Che cosa sono i dati personali: guida GDPR 2026
In breve:
- I dati personali sono tutte le informazioni che identificano o rendono identificabile una persona, anche indirettamente, come IP, cookie e dati biometrici. La legge europea impone obblighi rigidi a chi li tratta, con sanzioni fino a 20 milioni di euro o al 4% del fatturato annuo globale. È un requisito legale che le organizzazioni migliorino la gestione dei dati per tutelare la privacy e prevenire discariche e sanzioni.
I dati personali sono definiti dal Regolamento UE 2016/679 (GDPR) come qualsiasi informazione che identifica o rende identificabile una persona fisica. Non si tratta solo di nome e cognome: rientrano in questa categoria anche l’indirizzo IP, i dati di geolocalizzazione, i cookie e le caratteristiche biometriche. La legge sulla privacy europea impone obblighi precisi a chiunque tratti queste informazioni, con sanzioni che arrivano fino a 20 milioni di euro o al 4% del fatturato globale annuo. Comprendere cosa siano i dati personali e come gestirli correttamente non è un’opzione: è un requisito legale e una responsabilità concreta.
Che cosa sono i dati personali secondo il GDPR?
La definizione di dati personali contenuta nell’articolo 4 del GDPR è volutamente ampia. Un dato è personale quando consente di identificare direttamente o indirettamente una persona fisica, attraverso caratteristiche fisiche, fisiologiche, genetiche, psichiche, economiche, culturali o sociali. Questa ampiezza è intenzionale: il legislatore europeo ha voluto coprire ogni forma di informazione che possa ricondurre a un individuo specifico.

Gli esempi più immediati sono nome, cognome, codice fiscale, numero di telefono e indirizzo email. Tuttavia, anche un indirizzo IP dinamico costituisce un dato personale se il titolare del trattamento dispone dei mezzi tecnici e giuridici per risalire all’identità del soggetto. La stessa logica vale per i cookie identificativi, i dati di navigazione e le fotografie.
Il Garante per la protezione dei dati personali italiano applica questa definizione in modo rigoroso. Un’azienda che raccoglie anche solo l’indirizzo email di un cliente tratta dati personali e deve rispettare tutte le disposizioni del GDPR, inclusa la predisposizione di un’informativa trasparente e la definizione di una base giuridica per il trattamento.
Quali sono le tipologie di dati personali previste dalla normativa?

Dati ordinari e categorie particolari
Le tipologie di dati personali si dividono in due grandi gruppi: dati ordinari e categorie particolari, già note come «dati sensibili». I dati ordinari comprendono informazioni comuni come nome, indirizzo, email e dati professionali. Le categorie particolari di dati includono informazioni ben più delicate, il cui trattamento è vietato per impostazione predefinita.
Rientrano nelle categorie particolari:
- Dati sulla salute: cartelle cliniche, diagnosi, prescrizioni mediche
- Dati genetici e biometrici: DNA, impronte digitali, riconoscimento facciale
- Origine razziale o etnica: informazioni su provenienza e appartenenza culturale
- Opinioni politiche, religiose o filosofiche: convinzioni e affiliazioni ideologiche
- Dati sull’orientamento sessuale: informazioni sulla vita privata e affettiva
- Dati sull’appartenenza sindacale: iscrizioni e attività sindacali
Il trattamento di queste categorie è ammesso solo in presenza di basi giuridiche tassative, come il consenso esplicito dell’interessato o un obbligo di legge. La distinzione tra dati ordinari e particolari serve a prevenire discriminazioni: il divieto di trattamento dei dati sensibili è la regola, le eccezioni sono limitate e devono essere documentate.
Un consiglio: verificare sempre se i dati raccolti rientrano nelle categorie particolari prima di avviare qualsiasi trattamento. Un errore di classificazione espone l’organizzazione a sanzioni significative.
Dati giudiziari: una categoria a sé
I dati giudiziari riguardano condanne penali, reati e misure di sicurezza. Il loro trattamento è generalmente vietato ai privati e ammesso solo se autorizzato da una norma di legge o sotto il controllo di un’autorità pubblica. In Italia, il Codice Privacy integra il GDPR con disposizioni specifiche su questa categoria, aggiungendo garanzie ulteriori per gli interessati.
Come funzionano identificabilità, pseudonimizzazione e anonimizzazione?
Capire quando un dato è davvero «personale» richiede di padroneggiare tre concetti chiave. L’identificabilità, la pseudonimizzazione e l’anonimizzazione determinano se il GDPR si applica o meno a un insieme di informazioni.
Identificabilità: è una valutazione concreta e contestuale. Un dato considerato anonimo in un contesto può diventare personale in un altro, a seconda degli strumenti di identificazione disponibili. La giurisprudenza della Corte di Giustizia UE consolida questa nozione come concetto dinamico: non esiste una risposta fissa, dipende dai mezzi a disposizione del titolare.
Pseudonimizzazione: consiste nel separare l’identificativo dal dato, conservando altrove i riferimenti necessari per ricongiungerli. Un dato pseudonimizzato rimane un dato personale a tutti gli effetti del GDPR, perché la re-identificazione è tecnicamente possibile. Riduce il rischio, ma non elimina gli obblighi normativi.
Anonimizzazione: elimina definitivamente la possibilità di ricondurre il dato a un individuo. Il GDPR non si applica ai dati genuinamente anonimi, ma la soglia è alta: devono essere azzerati il «singling out» (isolare un individuo), la «linkability» (collegare record distinti) e l’«inference» (dedurre informazioni su un individuo). Nella pratica, l’anonimizzazione vera è difficile da ottenere.
Un esempio pratico: un indirizzo IP dinamico è un dato personale se il fornitore di servizi internet può associarlo a un utente specifico su richiesta dell’autorità giudiziaria. Lo stesso indirizzo, aggregato in statistiche di traffico senza possibilità di risalire all’utente, può essere considerato anonimo.
Un consiglio: non dare per scontato che la pseudonimizzazione equivalga ad anonimizzazione. Documentare sempre il processo e valutare il rischio residuo di re-identificazione.
Quali obblighi hanno privati, professionisti e aziende?
La gestione dei dati personali impone obblighi diversi a seconda del ruolo e della scala del trattamento. Il titolare del trattamento è il soggetto che determina finalità e mezzi del trattamento: può essere una persona fisica, un’azienda o un ente pubblico.
Ruoli e responsabilità principali
- Titolare del trattamento: definisce le finalità, sceglie le misure di sicurezza e risponde delle violazioni davanti al Garante.
- Responsabile del trattamento: tratta i dati per conto del titolare, in base a un contratto scritto che specifica istruzioni e garanzie.
- DPO (Data Protection Officer): figura obbligatoria per enti pubblici, organizzazioni che trattano categorie particolari su larga scala o che effettuano profilazione sistematica. Il DPO supervisiona la conformità e funge da punto di contatto con il Garante.
Le organizzazioni devono nominare un DPO e condurre una DPIA (Data Protection Impact Assessment) in presenza di trattamenti ad alto rischio. La DPIA analizza i rischi per i diritti e le libertà degli interessati e individua le misure per mitigarli. Non è facoltativa: la sua omissione costituisce una violazione autonoma del GDPR.
| Obbligo | Soggetto obbligato | Conseguenza in caso di omissione |
|---|---|---|
| Informativa privacy | Tutti i titolari | Sanzione amministrativa fino a 10 milioni di euro |
| Nomina DPO | Enti pubblici, trattamenti su larga scala | Sanzione e ordine di adeguamento del Garante |
| DPIA | Trattamenti ad alto rischio | Sanzione e possibile blocco del trattamento |
| Registro dei trattamenti | Organizzazioni con più di 250 dipendenti | Sanzione amministrativa |
| Notifica violazioni | Tutti i titolari entro 72 ore | Sanzione fino a 10 milioni di euro |
Le conseguenze di una gestione impropria vanno ben oltre le sanzioni economiche. Una violazione dei dati personali danneggia la reputazione, erode la fiducia dei clienti e può comportare azioni legali da parte degli interessati. Per approfondire le implicazioni concrete, la guida di Securityhub sugli errori di gestione dei dati offre un’analisi dettagliata dei casi più frequenti.
Come proteggere i dati personali in modo efficace?
La protezione dei dati personali richiede un approccio integrato che combina misure tecniche e organizzative. Non basta redigere una privacy policy: la conformità al GDPR si costruisce attraverso tutto il ciclo di vita del dato.
Le best practice fondamentali includono:
- Privacy by design: integrare la protezione dei dati fin dalla progettazione di sistemi e processi, non aggiungerla a posteriori. La protezione deve essere integrata nel design di ogni sistema che tratta dati personali.
- Minimizzazione dei dati: raccogliere solo le informazioni strettamente necessarie per la finalità dichiarata. Ogni dato in più è un rischio in più.
- Controllo degli accessi: limitare l’accesso ai dati personali ai soli soggetti che ne hanno effettiva necessità operativa.
- Cifratura e pseudonimizzazione: applicare tecniche crittografiche per proteggere i dati in transito e a riposo.
- Formazione del personale: il fattore umano è la principale causa di violazioni. Un dipendente non formato è un rischio concreto.
Sul fronte del consenso, la regola è chiara: deve essere libero, specifico, informato e inequivocabile. In contesti di squilibrio di potere, come il rapporto tra datore di lavoro e dipendente, il consenso può essere invalidato dalla normativa. Affidarsi al solo consenso come base giuridica per trattamenti complessi è un errore frequente.
Un altro errore comune riguarda i social network. La pubblicazione di dati sensibili su piattaforme social, anche se visibile solo a una cerchia ristretta, non elimina le tutele del GDPR. La Corte di Giustizia UE ha confermato che l’accesso limitato non costituisce manifestazione pubblica che autorizza il trattamento libero dei dati sensibili. Questo vale anche per i rischi di raccolta automatizzata di dati online, una pratica diffusa che molte organizzazioni sottovalutano.
Lo standard ISO 27001 fornisce un quadro sistematico per implementare un sistema di gestione della sicurezza delle informazioni. Le aziende certificate ISO 27001 dimostrano di aver adottato controlli verificati da terzi per proteggere i dati personali e ridurre il rischio di violazioni. Per le PMI italiane, la guida di Securityhub sulla protezione dei dati per le PMI offre indicazioni pratiche per avviare questo percorso.
Un consiglio: condurre una mappatura dei trattamenti prima di qualsiasi altro adempimento. Sapere quali dati si raccolgono, dove si trovano e chi vi accede è il punto di partenza per qualsiasi misura di protezione efficace.
Punti chiave
La protezione dei dati personali richiede classificazione corretta, basi giuridiche documentate e misure tecniche integrate in ogni fase del trattamento.
| Punto | Dettagli |
|---|---|
| Definizione ampia | Qualsiasi informazione che identifica o rende identificabile una persona fisica, inclusi IP e cookie. |
| Categorie particolari | Dati su salute, biometria e opinioni politiche richiedono basi giuridiche tassative e protezioni aggiuntive. |
| Identificabilità dinamica | Un dato può essere personale in un contesto e anonimo in un altro: valutare sempre il rischio di re-identificazione. |
| Obblighi differenziati | DPO e DPIA sono obbligatori per trattamenti ad alto rischio; la loro omissione è una violazione autonoma del GDPR. |
| Approccio integrato | La conformità si costruisce con privacy by design, minimizzazione, cifratura e formazione continua del personale. |
La cultura della privacy vale più di qualsiasi adempimento formale
di Valerio
Dopo anni di consulenza con PMI e professionisti italiani, ho osservato un pattern ricorrente: le organizzazioni si concentrano sugli adempimenti formali e trascurano la sostanza. Redigono l’informativa, nominano il DPO e poi lasciano che i dati dei clienti circolino liberamente via email non cifrata o vengano archiviati su drive condivisi senza controllo degli accessi.
La vera protezione dei dati personali non nasce da un documento. Nasce da una cultura aziendale in cui ogni persona che tratta dati comprende perché quelle informazioni sono sensibili e cosa succede quando vengono gestite male. Ho visto aziende subire violazioni gravi non per attacchi sofisticati, ma per un dipendente che ha inviato un file con dati sanitari al destinatario sbagliato.
Il GDPR non è un ostacolo burocratico: è un framework che, se applicato con serietà, migliora la qualità dei processi interni e riduce i rischi operativi. Le organizzazioni che lo trattano come tale ottengono un vantaggio concreto rispetto a chi lo vede solo come un costo di conformità. Investire nella protezione dei dati nelle PMI significa investire nella fiducia dei propri clienti.
— Valerio
Securityhub e la certificazione ISO 27001 per la protezione dei dati
ISO 27001 è lo standard internazionale per la gestione della sicurezza delle informazioni. Fornisce un framework strutturato per identificare i rischi, implementare controlli e dimostrare la conformità a clienti, partner e autorità di controllo. Per le aziende che trattano dati personali, la certificazione ISO 27001 trasforma gli obblighi del GDPR in un sistema di gestione verificabile e migliorabile nel tempo.

Securityhub affianca le aziende italiane nell’intero percorso di certificazione: dall’analisi iniziale dei rischi alla documentazione del sistema di gestione, fino all’audit di certificazione. Per chi vuole iniziare, la guida completa alla certificazione ISO 27001 di Securityhub illustra ogni fase del processo con esempi pratici e indicazioni operative. Chi gestisce dati personali in cloud può approfondire anche la certificazione ISO 27018, lo standard specifico per la protezione dei dati personali nei servizi cloud.
Domande frequenti
Che cosa si intende per dato personale?
Un dato personale è qualsiasi informazione che identifica o rende identificabile una persona fisica, come nome, email, indirizzo IP o dati biometrici, secondo la definizione dell’articolo 4 del GDPR.
Quali sono i dati sensibili citati nel GDPR?
Le categorie particolari di dati includono informazioni su salute, origine razziale, opinioni politiche, dati genetici e biometrici, orientamento sessuale e appartenenza sindacale. Il loro trattamento è vietato salvo basi giuridiche tassative.
Qual è la differenza tra pseudonimizzazione e anonimizzazione?
La pseudonimizzazione separa l’identificativo dal dato ma mantiene la possibilità di re-identificazione: il GDPR continua ad applicarsi. L’anonimizzazione elimina definitivamente questa possibilità e il GDPR non si applica.
Quando è obbligatorio nominare un DPO?
Il DPO è obbligatorio per enti pubblici, organizzazioni che trattano categorie particolari di dati su larga scala e chi effettua profilazione sistematica degli interessati.
Quali sanzioni prevede il GDPR per le violazioni?
Le sanzioni possono arrivare fino a 20 milioni di euro o al 4% del fatturato globale annuo, a seconda della gravità della violazione e del tipo di obbligo non rispettato.






