Con dati personali si intendono tutte le informazioni relative a una persona fisica identificata o identificabile che ne esprimono l’identità fisica, fisiologica, genetica, psichica, economica culturale e sociale. Ciò include (ma non solo):
- nome, data di nascita, indirizzo, cittadinanza;
- codice fiscale;
- dati bancari;
- indirizzo IP, cookie, dati GPS sulla geolocalizzazione;
- genere, colore della pelle, dei capelli, degli occhi;
- proprietà;
- dati cliente online;
- certificati di formazione e professionali.
I dati personali sono quindi informazioni che possono essere direttamente o indirettamente associate a una determinata persona, per cui l'assegnazione del nome è il criterio di identificazione decisivo.
I dati non personali, invece, sono dati raccolti in forma anonima e non possono essere utilizzati per identificare una persona specifica. Ciò può ad esempio includere, a condizione che la prima interazione con l'utente sia completamente anonima, l'indicazione del sesso, i dati dei visitatori su determinati siti web o altre informazioni non specifiche. Tali dati non personali non vengono influenzati dalla legge sulla protezione dei dati. In qualità di imprenditore o commerciante, potete quindi utilizzare questo tipo di dati per compilare statistiche o profili di utenti senza previo consenso o autorizzazione ai sensi della legge sulla protezione dei dati; tuttavia, dovete assicurarvi che non possano essere associati a una persona fisica.
Più problematica è l'elaborazione dei cosiddetti dati "pseudonimizzati" (art. 4 cpv. 5 RGPD), ossia dei dati che vengono memorizzati con uno pseudonimo per il rispettivo utente. Possono essere utilizzati per creare profili utente molto più specifici. Qui si apre una zona d'ombra giuridica, in quanto spesso è difficile per i gestori dei siti web vedere immediatamente se determinati dati possono essere direttamente o indirettamente associati a una persona fisica. Per questo motivo anche in questo caso dovete informare i vostri clienti sulla raccolta dei dati e segnalare loro sin da subito il diritto di opposizione.
Le disposizioni del Regolamento generale sono destinate a coprire l'intera gamma dei processi rilevanti ai fini del diritto in materia di protezione dei dati. Il vantaggio è che il nuovo regolamento di base tiene già conto dei futuri sviluppi tecnologici e non deve pertanto essere costantemente aggiornato. Tuttavia, le formulazioni piuttosto astratte hanno anche un effetto collaterale negativo: possono essere interpretate in larga misura e sono quindi soggette a controversie; molte questioni (ad esempio in materia di web tracking) saranno chiarite dai tribunali competenti solo nel corso del tempo.
Questa incertezza giuridica ha finora causato molta confusione e acceso diversi dibattiti nelle imprese interessate. Ma siccome i cambiamenti apportati dal regolamento europeo riguardano principalmente i dettagli, molte delle norme vigenti in materia di protezione dei dati nel commercio elettronico rimangono valide, il che rende il passaggio meno improvviso e difficile per le aziende.