Regolamento generale sulla protezione dei dati
Sul 25th di maggio entrerà in vigore il Regolamento generale sulla protezione dei dati (GDPR). Con l'installazione del GDPR, la protezione dei dati personali diventa sempre più importante. Le aziende devono tenere conto di norme più e più severe in materia di protezione dei dati. Tuttavia, a seguito dell'installazione del GDPR sorgono varie domande. Per le aziende, potrebbe non essere chiaro quali dati siano considerati dati personali e rientrare nell'ambito di applicazione del GDPR. Questo è il caso degli indirizzi e-mail: un indirizzo e-mail è considerato un dato personale? Le aziende che utilizzano indirizzi e-mail sono soggette al GDPR? A queste domande verrà data risposta in questo articolo.
Dati personali
Per rispondere alla domanda se un indirizzo e-mail è considerato o meno dati personali, è necessario definire il termine dati personali. Questo termine è spiegato nel GDPR. Sulla base dell'articolo 4 sotto un GDPR, per dati personali si intendono tutte le informazioni relative a una persona fisica identificata o identificabile. Una persona fisica identificabile è una persona che può essere identificata, direttamente o indirettamente, in particolare in riferimento a un identificatore come un nome, un numero di identificazione, dati sulla posizione o un identificatore online. I dati personali si riferiscono a persone fisiche. Pertanto, le informazioni relative a persone decedute o persone giuridiche non sono considerate dati personali.
Ora che la definizione di dati personali è determinata, è necessario valutare se un indirizzo e-mail è considerato dati personali. La giurisprudenza olandese indica che gli indirizzi e-mail potrebbero essere dati personali, ma che non è sempre così. Dipende se una persona fisica è identificata o identificabile in base all'indirizzo di posta elettronica. [1] Il modo in cui le persone hanno strutturato i loro indirizzi e-mail deve essere preso in considerazione al fine di determinare se l'indirizzo e-mail può essere visto come dati personali o meno. Molte persone fisiche strutturano il proprio indirizzo e-mail in modo tale che l'indirizzo debba essere considerato come un dato personale. Questo è ad esempio il caso in cui un indirizzo email è strutturato nel modo seguente: nome.lastname@gmail.com. Questo indirizzo di posta elettronica espone il nome e il cognome della persona fisica che utilizza l'indirizzo. Pertanto, questa persona può essere identificata in base a questo indirizzo email. Anche gli indirizzi email utilizzati per attività commerciali potrebbero contenere dati personali. Questo è il caso in cui un indirizzo e-mail è strutturato nel modo seguente: iniziales.lastname@nameofcompany.com. Da questo indirizzo e-mail si possono derivare quali sono le iniziali della persona che utilizza l'indirizzo e-mail, qual è il suo cognome e dove lavora questa persona. Pertanto, la persona che utilizza questo indirizzo e-mail è identificabile in base all'indirizzo e-mail.
Un indirizzo e-mail non è considerato un dato personale quando nessuna persona fisica può essere identificata da esso. Questo è il caso, ad esempio, quando viene utilizzato il seguente indirizzo email: puppy12@hotmail.com. Questo indirizzo e-mail non contiene dati dai quali è possibile identificare una persona fisica. Anche gli indirizzi e-mail generali utilizzati dalle aziende, come info@nameofcompany.com, non sono considerati dati personali. Questo indirizzo e-mail non contiene informazioni personali da cui è possibile identificare una persona fisica. Inoltre, l'indirizzo e-mail non è utilizzato da una persona fisica, ma da una persona giuridica. Pertanto, non sono considerati dati personali. Dalla giurisprudenza olandese si può concludere che gli indirizzi e-mail possono essere dati personali, ma non è sempre così; dipende dalla struttura dell'indirizzo email.
È molto probabile che le persone fisiche possano essere identificate dall'indirizzo e-mail che stanno utilizzando, il che rende gli indirizzi e-mail dati personali. Per classificare gli indirizzi e-mail come dati personali, non importa se l'azienda utilizza effettivamente gli indirizzi e-mail per identificare gli utenti. Anche se un'azienda non utilizza gli indirizzi e-mail ai fini dell'identificazione di persone fisiche, gli indirizzi e-mail da cui è possibile identificare le persone fisiche sono comunque considerati dati personali. Non tutte le connessioni tecniche o casuali tra una persona e i dati sono sufficienti per nominare i dati come dati personali. Tuttavia, se esiste la possibilità che gli indirizzi e-mail possano essere utilizzati per identificare gli utenti, ad esempio per rilevare casi di frode, gli indirizzi e-mail sono considerati dati personali. In questo, non importa se la società intendesse utilizzare gli indirizzi e-mail a questo scopo. La legge parla di dati personali quando esiste la possibilità che i dati possano essere utilizzati per uno scopo che identifica una persona fisica. [2]
Dati personali speciali
Mentre gli indirizzi e-mail sono considerati dati personali per la maggior parte del tempo, non sono dati personali speciali. I dati personali speciali sono dati personali che rivelano l'origine razziale o etnica, opinioni politiche, credenze religiose o filosofiche o appartenenza commerciale e dati genetici o biometrici. Ciò deriva dall'articolo 9 del GDPR. Inoltre, un indirizzo e-mail contiene meno informazioni pubbliche rispetto ad esempio a un indirizzo di casa. È più difficile ottenere la conoscenza dell'indirizzo e-mail di qualcuno rispetto al suo indirizzo di casa e dipende in gran parte dall'utente dell'indirizzo e-mail se l'indirizzo e-mail è reso pubblico. Inoltre, la scoperta di un indirizzo e-mail che avrebbe dovuto rimanere nascosto, ha conseguenze meno gravi della scoperta di un indirizzo di casa che avrebbe dovuto rimanere nascosto. È più facile cambiare un indirizzo e-mail che un indirizzo di casa e la scoperta di un indirizzo di posta elettronica potrebbe portare a un contatto digitale, mentre la scoperta di un indirizzo di casa potrebbe portare a un contatto personale. [3]
Trattamento dei dati personali
Abbiamo stabilito che gli indirizzi e-mail sono considerati dati personali per la maggior parte del tempo. Tuttavia, il GDPR si applica solo alle aziende che elaborano dati personali. Il trattamento dei dati personali esiste di ogni azione relativa ai dati personali. Questo è ulteriormente definito nel GDPR. Ai sensi dell'articolo 4, paragrafo 2, del GDPR, il trattamento di dati personali indica qualsiasi operazione eseguita su dati personali, anche se in modo automatico. Esempi sono la raccolta, la registrazione, l'organizzazione, la strutturazione, l'archiviazione e l'uso dei dati personali. Quando le aziende svolgono le suddette attività in relazione agli indirizzi e-mail, elaborano dati personali. In tal caso, sono soggetti al GDPR.
Conclusione
Non tutti gli indirizzi e-mail sono considerati dati personali. Tuttavia, gli indirizzi e-mail sono considerati dati personali quando forniscono informazioni identificabili su una persona fisica. Molti indirizzi e-mail sono strutturati in modo tale da identificare la persona fisica che utilizza l'indirizzo e-mail. Questo è il caso in cui l'indirizzo e-mail contiene il nome o il luogo di lavoro di una persona fisica. Pertanto, molti indirizzi e-mail saranno considerati dati personali. È difficile per le aziende fare una distinzione tra indirizzi di posta elettronica considerati dati personali e indirizzi di posta elettronica che non lo sono, poiché ciò dipende interamente dalla struttura dell'indirizzo di posta elettronica. Pertanto, è sicuro affermare che le aziende che elaborano dati personali incontreranno indirizzi e-mail considerati dati personali. Ciò significa che queste società sono soggette al GDPR e devono implementare una politica sulla privacy conforme al GDPR.
[1] ECLI: NL: GHAMS: 2002: AE5514.
, Kamerstukken II 1979/80, 25 892, 3 (MvT).
[3] ECLI: NL: GHAMS: 2002: AE5514.