Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

REGOLAMENTO UE

La corretta individuazione dei dati personali: regole e norme per il pieno rispetto del GDPR

Con un recente parere il Garante Privacy è tornato a ribadire che il curriculum vitae, così come l’elaborato scritto, contiene numerose informazioni delicate che non sempre si desidera portare a conoscenza di chiunque e che meritano dunque un’opportuna riservatezza. Ecco allora come individuare le informazioni che rientrano nel concetto di dato personale, nel rispetto delle normative italiana ed europea

29 Gen 2020
C
Salvatore Coppola

Avvocato del Foro di Matera, DPO


Un punto fondamentale in materia di protezione dei dati personali deve essere necessariamente la corretta individuazione del concetto di “dato personale”: averne una conoscenza approfondita contribuisce (in modo determinante) a definire, anzitutto, se il trattamento che lo riguarda rientra o meno nell’ambito di applicazione del Regolamento (UE) 2016/679 (in seguito anche GDPR).

Un’indebita restrizione del concetto, infatti, avrebbe certamente ripercussioni sulla correttezza e legittimità dei trattamenti con inevitabili effetti sui diritti e le libertà degli interessati.

Ecco perché è importantissimo tenere presente una serie di situazioni in cui i dati personali possono essere a rischio, e mettere in guardia contro interpretazioni che lascerebbero le persone prive di un’adeguata tutela.

La giurisprudenza europea e i provvedimenti del Garante

Con il provvedimento n. 200 del 7 novembre scorso il Garante per la protezione dei dati personali ha ri-affermato1 che con riferimento alla “copia degli elaborati scritti di un concorso pubblico, si deve tenere presente che tali documenti, in generale, sono indicativi di molteplici aspetti di carattere personale circa le caratteristiche individuali, relativi ad esempio alla preparazione professionale, alla cultura, alle capacità di espressione, o al carattere del candidato, che costituiscono aspetti valutabili nella selezione dei partecipanti. Inoltre, in alcuni casi, e a seconda della traccia sottoposta, il contenuto degli elaborati è capace di rivelare anche informazioni e convinzioni che possono rientrare nelle «categorie particolari di dati personali» di cui all’art. 9, par. 1, del Regolamento (si pensi, in particolare, a elaborati nei quali potrebbero evincersi «opinioni politiche», «convinzioni filosofiche o di altro genere»).

Analogamente si osserva che i contenuti generalmente inseriti nel curriculum vitae sono molteplici e la relativa ostensione può consentire l’accesso, a seconda di come è redatto il cv, a numerosi dati (es.: nominativo, data e luogo di nascita, residenza, telefono, e-mail, nazionalità) e informazioni di carattere personale (es.: esperienze e competenze professionali, istruzione e formazione, competenze personali, competenze comunicative, competenze organizzative e gestionali, pubblicazioni, presentazioni, progetti, conferenze, seminari, riconoscimenti e premi, appartenenza a gruppi/associazioni, referenze, menzioni, corsi, certificazioni ecc.), che per motivi individuali non sempre si desidera portare a conoscenza di soggetti estranei”.

In verità, con la sentenza del 20 dicembre 2017, Peter Nowak c. Data Protection Commissioner (causa C-434/16), la Corte di giustizia dell’Unione europea aveva già ha affermato che “le risposte scritte fornite da un candidato durante un esame professionale e le eventuali annotazioni dell’esaminatore relative a tali risposte costituiscono dati personali […]”.

Pertanto, la CGUE ha affermato chiaramente che anche le annotazioni dell’esaminatore relative alle risposte del candidato “costituiscono, proprio come le risposte fornite dal candidato durante l’esame, informazioni concernenti tale candidato. […] La constatazione che le annotazioni dell’esaminatore relative alle risposte fornite dal candidato durante l’esame costituiscono informazioni che, in ragione del loro contenuto, della loro finalità e del loro effetto, sono collegate a tale candidato non è contraddetta dal fatto che tali annotazioni costituiscono anche informazioni concernenti l’esaminatore. Infatti, la medesima informazione può riguardare più persone fisiche e costituire per le stesse, a condizione che tali persone siano identificate o identificabili, un dato personale […]”.

La definizione di dato personale nel GDPR

Con l’obiettivo di offrire la massima tutela dei diritti e delle libertà delle persone fisiche, la definizione di dati personali contenuta nel Regolamento (UE) 2016/679 è particolarmente ampia e dettagliata. L’art. 4, paragrafo 1, GDPR definisce con «dato personale»: “qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”. Si aggiunga che il Considerando 30 prevede che: “Le persone fisiche possono essere associate a identificativi online prodotti dai dispositivi, dalle applicazioni, dagli strumenti e dai protocolli utilizzati, quali gli indirizzi IP, a marcatori temporanei (cookies) o a identificativi di altro tipo, come i tag di identificazione a radiofrequenza. Tali identificativi possono lasciare tracce che, in particolare se combinate con identificativi univoci e altre informazioni ricevute dai server, possono essere utilizzate per creare profili delle persone fisiche e identificarle”.

Ebbene, è di fondamentale importanza nell’interpretazione e nell’applicazione del Regolamento individuare puntualmente ciò che rappresenta o meno un dato personale, in quanto può svolgere un ruolo sostanziale nel determinare come vada applicato il GDPR ad una serie di situazioni in cui i diritti degli individui sono a rischio, e può mettere in guardia contro interpretazioni che lascerebbero le persone prive di un’adeguata tutela.

A tal fine, come già nella Direttiva 95/46/CE, è utile evidenziare che nel Regolamento (UE) 2016/679 la definizione di dati personali contiene quattro elementi fondamentali:

  1. qualsiasi informazione
  2. riguardante” (nella Direttiva era utilizzato il termine “concernente”)
  3. persona fisica
  4. identificata o identificabile”.

I quattro elementi sono strettamente connessi fra loro e si alimentano reciprocamente; questo aveva dichiarato il Gruppo di lavoro ex art. 29 nel Parere n. 4/2007 finalizzato ad uniformare l’applicazione delle normative nazionali a livello europeo sul concetto di dati personali.

Tale documento (c.d. WP136), che si avvale di esempi tratti in quegli anni dalla pratica delle singole Autorità privacy europee, nonostante sia risalente alla vigenza della Direttiva CE/1995/46, è tutt’oggi un’utilissima guida per comprendere gli esempi e i contesti nei quali è possibile rintracciare il concetto di dato personale.

Andiamo dunque ad analizzare i quattro elementi fondamentali per la corretta individuazione dei dati personali.

Natura, contenuto e forma dell’informazione

L’espressione “qualsiasi informazione” rappresenta – sin dall’adozione della Direttiva 95/46 – la volontà del legislatore europeo di definire un concetto ampio di dati personali al fine di ottenerne un’interpretazione altrettanto ampia.

Innanzitutto, è bene precisare che non è necessario che l’informazione abbia natura riservata2 o intima: anche informazioni generalmente disponibili – come i dati pubblici – sono dati personali.

Inoltre, perché l’informazione diventi un “dato personale” non è necessario che sia vera o dimostrata. Sul punto, l’art. 5, par. 1, lett. d, GDPR prescrive che “devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati («esattezza»); o ancora, tra i diritti dell’interessato vi sono il diritto di “rettifica dei dati personali inesatti” (artt. 16 e 19) ovvero di limitazione del trattamento quando “l’interessato contesta l’esattezza dei dati personali” (art. 18, par. 1, lett. a, GDPR).

Dunque, quanto alla natura dell’informazione, il concetto di dati personali comprende qualsiasi tipo di affermazione su una persona. Può quindi includere informazioni “oggettive” come la presenza di una data sostanza nel sangue di una persona, ma anche informazioni “soggettive” come opinioni o valutazioni (nel settore -bancario la valutazione dell’affidabilità di chi richiede un prestito: “Tizio è un cliente affidabile”; -assicurativo: “Tizio probabilmente non morirà presto”; -delle prestazioni lavorative di un dipendente: “Tizio è un buon lavoratore e merita una promozione”).

Dal punto di vista del contenuto dell’informazione, il concetto di dati personali comprende qualsiasi tipo d’informazioni: quelle di natura rischiosa (cc.dd. “categorie particolari di dati personali”) sia quelle più generali; informazioni sulla vita privata3 e familiare, nonché sulle attività di qualunque tipo4, come sui rapporti di lavoro o sul comportamento economico e sociale di una persona. I dati personali comprendono quindi informazioni sulle persone, a prescindere dalla posizione, dalle capacità ovvero se consumatori, pazienti, lavoratori5, clienti e via dicendo.

Più specificamente, con riferimento al contenuto dell’informazione, si riporta di seguito una ricognizione6 delle casistiche prese in considerazione negli anni dal Garante Privacy italiano.

  • Informazioni aventi natura «oggettiva»:
  1. dati anagrafici, caratteristiche individuali (ad es. peso, altezza ecc.), codice fiscale e altri codici identificativi, recapiti telefonici, indirizzi e-mail (v. provv.ti 25.6.2002, doc. web n. 29864; 31.7.2002, doc. web n. 1065798; 24.6.2003, doc. web n. 1132562; 26.6.2003, doc. web n. 1140434);
  2. referti di analisi cliniche, fotografie (provv.ti 23.3.1999, doc. web n. 40899; 4.1.2001, doc. web n. 41119);
  3. foto segnaletiche, identikit o archivi di polizia contenenti immagini (Garante 2.7.1997, doc. web n. 38985; provv. 21.10.1999, doc. web n. 42288; 17.2.2000, doc. web n. 40041; 7.3.2000, doc. web n. 30987);
  4. registrazioni vocali (ad es., ordini telefonici nell’ambito del phone banking: provv. 19.6.2002, doc. web n. 1065269);
  5. qualunque informazione – anche cifrata o codificata (provv. 21.11.2001, doc. web n. 39773) – riconducibile ad un interessato, anche in via indiretta, attraverso il collegamento con altre informazioni, ivi compresi i suoni e le immagini;
  6. dati personali contenuti nel cedolino dello stipendio dei lavoratori dipendenti (provv.ti 31.12.1998, doc. web n. 39324; 16 luglio 2003, doc. web n. 1080576);
  7. informazioni personali di pubblico dominio, quali dati reddituali, compensi percepiti, curriculum vitae (v. nota n. 1).
  • Informazioni aventi natura “soggettiva” quali opinioni o valutazioni, anche espresse con codici o in termini numerici:
  1. valutazioni della prestazione/capacità lavorativa (provv. 5.6.2003, doc. web n. 1121322);
  2. valutazioni concernenti l’affidabilità di chi richiede un prestito o la solvibilità (provv.ti 25.10.2001, doc. web n. 40305; 14.11.2003, doc. web n. 1082980);
  3. valutazioni in ambito assicurativo;
  4. dati trattati dal consulente di parte nel corso del processo, comead es. i dati detenuti da un CTP-psicologo che acquisisce informazioni personali sull’interessato (provv. 16.5.2002, doc. web n. 1064791);
  5. notizie contenute nelle relazioni periodicamente inviate da una Asl ad un Tribunale minorile in relazione ad un procedimento di affidamento di un minore (provv. 17 aprile 2002, doc. web n. 1065129);
  6. esito di test psicologici (Corte EDU, V sezione, Yonchev v. Bulgaria, 7 dicembre 2017, in materia di diritto d’accesso).
  7. È il caso, altresì, di segnalare che spesso informazioni aventi natura obiettiva e valutativa sono trattate congiuntamente:
  8. merito creditizio, perizie medico legali (v. provv.ti 13.10.1999, doc. n. 42098; 30.12.1999, doc. n. 40847; 27 dicembre 2001, doc. web n. 42130);
  9. disegni realizzati da minore e raccolti da un medico nell’ambito di un test neuropsichiatrico per essere usati per trarre elementi di giudizio. E’ il caso dell’affidamento di una bambina, per il quale è stato presentato un suo disegno dei familiari; ebbene, il disegno dà informazioni sullo stato d’animo della bambina e sui suoi sentimenti per i diversi membri della famiglia. Perciò, queste informazioni possono costituire dati personali in quanto rivelano informazioni sulla bambina e la sua salute mentale, nonché sul comportamento della madre o del padre (v. provv. 28.11.2001, doc. web n. 40353).

Quanto al formato dell’informazione o del supporto usato, il concetto di dati personali comprende le informazioni disponibili in qualsiasi forma: alfabetica, numerica, grafica, fotografica o acustica, registrate su carta e/o conservate nella memoria di un computer o su altro supporto informatico/elettronico/digitale.

Quindi, le informazioni contenute sotto forma di testo libero come un messaggio di posta elettronica7 possono essere considerati dati personali.

Allo stesso modo i dati in forma di suoni e immagini, come nei servizi di phone banking le istruzioni che il cliente dà alla banca nonché la registrazione (su un supporto) della sua voce, dovrebbero essere considerate dati personali; o ancora, le immagini registrate da un sistema di videosorveglianza possono essere dati personali nella misura in cui le persone riprese sono riconoscibili8.

Stabilire le relazioni per l’individuazione dei dati personali

Il secondo elemento fondamentale della definizione di dati personali, “riguardante“, è d’importanza cruciale poiché è molto importante stabilire con precisione le relazioni ovvero i collegamenti che contano, e come distinguerli.

WHITEPAPER
Gestione dei contratti e GDPR: guida all’esternalizzazione di attività dei dati personali
Legal

Un’informazione “riguarda” una persona quando può essere stabilita facilmente una relazione9. Ad esempio, i risultati di un’analisi medica riguardano chiaramente il paziente, così come le informazioni contenute in un fascicolo sotto il nome di un dato cliente riguardano chiaramente quel cliente. Ancora, le informazioni contenute in un’etichetta/chip RFID o in un codice a barre incorporato nel documento d’identità o in un passaporto di un dato individuo riguardano quella persona.

Vi sono situazioni però in cui non è sempre facile determinare se le informazioni “riguardano” una persona, in quanto le informazioni trasmesse dai dati concernono in primo luogo oggetti e non persone.

A titolo esemplificativo, pertanto, il WP136 cita i seguenti esempi:

  1. il valore di una casa costituisce un’informazione su un oggetto. Se tale informazione è utile per determinare in che misura il proprietario è tassabile diventerà una dato personale;
  2. con riferimento al servizio di manutenzione di un’automobile, il registro clienti di un’officina meccanica contiene informazioni sull’automobile, sul chilometraggio, sulle date dei controlli, sui problemi tecnici e sulle condizioni materiali. Ebbene, queste informazioni sono associate ad un numero di targa e a un numero di motore, che a loro volta possono essere collegati al proprietario. Quando un’officina stabilisce un nesso tra veicolo e proprietario, ad esempio per la fatturazione, l’informazione riguarderà il proprietario. Se il nesso viene fatto con il meccanico che ha lavorato sul veicolo per accertarne la produttività, l’informazione riguarderà anche il meccanico;
  3. una società di taxi installa un sistema di localizzazione satellitare per localizzare i veicoli disponibili in tempo reale al fine di offrire un servizio migliore e risparmiare carburante, assegnando ad ogni cliente il taxi che si trova più vicino al suo indirizzo. È evidente che i dati necessari al funzionamento del sistema sono dati relativi ad automobili e non ai conducenti; eppure il sistema permette di monitorare le prestazioni dei tassisti e di controllare se rispettano i limiti di velocità, se scelgono itinerari adeguati, se sono al volante o se stanno facendo una pausa, ecc. Il sistema, quindi, può esercitare un forte impatto sui tassisti e può desumersi che i dati elaborati dal sistema concernono anche delle persone fisiche. Di conseguenza, il loro trattamento dovrebbe essere soggetto alle norme sulla protezione dei dati personali.

Individuazione dei dati personali: la persona fisica

Il diritto alla protezione dei dati personali fornito dal Regolamento si applica alle persone fisiche, ossia agli esseri umani, e non è limitato ai cittadini o ai residenti di un dato Paese. Sul punto, i Considerando n. 1 e n. 2 recitano chiaramente che: “(1) La protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale è un diritto fondamentale. L’articolo 8, paragrafo 1, della Carta dei diritti fondamentali dell’Unione europea («Carta») e l’articolo 16, paragrafo 1, del trattato sul funzionamento dell’Unione europea («TFUE») stabiliscono che ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano. (2) I principi e le norme a tutela delle persone fisiche con riguardo al trattamento dei dati personali dovrebbero rispettarne i diritti e le libertà fondamentali, in particolare il diritto alla protezione dei dati personali, a prescindere dalla loro nazionalità o dalla loro residenza […].

Ciò detto, una particolare attenzione meritano le informazioni relative alle persone decedute. Invero, in linea di principio, non sono da considerarsi dati personali soggetti alle norme del Regolamento in quanto il Considerando 27 recita che “Il presente regolamento non si applica ai dati personali delle persone decedute”.

Tuttavia, visto che i dati dei defunti possono in alcuni casi essere meritevoli di protezione, il legislatore europeo nella seconda parte dello stesso Cons. 27 ha lasciato la possibilità che “Gli Stati membri possono prevedere norme riguardanti il trattamento dei dati personali delle persone decedute”.

Ebbene, il legislatore italiano, con il D.lgs. 101/2018 ha previsto all’art. 2-terdecies che “1. I diritti di cui agli articoli da 15 a 22 del Regolamento riferiti ai dati personali concernenti persone decedute possono essere esercitati da chi ha un interesse proprio, o agisce a tutela dell’interessato, in qualità di suo mandatario, o per ragioni familiari meritevoli di protezione. […]”.

Quando la persona fisica è identificata o identificabile

In generale, con il termine “identificata” si intende la persona fisica che all’interno di un gruppo è “distinta” da tutte le altre; con “identificabile”, invece, la persona fisica non è ancora identificata ma che è possibile distinguere da tutte le altre.

L’identificazione normalmente si fonda su informazioni particolari che sono definite “identificatori” e che hanno un rapporto particolarmente stretto e privilegiato con la persona interessata come l’aspetto, l’altezza, il colore dei capelli, l’abbigliamento ecc., oppure una qualità che non può essere percepita immediatamente, come la professione, una funzione, un nome eccetera.

O ancora, una persona può essere identificata direttamente attraverso il nome (l’identificatore più comune) o indirettamente attraverso il numero di telefono, la targa dell’automobile, il numero del passaporto o una combinazione di criteri significativi che ne consentano il riconoscimento all’interno del gruppo al quale appartiene (età, occupazione, luogo di residenza, ecc.).

In concreto, a determinare se questi identificatori sono sufficienti per effettuare l’identificazione è il contesto della situazione specifica: un cognome molto comune non basterà a identificare una persona tra la popolazione di una città, ma potrà bastare a identificare uno studente in una classe.

Con particolare riferimento alle persone identificate o identificabili “indirettamente”, ci si riferisce ai casi in cui – a prima vista – gli identificatori disponibili non consentono di identificare una persona particolare e tuttavia la si può considerare ancora “identificabile” perché quelle informazioni combinate con altre consentiranno di distinguerla dalle altre persone.

Sul punto, il Considerando 26 prevede che “[…] Per stabilire l’identificabilità di una persona è opportuno considerare tutti i mezzi, come l’individuazione, di cui il titolare del trattamento o un terzo può ragionevolmente avvalersi per identificare detta persona fisica direttamente o indirettamente. Per accertare la ragionevole probabilità di utilizzo dei mezzi per identificare la persona fisica, si dovrebbe prendere in considerazione l’insieme dei fattori obiettivi, tra cui i costi e il tempo necessario per l’identificazione, tenendo conto sia delle tecnologie disponibili al momento del trattamento, sia degli sviluppi tecnologici […]”.

Ciò significa che la sola possibilità ipotetica di distinguere una persona non basta per considerare tale persona identificabile; conseguentemente, se quella possibilità non esiste o è trascurabile, la persona non dovrebbe essere considerata identificabile e le informazioni non configurerebbero dei dati personali.

Per altro verso però, non deve sottovalutarsi il possibile sviluppo tecnologico nel periodo durante il quale saranno conservatele informazioni: il titolare del trattamento, infatti, dovrà considerare anche la possibilità che l’identificazione avvenga in un momento successivo, rendendole dati personali.

Dati genetici e dati biometrici

Tra le categorie particolari di dati di cui all’art. 9, par. 1, (e senza dimenticare i dati giudiziari ex art. 10) GDPR, meritano un cenno i dati genetici e i dati biometrici. Diversamente dalla Direttiva 95/46, infatti, il Regolamento (UE) 2016/679 ne offre una definizione all’art. 4 (rispettivamente) ai numeri 13 e 14.

I «dati genetici» sono “i dati personali relativi alle caratteristiche genetiche ereditarie o acquisite di una persona fisica che forniscono informazioni univoche sulla fisiologia o sulla salute di detta persona fisica, e che risultano in particolare dall’analisi di un campione biologico della persona fisica in questione”.

Più in particolare, il Considerando 34 stabilisce che “È opportuno che per dati genetici si intendano i dati personali relativi alle caratteristiche genetiche, ereditarie o acquisite, di una persona fisica, che risultino dall’analisi di un campione biologico della persona fisica in questione, in particolare dall’analisi dei cromosomi, dell’acido desossiribonucleico (DNA) o dell’acido ribonucleico (RNA), ovvero dall’analisi di un altro elemento che consenta di ottenere informazioni equivalenti”.

Quanto ai «dati biometrici», sono “i dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici”.

Sull’argomento, il Considerando 51 recita altresì che “[…] Il trattamento di fotografie non dovrebbe costituire sistematicamente un trattamento di categorie particolari di dati personali, poiché esse rientrano nella definizione di dati biometrici soltanto quando saranno trattate attraverso un dispositivo tecnico specifico che consente l’identificazione univoca o l’autenticazione di una persona fisica. […]”.

In pratica, tali caratteristiche e/o azioni sono misurabili, seppure – a volte -con un certo grado di probabilità. Esempi tipici di dati biometrici sono le impronte digitali, la struttura della retina, del volto, la voce, la forma della mano, gli elementi caratteristici delle vene o perfino alcune capacità profondamente radicate nella persona o altre caratteristiche comportamentali (la firma, la pressione esercitata sui tasti, il modo particolare di camminare o parlare ecc.).

La particolarità dei dati biometrici è che si possono considerare sia come “contenuto” delle informazioni su una particolare persona sia come “identificatori” per stabilire un collegamento univoco tra un’informazione e una persona specifica (questo oggetto è stato toccato da qualcuno che ha queste impronte digitali – queste impronte corrispondono a Tizio – Tizio ha toccato questo oggetto).

Ad esempio, i campioni di tessuti umani (un campione di sangue) non sono dati biometrici in sé bensì sono fonti da cui vengono estratti dati biometrici, motivo per il quale l’estrazione di informazioni da campioni equivale a una raccolta di dati personali.

Informazioni anonime, anonimizzazione e pseudonimizzazione

Il limite ontologico al concetto di dato personale è quello di “dato anonimo”, da non confondere con “dato anonimizzato”.

Ebbene, il Considerando 26, nella parte finale, precisa che “I principi di protezione dei dati non dovrebbero pertanto applicarsi a informazioni anonime, vale a dire informazioni che non si riferiscono a una persona fisica identificata o identificabile o a dati personali resi sufficientemente anonimi da impedire o da non consentire più l’identificazione dell’interessato. Il presente regolamento non si applica pertanto al trattamento di tali informazioni anonime, anche per finalità statistiche o di ricerca”.

In sostanza, il dato può definirsi “anonimoquando l’informazione ab origine non è associabile ad uno specifico interessato10.

Il dato anonimizzato, invece, è il risultato della c.d. anonimizzazione11 – di cui il Regolamento non riporta alcuna definizione – ovvero del trattamento di dati personali volto a impedire irreversibilmente l’identificazione dell’interessato.

Tuttavia, è bene sottolineare che, sia i dati originariamente anonimi che quelli resi tali mediante opportune operazioni di trattamento (eliminazione dei dati identificativi, pixelatura del volto, mascheramento della voce ecc.), possono divenire (o tornare ad essere) “dati personali” allorché, attraverso una o più operazioni successive di collegamento ad informazioni di diversa natura, risulti comunque idonea a rendere identificabile un soggetto (si pensi a dati statistici apparentemente anonimi, che per genere e consistenza numerica consentano di risalire ai diretti interessati: v. Garante Privacy, provv. 23.1.1998, doc. web n. 39568).

Quanto alla «pseudonimizzazione», l’art. 4, par. 1, n. 5, GDPR la definisce come “il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile”.

Tanto permette di puntualizzare che l’attribuzione di codici “non è” un metodo di anonimizzazione quanto una misura di sicurezza diretta a ridurre la correlabilità di un insieme di dati all’identità originaria dell’interessato.

Conclusioni

Noi pensiamo di discutere soltanto di protezione dei dati, ma in realtà ci occupiamo del destino delle nostre società, del loro presente e soprattutto del loro futuro. […] Emerge un legame profondo tra libertà, dignità e privacy, che ci impone di guardare a quest’ultima al di là della sua storica definizione come diritto ad essere lasciato solo. Senza una forte tutela delle informazioni che le riguardano, le persone rischiano sempre di più d’essere discriminate per le loro opinioni, credenze religiose, condizioni di salute: la privacy si presenta così come un elemento fondamentale dalla società dell’eguaglianza. Senza una forte tutela dei dati riguardanti le convinzioni politiche o l’appartenenza a partiti, sindacati, associazioni, i cittadini rischiano d’essere esclusi dai processi democratici: così la privacy diventa una condizione essenziale per essere inclusi nella società della partecipazione. Senza una forte tutela del “corpo elettronico”, dell’insieme delle informazioni raccolte sul nostro conto, la stessa libertà personale è in pericolo diventa così evidente che: la privacy è uno strumento necessario per difendere la società della libertà, e per opporsi alle spinte verso la costruzione di una società della sorveglianza, della classificazione, della selezione sociale”. (Così Rodotà S., Privacy, libertà, dignità, Discorso conclusivo della Conferenza internazionale sulla protezione dei dati, 2004).

NOTE

1 V. altresì Garante Privacy, pareri n. 162 del 30 marzo 2017, doc. web. n. 6393422; n. 246 del 24 maggio 2017, doc. web. n. 6495600; n. 366 del 7 settembre 2017, doc. web n. 7155171; n. 433 del 26 ottobre 2017, doc. web n. 7156158.

2 La Carta dei diritti fondamentali dell’Unione europea ha riconosciuto all’articolo 8 la protezione dei dati personali quale diritto autonomo, separato e differente rispetto alla tutela della vita privata di cui all’art. 7.

3[…] il termine “vita privata” non va interpretato in modo restrittivo. In particolare, il rispetto della vita privata comprende il diritto a stabilire e sviluppare relazioni con altri esseri umani; inoltre, non vi è alcuna ragione di principio per giustificare l’esclusione di attività di natura professionale o imprenditoriale dalla nozione di “vita privata” (così la Corte europea dei diritti umani nella causa Amann/Switzerland del 16.2.2000, §65).

4 Con la sentenza C-101/2001del 6.11.2003 (Lindqvist), la Corte di giustizia delle Comunità europee stabilisce che la nozione di «dati personali» “ricomprende certamente il nome di una persona accostato al suo recapito telefonico o ad informazioni relative alla sua situazione lavorativa o ai suoi passatempo”.

5 A titolo esemplificativo, il WP136 individua “abitudini e pratiche professionali” come “le informazioni sulle prescrizioni dei farmaci (ad esempio, numero identificativo, nome, potenza e produttore del farmaco, prezzo di vendita del farmaco, nuovo o ricarica, motivi dell’uso, nome, cognome e numero di telefono di chi effettua la prescrizione, ecc.), sia sotto forma di singola prescrizione o di elementi caratteristici tratti da una serie di prescrizioni, possono essere considerate dati personali relativi al medico che prescrive il farmaco, anche se il paziente resta anonimo. Pertanto, fornire informazioni su prescrizioni effettuate da medici identificati o identificabili a produttori di farmaci su prescrizione costituisce una comunicazione di dati personali a terzi […]”.

6 La ricognizione è stata tratta da LATTANZI R., Le nozioni di «dato personale» e «trattamento» nel RGPD, Modulo 1 – Webinar 5 – slide DATO PERSONALE E TRATTAMENTO, T4DATA, 2019, 6.

7 La Cass., sez. II, 05.07.2018, n. 17665, nel confermare il contenuto dell’ordinanza ingiunzione dell’11 luglio 2013, n. 352 (doc. web n. 2720290), nella motivazione della sentenza ha ribadito che la definizione di “dato personale” sia un concetto molto ampio (e diverso da quello di “dato identificativo”, che ne è una specie della categoria generale), in quanto ricomprensivo di qualsiasi informazione che consenta di identificare una persona fisica, tra cui il nome, il cognome e, nel caso considerato, l’indirizzo di posta elettronica.

8 In questo senso, v. Cass. n. 17440 del 02/09/2015, che “ai fini che qui rilevano, non appare possibile dubitare del fatto che l’immagine costituisca dato personale […], trattandosi di dato immediatamente idoneo a identificare una persona, a prescindere dalla sua notorietà […]”.

9 Si segnala, altresì, una fattispecie particolare individuata dalla Cass. n. 16816 del 26/06/2018: “La salute di un minore costituisce dato personale e sensibile e come tale tutelabile, ai sensi del codice sulla riservatezza (d.lgs. n. 196 del 2003), sia in relazione al minore stesso sia in relazione ad altre persone legate a quest’ultimo da vincoli di comunanza di vita familiare o domestica, atteso che la situazione del familiare congiunto a persona affetta da invalidità esprime in ogni caso una condizione di debolezza o di disagio sociale, di per sé potenzialmente idonea ad esporre la persona a condizionamenti o discriminazioni assimilabili a quelle tipicamente individuate dal legislatore a protezione dei dati personali. (In applicazione di tale principio, la S.C. ha confermato la sentenza impugnata, che aveva riconosciuto ai genitori ed al fratello di un minore la legittimazione ad agire per il risarcimento dei danni dagli stessi subiti a seguito dell’illecita diffusione, attraverso la pubblica esposizione di una graduatoria di ammissione a corsi scolastici, di dati sensibili riguardanti la salute del minore stesso e funzionali all’attribuzione di privilegi concorsuali).”.

10 Sul tema dei dati anonimi, v. Garante, provv. 14.6.2001, doc. web n. 41782: “Non violano le disposizioni sulla protezione dei dati personali sistemi ed apparecchiature dislocate su spiagge, specie a fini promozionali o pubblicitari, che non consentano di identificare anche indirettamente gli interessati, in ragione della distanza dal luogo ripreso o di altre caratteristiche tecniche.”.

11 Sulle tecniche di anonimizzazione, v. Gruppo art. 29, WP216, Parere 05/2014 sulle tecniche di anonimizzazione, adottato il 10 aprile 2014: il parere esamina in particolare l’aggiunta del rumore statistico, le permutazioni, la privacy differenziale, l’aggregazione, il k-anonimato, la l-diversità e la t-vicinanza.

WHITEPAPER
Come è cambiato in Italia il quadro normativo dei pagamenti digitali verso la PA?

@RIPRODUZIONE RISERVATA

Articolo 1 di 5