paese., Pertanto, una persona fisica si occupa del requisito che i “dati personali” riguardino ” individui viventi “. Ai sensi del GDPR, i dati personali delle persone decedute non sono coperti, ma possono ancora ricevere indirettamente una certa protezione in determinati casi, in particolare quando tali dati personali riguardano soggetti che sono ancora in vita.
Che cosa sono i dati sensibili ai sensi del GDPR?
I seguenti dati personali sono considerati categorie particolari di dati personali e sono soggetti a specifiche condizioni di trattamento ai sensi dell’art., 9 del GDPR:
- dati personali idonei a rivelare l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche;
- l’appartenenza sindacale;
- i dati genetici, biometrici dati trattati esclusivamente per identificare un essere umano;
- relativi alla salute;
- dati relativi a una persona, la vita sessuale o dati sensibili.
Che dire degli identificatori online?,
Considerando 30 del Regolamento chiarisce la definizione di “un identificativo on line” di cui
Articolo 4
“le persone fisiche possano essere associati on line fornito da loro dispositivi, applicazioni, strumenti e protocolli, come ad esempio indirizzi di protocollo internet, cookie identificativi o altri identificatori come radio frequency identification tag. Ciò può lasciare tracce che, in particolare se combinate con identificatori univoci e altre informazioni ricevute dai server, possono essere utilizzate per creare profili delle persone fisiche e identificarle.,”
Gli ID del dispositivo, gli indirizzi IP e i Cookie sono considerati dati personali ai sensi del GDPR. Secondo la definizione di PII, non sono PII perché ci sono anonimi e non possono essere utilizzati da soli per identificare, rintracciare o identificare una persona.
Che dire dei dati pseudonimizzati?
A i dati personali sono considerati resi anonimi se non si riferiscono a una persona fisica identificata o identificabile o se sono stati resi anonimi in modo tale che l’interessato non sia o non sia più identificabile.,
Pseudonimizzazione dei dati significa sostituire qualsiasi caratteristica identificativa dei dati con uno pseudonimo, o, in altre parole, un valore che non consente l’identificazione diretta dell’interessato. I dati pseudonimizzati sono ancora considerati dati personali?
Ai sensi dell’articolo 29 del parere del Gruppo di lavoro, i dati personali che sono stati de-identificati, crittografati o pseudonimizzati ma possono essere utilizzati per ri-identificare una persona rimangono dati personali e rientrano nell’ambito di applicazione del GDPR., I dati personali resi anonimi in modo tale che l’individuo non sia o non sia più identificabile non sono più considerati dati personali. Affinché i dati siano veramente anonimizzati, l’anonimizzazione deve essere irreversibile.
PII include tutte le informazioni che possono essere utilizzate per ri-identificare i dati anonimi. Le informazioni anonime che non possono essere utilizzate per tracciare l’identità di un individuo non sono PII. ID del dispositivo, cookie e indirizzi IP non sono considerati PII per la maggior parte degli Stati Uniti. Ma alcuni stati, come la California, classificano questi dati come PII., California classifica alias e nomi di account come informazioni personali pure.
In poche parole, PII si riferisce a qualsiasi informazione che può essere utilizzata per distinguere un individuo da un altro. La definizione GDPR dei dati personali è-volutamente-molto ampia. In linea di principio, copre qualsiasi informazione relativa a un individuo identificabile e vivente.
Lascia un commento