Indirizzi e-mail e ambito di applicazione del GDPR. Regolamento generale sulla protezione dei dati

Sul 25th di maggio entrerà in vigore il Regolamento generale sulla protezione dei dati (GDPR). Con l'installazione del GDPR, la protezione dei dati personali diventa sempre più importante. Le aziende devono tenere conto di norme più e più severe in materia di protezione dei dati. Tuttavia, a seguito dell'installazione del GDPR sorgono varie domande. Per le aziende, potrebbe non essere chiaro quali dati siano considerati dati personali e rientrare nell'ambito di applicazione del GDPR. Questo è il caso degli indirizzi e-mail: un indirizzo e-mail è considerato un dato personale? Le aziende che utilizzano indirizzi e-mail sono soggette al GDPR? A queste domande verrà data risposta in questo articolo.

Dati personali

Per rispondere alla domanda se un indirizzo e-mail è considerato o meno dati personali, è necessario definire il termine dati personali. Questo termine è spiegato nel GDPR. Sulla base dell'articolo 4 sotto un GDPR, per dati personali si intendono tutte le informazioni relative a una persona fisica identificata o identificabile. Una persona fisica identificabile è una persona che può essere identificata, direttamente o indirettamente, in particolare in riferimento a un identificatore come un nome, un numero di identificazione, dati sulla posizione o un identificatore online. I dati personali si riferiscono a persone fisiche. Pertanto, le informazioni relative a persone decedute o persone giuridiche non sono considerate dati personali.

Indirizzi e-mail e ambito di applicazione del GDPR

E-mail

Now that the definition of personal data is determined, it needs to be assed if an email address is considered to be personal data. Dutch case law indicates that email addresses could possibly be personal data, but that this is not always the case. It depends whether or not a natural person is identified or identifiable based on the email address.[1] The way persons have structured their email addresses has to be taken into account in order to determine whether the email address can be seen as personal data or not. A lot of natural persons structure their email address in such a way that the address has to be considered personal data. This is for example the case when an email address is structured in the following way: firstname.lastname@gmail.com. This email address exposes the first and last name of the natural person that uses the address. Therefore, this person can be identified based on this email address. Email addresses that are used for business activities could also contain personal data. This is the case when an e-mail address is structured in the following way: initials.lastname@nameofcompany.com. From this email address can be derived what the initials of the person using the email address are, what his last name is and where this person works. Therefore, the person using this email address is identifiable based on the email address.

An email address is not considered to be personal data when no natural person can be identified from it. This is the case when for example the following email address is used: puppy12@hotmail.com. This email address does not contain any data from which a natural person can be identified. General email addresses that are used by companies, like info@nameofcompany.com, are also not considered to be personal data. This email address does not contain any personal information from which a natural person can be identified. Moreover, the email address is not used by a natural person, but by a legal entity. Therefore, it is not considered to be personal data. From Dutch case law can be concluded that email addresses can be personal data, but this is not always the case; it depends of the structure of the email address.

È molto probabile che le persone fisiche possano essere identificate dall'indirizzo e-mail che stanno utilizzando, il che rende gli indirizzi e-mail dati personali. Per classificare gli indirizzi e-mail come dati personali, non importa se l'azienda utilizza effettivamente gli indirizzi e-mail per identificare gli utenti. Anche se un'azienda non utilizza gli indirizzi e-mail ai fini dell'identificazione di persone fisiche, gli indirizzi e-mail da cui è possibile identificare le persone fisiche sono comunque considerati dati personali. Non tutte le connessioni tecniche o casuali tra una persona e i dati sono sufficienti per nominare i dati come dati personali. Tuttavia, se esiste la possibilità che gli indirizzi e-mail possano essere utilizzati per identificare gli utenti, ad esempio per rilevare casi di frode, gli indirizzi e-mail sono considerati dati personali. In questo, non importa se la società intendesse utilizzare gli indirizzi e-mail a questo scopo. La legge parla di dati personali quando esiste la possibilità che i dati possano essere utilizzati per uno scopo che identifica una persona fisica. [2]

Dati personali speciali

Mentre gli indirizzi e-mail sono considerati dati personali per la maggior parte del tempo, non sono dati personali speciali. I dati personali speciali sono dati personali che rivelano l'origine razziale o etnica, opinioni politiche, credenze religiose o filosofiche o appartenenza commerciale e dati genetici o biometrici. Ciò deriva dall'articolo 9 del GDPR. Inoltre, un indirizzo e-mail contiene meno informazioni pubbliche rispetto ad esempio a un indirizzo di casa. È più difficile ottenere la conoscenza dell'indirizzo e-mail di qualcuno rispetto al suo indirizzo di casa e dipende in gran parte dall'utente dell'indirizzo e-mail se l'indirizzo e-mail è reso pubblico. Inoltre, la scoperta di un indirizzo e-mail che avrebbe dovuto rimanere nascosto, ha conseguenze meno gravi della scoperta di un indirizzo di casa che avrebbe dovuto rimanere nascosto. È più facile cambiare un indirizzo e-mail che un indirizzo di casa e la scoperta di un indirizzo di posta elettronica potrebbe portare a un contatto digitale, mentre la scoperta di un indirizzo di casa potrebbe portare a un contatto personale. [3]

Trattamento dei dati personali

Abbiamo stabilito che gli indirizzi e-mail sono considerati dati personali per la maggior parte del tempo. Tuttavia, il GDPR si applica solo alle aziende che elaborano dati personali. Il trattamento dei dati personali esiste di ogni azione relativa ai dati personali. Questo è ulteriormente definito nel GDPR. Ai sensi dell'articolo 4, paragrafo 2, del GDPR, il trattamento di dati personali indica qualsiasi operazione eseguita su dati personali, anche se in modo automatico. Esempi sono la raccolta, la registrazione, l'organizzazione, la strutturazione, l'archiviazione e l'uso dei dati personali. Quando le aziende svolgono le suddette attività in relazione agli indirizzi e-mail, elaborano dati personali. In tal caso, sono soggetti al GDPR.

Conclusione

Non tutti gli indirizzi e-mail sono considerati dati personali. Tuttavia, gli indirizzi e-mail sono considerati dati personali quando forniscono informazioni identificabili su una persona fisica. Molti indirizzi e-mail sono strutturati in modo tale da identificare la persona fisica che utilizza l'indirizzo e-mail. Questo è il caso in cui l'indirizzo e-mail contiene il nome o il luogo di lavoro di una persona fisica. Pertanto, molti indirizzi e-mail saranno considerati dati personali. È difficile per le aziende fare una distinzione tra indirizzi di posta elettronica considerati dati personali e indirizzi di posta elettronica che non lo sono, poiché ciò dipende interamente dalla struttura dell'indirizzo di posta elettronica. Pertanto, è sicuro affermare che le aziende che elaborano dati personali incontreranno indirizzi e-mail considerati dati personali. Ciò significa che queste società sono soggette al GDPR e devono implementare una politica sulla privacy conforme al GDPR.

[1] ECLI: NL: GHAMS: 2002: AE5514.

[2] Kamerstukken II 1979/80, 25 892, 3 (MvT).

[3] ECLI: NL: GHAMS: 2002: AE5514.

Condividi