Se lavori con la captazione di lead, marketing o vendite, è molto probabile che tu abbia pensato qualcosa del genere:
“Se è su internet e chiunque può vederlo… non posso usarlo?”
La risposta breve è: dipende. E la ragione è semplice: il GDPR non si concentra sul fatto che un dato sia “pubblico” o “privato”, ma sul fatto che tali dati identifichino (o possano identificare) una persona.
Facciamo esempi reali, senza gergo e senza girarci intorno.
Prima di tutto: cosa intende il GDPR con “dati personali”?
I dati personali sono qualsiasi informazione relativa a una persona fisica identificata o identificabile.
La parte importante è in “identificabile”. Non è necessario inserire “DNI” o “passaporto”. Se riesci a raggiungere una persona specifica con quei dati, direttamente o indirettamente, entra in gioco il GDPR.
Esempi facili (e molto comuni)
- Nome e cognome
- Email (sì, anche se professionale)
- Numero di telefono
- Utente Instagram se permette di identificare qualcuno
- Foto profilo quando applicabile a una persona
- Indirizzo IP (in molti contesti)
- Dati di localizzazione
E fai attenzione: un dato può essere personale anche se non si identifica da solo, se combinato con altri dati permette di identificare qualcuno.
Quindi, cosa significa che un dato sia “pubblico”?
Il fatto che sia accessibile al pubblico (ad esempio, pubblicata su un sito web o su un social network) non ne esclude la natura di dati personali.
“Pubblico” descrive dove si trovano i dati, non cosa siano o come possano essere utilizzati.
Pensa a questo come a una rapida analogia:
- Il fatto che una casa abbia una porta aperta non rende quella casa “di chiunque”.
- Solo perché un’email è visibile su internet non significa che quell’email sia “nessuna regola”.
Dati professionali: sono anche dati personali?
Sì, molte volte. Questo punto è uno dei più fraintesi.
Un’email di tipo [email protected] di solito è collegata a una persona specifica (nome + cognome o nome + titolo lavorativo). Questo lo rende, in pratica, un fatto personale.
Anche quando l’email è più generica (ad esempio [email protected]), dipende dal contesto: se c’è una persona identificabile dietro o se l’uso dei dati finisce per influenzare qualcuno in particolare, potrebbe rientrare nell’ambito del GDPR.
Regola generale
Se riesci a dire “queste informazioni provengono da questa persona”, trattale come dati personali.
E i dati aziendali? Si applica il GDPR?
Il GDPR protegge gli individui, non le aziende in senso stretto. Ma nel mondo reale, molti dati “aziendali” sono associati alle persone:
- Un sito web aziendale con un “Contatto: Laura Gómez”
- Un profilo Instagram di un freelance
- Un’email da un venditore con nome e cognome
Non appena i dati sono associati a una persona identificabile, non si tratta più di “solo un’azienda”.
Il grande errore: “se è pubblico, posso usarlo”
Questo è il classico che genera problemi (e lamentele) nel reclutamento.
Il fatto che un dato sia pubblico può influenzare alcune decisioni (ad esempio, la base giuridica utilizzata o la ragionevole aspettativa del soggetto del dato), ma non è un passaggio.
Con i dati personali, anche se sono pubblici, ci sono principi che contano sempre:
- Scopo: essere chiari su cosa lo usi
- Minimizzazione: Usa solo ciò che è necessario
- Trasparenza: non giocare al gioco della depistaggio su chi sei e perché ci contatti
- Rispetto dei diritti: ad esempio, affrontare l’opposizione
Lista veloce: sono dati personali?
In caso di dubbio, poniti queste domande:
- Questi dati si riferiscono a una persona reale?
- Permette di identificare qualcuno direttamente o indirettamente?
- Può essere combinato con altri dati per identificarlo?
- Il mio uso dei dati può influenzare una persona specifica?
Se hai risposto “sì” a uno o più, trattalo come un dato personale.
Perché sei interessato a capire questo se ti occupi di recruitment?
Perché la maggior parte delle “paure” legali non deriva dall’uso della tecnologia, ma dall’uso di dati senza un criterio minimo.
Nel recruiting, il rischio di solito non è “usare un’email”, ma:
- utilizzare più dati del necessario,
- Contatto senza trasparenza,
- non gestendo bene il diritto di opporsi,
- oppure non poter giustificare la base legale per il trattamento.
Chiusura: un’idea utile per evitare errori
Nel GDPR, “dati personali” non significa “dati segreti”. Significa “dati che si collegano a una persona”.
E da lì, la cosa importante non è solo dove l’hai preso, ma anche come lo usi, per cosa e quali garanzie applichi.
Questo articolo è informativo e non costituisce consulenza legale personalizzata.
