REGOLAMENTO UE

La corretta individuazione dei dati personali: regole e norme per il pieno rispetto del GDPR

Con un recente parere il Garante Privacy è tornato a ribadire che il curriculum vitae, così come l’elaborato scritto, contiene numerose informazioni delicate che non sempre si desidera portare a conoscenza di chiunque e che meritano dunque un’opportuna riservatezza. Ecco allora come individuare le informazioni che rientrano nel concetto di dato personale, nel rispetto delle normative italiana ed europea

Pubblicato il 29 Gen 2020

Salvatore Coppola

Avvocato del Foro di Matera, DPO

La corretta individuazione dei dati personali

Un punto fondamentale in materia di protezione dei dati personali deve essere necessariamente la corretta individuazione del concetto di “dato personale”: averne una conoscenza approfondita contribuisce (in modo determinante) a definire, anzitutto, se il trattamento che lo riguarda rientra o meno nell’ambito di applicazione del Regolamento (UE) 2016/679 (in seguito anche GDPR).

Un’indebita restrizione del concetto, infatti, avrebbe certamente ripercussioni sulla correttezza e legittimità dei trattamenti con inevitabili effetti sui diritti e le libertà degli interessati.

Ecco perché è importantissimo tenere presente una serie di situazioni in cui i dati personali possono essere a rischio, e mettere in guardia contro interpretazioni che lascerebbero le persone prive di un’adeguata tutela.

La giurisprudenza europea e i provvedimenti del Garante

Con il provvedimento n. 200 del 7 novembre scorso il Garante per la protezione dei dati personali ha ri-affermato1 che con riferimento alla “copia degli elaborati scritti di un concorso pubblico, si deve tenere presente che tali documenti, in generale, sono indicativi di molteplici aspetti di carattere personale circa le caratteristiche individuali, relativi ad esempio alla preparazione professionale, alla cultura, alle capacità di espressione, o al carattere del candidato, che costituiscono aspetti valutabili nella selezione dei partecipanti. Inoltre, in alcuni casi, e a seconda della traccia sottoposta, il contenuto degli elaborati è capace di rivelare anche informazioni e convinzioni che possono rientrare nelle «categorie particolari di dati personali» di cui all’art. 9, par. 1, del Regolamento (si pensi, in particolare, a elaborati nei quali potrebbero evincersi «opinioni politiche», «convinzioni filosofiche o di altro genere»).

Analogamente si osserva che i contenuti generalmente inseriti nel curriculum vitae sono molteplici e la relativa ostensione può consentire l’accesso, a seconda di come è redatto il cv, a numerosi dati (es.: nominativo, data e luogo di nascita, residenza, telefono, e-mail, nazionalità) e informazioni di carattere personale (es.: esperienze e competenze professionali, istruzione e formazione, competenze personali, competenze comunicative, competenze organizzative e gestionali, pubblicazioni, presentazioni, progetti, conferenze, seminari, riconoscimenti e premi, appartenenza a gruppi/associazioni, referenze, menzioni, corsi, certificazioni ecc.), che per motivi individuali non sempre si desidera portare a conoscenza di soggetti estranei”.

In verità, con la sentenza del 20 dicembre 2017, Peter Nowak c. Data Protection Commissioner (causa C-434/16), la Corte di giustizia dell’Unione europea aveva già ha affermato che “le risposte scritte fornite da un candidato durante un esame professionale e le eventuali annotazioni dell’esaminatore relative a tali risposte costituiscono dati personali […]”.

Pertanto, la CGUE ha affermato chiaramente che anche le annotazioni dell’esaminatore relative alle risposte del candidato “costituiscono, proprio come le risposte fornite dal candidato durante l’esame, informazioni concernenti tale candidato. […] La constatazione che le annotazioni dell’esaminatore relative alle risposte fornite dal candidato durante l’esame costituiscono informazioni che, in ragione del loro contenuto, della loro finalità e del loro effetto, sono collegate a tale candidato non è contraddetta dal fatto che tali annotazioni costituiscono anche informazioni concernenti l’esaminatore. Infatti, la medesima informazione può riguardare più persone fisiche e costituire per le stesse, a condizione che tali persone siano identificate o identificabili, un dato personale […]”.

La definizione di dato personale nel GDPR

Con l’obiettivo di offrire la massima tutela dei diritti e delle libertà delle persone fisiche, la definizione di dati personali contenuta nel Regolamento (UE) 2016/679 è particolarmente ampia e dettagliata. L’art. 4, paragrafo 1, GDPR definisce con «dato personale»: “qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”. Si aggiunga che il Considerando 30 prevede che: “Le persone fisiche possono essere associate a identificativi online prodotti dai dispositivi, dalle applicazioni, dagli strumenti e dai protocolli utilizzati, quali gli indirizzi IP, a marcatori temporanei (cookies) o a identificativi di altro tipo, come i tag di identificazione a radiofrequenza. Tali identificativi possono lasciare tracce che, in particolare se combinate con identificativi univoci e altre informazioni ricevute dai server, possono essere utilizzate per creare profili delle persone fisiche e identificarle”.

Ebbene, è di fondamentale importanza nell’interpretazione e nell’applicazione del Regolamento individuare puntualmente ciò che rappresenta o meno un dato personale, in quanto può svolgere un ruolo sostanziale nel determinare come vada applicato il GDPR ad una serie di situazioni in cui i diritti degli individui sono a rischio, e può mettere in guardia contro interpretazioni che lascerebbero le persone prive di un’adeguata tutela.

A tal fine, come già nella Direttiva 95/46/CE, è utile evidenziare che nel Regolamento (UE) 2016/679 la definizione di dati personali contiene quattro elementi fondamentali:

  1. qualsiasi informazione
  2. riguardante” (nella Direttiva era utilizzato il termine “concernente”)
  3. persona fisica
  4. identificata o identificabile”.

I quattro elementi sono strettamente connessi fra loro e si alimentano reciprocamente; questo aveva dichiarato il Gruppo di lavoro ex art. 29 nel Parere n. 4/2007 finalizzato ad uniformare l’applicazione delle normative nazionali a livello europeo sul concetto di dati personali.

Tale documento (c.d. WP136), che si avvale di esempi tratti in quegli anni dalla pratica delle singole Autorità privacy europee, nonostante sia risalente alla vigenza della Direttiva CE/1995/46, è tutt’oggi un’utilissima guida per comprendere gli esempi e i contesti nei quali è possibile rintracciare il concetto di dato personale.

Andiamo dunque ad analizzare i quattro elementi fondamentali per la corretta individuazione dei dati personali.

Natura, contenuto e forma dell’informazione

L’espressione “qualsiasi informazione” rappresenta – sin dall’adozione della Direttiva 95/46 – la volontà del legislatore europeo di definire un concetto ampio di dati personali al fine di ottenerne un’interpretazione altrettanto ampia.

Innanzitutto, è bene precisare che non è necessario che l’informazione abbia natura riservata2 o intima: anche informazioni generalmente disponibili – come i dati pubblici – sono dati personali.

Inoltre, perché l’informazione diventi un “dato personale” non è necessario che sia vera o dimostrata. Sul punto, l’art. 5, par. 1, lett. d, GDPR prescrive che “devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati («esattezza»); o ancora, tra i diritti dell’interessato vi sono il diritto di “rettifica dei dati personali inesatti” (artt. 16 e 19) ovvero di limitazione del trattamento quando “l’interessato contesta l’esattezza dei dati personali” (art. 18, par. 1, lett. a, GDPR).

Dunque, quanto alla natura dell’informazione, il concetto di dati personali comprende qualsiasi tipo di affermazione su una persona. Può quindi includere informazioni “oggettive” come la presenza di una data sostanza nel sangue di una persona, ma anche informazioni “soggettive” come opinioni o valutazioni (nel settore -bancario la valutazione dell’affidabilità di chi richiede un prestito: “Tizio è un cliente affidabile”; -assicurativo: “Tizio probabilmente non morirà presto”; -delle prestazioni lavorative di un dipendente: “Tizio è un buon lavoratore e merita una promozione”).

Dal punto di vista del contenuto dell’informazione, il concetto di dati personali comprende qualsiasi tipo d’informazioni: quelle di natura rischiosa (cc.dd. “categorie particolari di dati personali”) sia quelle più generali; informazioni sulla vita privata3 e familiare, nonché sulle attività di qualunque tipo4, come sui rapporti di lavoro o sul comportamento economico e sociale di una persona. I dati personali comprendono quindi informazioni sulle persone, a prescindere dalla posizione, dalle capacità ovvero se consumatori, pazienti, lavoratori5, clienti e via dicendo.

Più specificamente, con riferimento al contenuto dell’informazione, si riporta di seguito una ricognizione6 delle casistiche prese in considerazione negli anni dal Garante Privacy italiano.

  • Informazioni aventi natura «oggettiva»:
  1. dati anagrafici, caratteristiche individuali (ad es. peso, altezza ecc.), codice fiscale e altri codici identificativi, recapiti telefonici, indirizzi e-mail (v. provv.ti 25.6.2002, doc. web n. 29864; 31.7.2002, doc. web n. 1065798; 24.6.2003, doc. web n. 1132562; 26.6.2003, doc. web n. 1140434);
  2. referti di analisi cliniche, fotografie (provv.ti 23.3.1999, doc. web n. 40899; 4.1.2001, doc. web n. 41119);
  3. foto segnaletiche, identikit o archivi di polizia contenenti immagini (Garante 2.7.1997, doc. web n. 38985; provv. 21.10.1999, doc. web n. 42288; 17.2.2000, doc. web n. 40041; 7.3.2000, doc. web n. 30987);
  4. registrazioni vocali (ad es., ordini telefonici nell’ambito del phone banking: provv. 19.6.2002, doc. web n. 1065269);
  5. qualunque informazione – anche cifrata o codificata (provv. 21.11.2001, doc. web n. 39773) – riconducibile ad un interessato, anche in via indiretta, attraverso il collegamento con altre informazioni, ivi compresi i suoni e le immagini;
  6. dati personali contenuti nel cedolino dello stipendio dei lavoratori dipendenti (provv.ti 31.12.1998, doc. web n. 39324; 16 luglio 2003, doc. web n. 1080576);
  7. informazioni personali di pubblico dominio, quali dati reddituali, compensi percepiti, curriculum vitae (v. nota n. 1).
  • Informazioni aventi natura “soggettiva” quali opinioni o valutazioni, anche espresse con codici o in termini numerici:
  1. valutazioni della prestazione/capacità lavorativa (provv. 5.6.2003, doc. web n. 1121322);
  2. valutazioni concernenti l’affidabilità di chi richiede un prestito o la solvibilità (provv.ti 25.10.2001, doc. web n. 40305; 14.11.2003, doc. web n. 1082980);
  3. valutazioni in ambito assicurativo;
  4. dati trattati dal consulente di parte nel corso del processo, comead es. i dati detenuti da un CTP-psicologo che acquisisce informazioni personali sull’interessato (provv. 16.5.2002, doc. web n. 1064791);
  5. notizie contenute nelle relazioni periodicamente inviate da una Asl ad un Tribunale minorile in relazione ad un procedimento di affidamento di un minore (provv. 17 aprile 2002, doc. web n. 1065129);
  6. esito di test psicologici (Corte EDU, V sezione, Yonchev v. Bulgaria, 7 dicembre 2017, in materia di diritto d’accesso).
  7. È il caso, altresì, di segnalare che spesso informazioni aventi natura obiettiva e valutativa sono trattate congiuntamente:
  8. merito creditizio, perizie medico legali (v. provv.ti 13.10.1999, doc. n. 42098; 30.12.1999, doc. n. 40847; 27 dicembre 2001, doc. web n. 42130);
  9. disegni realizzati da minore e raccolti da un medico nell’ambito di un test neuropsichiatrico per essere usati per trarre elementi di giudizio. E’ il caso dell’affidamento di una bambina, per il quale è stato presentato un suo disegno dei familiari; ebbene, il disegno dà informazioni sullo stato d’animo della bambina e sui suoi sentimenti per i diversi membri della famiglia. Perciò, queste informazioni possono costituire dati personali in quanto rivelano informazioni sulla bambina e la sua salute mentale, nonché sul comportamento della madre o del padre (v. provv. 28.11.2001, doc. web n. 40353).

Quanto al formato dell’informazione o del supporto usato, il concetto di dati personali comprende le informazioni disponibili in qualsiasi forma: alfabetica, numerica, grafica, fotografica o acustica, registrate su carta e/o conservate nella memoria di un computer o su altro supporto informatico/elettronico/digitale.

Quindi, le informazioni contenute sotto forma di testo libero come un messaggio di posta elettronica7 possono essere considerati dati personali.

Allo stesso modo i dati in forma di suoni e immagini, come nei servizi di phone banking le istruzioni che il cliente dà alla banca nonché la registrazione (su un supporto) della sua voce, dovrebbero essere considerate dati personali; o ancora, le immagini registrate da un sistema di videosorveglianza possono essere dati personali nella misura in cui le persone riprese sono riconoscibili8.

Stabilire le relazioni per l’individuazione dei dati personali

Il secondo elemento fondamentale della definizione di dati personali, “riguardante“, è d’importanza cruciale poiché è molto importante stabilire con precisione le relazioni ovvero i collegamenti che contano, e come distinguerli.

Un’informazione “riguarda” una persona quando può essere stabilita facilmente una relazione9. Ad esempio, i risultati di un’analisi medica riguardano chiaramente il paziente, così come le informazioni contenute in un fascicolo sotto il nome di un dato cliente riguardano chiaramente quel cliente. Ancora, le informazioni contenute in un’etichetta/chip RFID o in un codice a barre incorporato nel documento d’identità o in un passaporto di un dato individuo riguardano quella persona.

Vi sono situazioni però in cui non è sempre facile determinare se le informazioni “riguardano” una persona, in quanto le informazioni trasmesse dai dati concernono in primo luogo oggetti e non persone.

A titolo esemplificativo, pertanto, il WP136 cita i seguenti esempi:

  1. il valore di una casa costituisce un’informazione su un oggetto. Se tale informazione è utile per determinare in che misura il proprietario è tassabile diventerà una dato personale;
  2. con riferimento al servizio di manutenzione di un’automobile, il registro clienti di un’officina meccanica contiene informazioni sull’automobile, sul chilometraggio, sulle date dei controlli, sui problemi tecnici e sulle condizioni materiali. Ebbene, queste informazioni sono associate ad un numero di targa e a un numero di motore, che a loro volta possono essere collegati al proprietario. Quando un’officina stabilisce un nesso tra veicolo e proprietario, ad esempio per la fatturazione, l’informazione riguarderà il proprietario. Se il nesso viene fatto con il meccanico che ha lavorato sul veicolo per accertarne la produttività, l’informazione riguarderà anche il meccanico;
  3. una società di taxi installa un sistema di localizzazione satellitare per localizzare i veicoli disponibili in tempo reale al fine di offrire un servizio migliore e risparmiare carburante, assegnando ad ogni cliente il taxi che si trova più vicino al suo indirizzo. È evidente che i dati necessari al funzionamento del sistema sono dati relativi ad automobili e non ai conducenti; eppure il sistema permette di monitorare le prestazioni dei tassisti e di controllare se rispettano i limiti di velocità, se scelgono itinerari adeguati, se sono al volante o se stanno facendo una pausa, ecc. Il sistema, quindi, può esercitare un forte impatto sui tassisti e può desumersi che i dati elaborati dal sistema concernono anche delle persone fisiche. Di conseguenza, il loro trattamento dovrebbe essere soggetto alle norme sulla protezione dei dati personali.

Individuazione dei dati personali: la persona fisica

Il diritto alla protezione dei dati personali fornito dal Regolamento si applica alle persone fisiche, ossia agli esseri umani, e non è limitato ai cittadini o ai residenti di un dato Paese. Sul punto, i Considerando n. 1 e n. 2 recitano chiaramente che: “(1) La protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale è un diritto fondamentale. L’articolo 8, paragrafo 1, della Carta dei diritti fondamentali dell’Unione europea («Carta») e l’articolo 16, paragrafo 1, del trattato sul funzionamento dell’Unione europea («TFUE») stabiliscono che ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano. (2) I principi e le norme a tutela delle persone fisiche con riguardo al trattamento dei dati personali dovrebbero rispettarne i diritti e le libertà fondamentali, in particolare il diritto alla protezione dei dati personali, a prescindere dalla loro nazionalità o dalla loro residenza […].

Ciò detto, una particolare attenzione meritano le informazioni relative alle persone decedute. Invero, in linea di principio, non sono da considerarsi dati personali soggetti alle norme del Regolamento in quanto il Considerando 27 recita che “Il presente regolamento non si applica ai dati personali delle persone decedute”.

Tuttavia, visto che i dati dei defunti possono in alcuni casi essere meritevoli di protezione, il legislatore europeo nella seconda parte dello stesso Cons. 27 ha lasciato la possibilità che “Gli Stati membri possono prevedere norme riguardanti il trattamento dei dati personali delle persone decedute”.

Ebbene, il legislatore italiano, con il D.lgs. 101/2018 ha previsto all’art. 2-terdecies che “1. I diritti di cui agli articoli da 15 a 22 del Regolamento riferiti ai dati personali concernenti persone decedute possono essere esercitati da chi ha un interesse proprio, o agisce a tutela dell’interessato, in qualità di suo mandatario, o per ragioni familiari meritevoli di protezione. […]”.

Quando la persona fisica è identificata o identificabile

In generale, con il termine “identificata” si intende la persona fisica che all’interno di un gruppo è “distinta” da tutte le altre; con “identificabile”, invece, la persona fisica non è ancora identificata ma che è possibile distinguere da tutte le altre.

L’identificazione normalmente si fonda su informazioni particolari che sono definite “identificatori” e che hanno un rapporto particolarmente stretto e privilegiato con la persona interessata come l’aspetto, l’altezza, il colore dei capelli, l’abbigliamento ecc., oppure una qualità che non può essere percepita immediatamente, come la professione, una funzione, un nome eccetera.

O ancora, una persona può essere identificata direttamente attraverso il nome (l’identificatore più comune) o indirettamente attraverso il numero di telefono, la targa dell’automobile, il numero del passaporto o una combinazione di criteri significativi che ne consentano il riconoscimento all’interno del gruppo al quale appartiene (età, occupazione, luogo di residenza, ecc.).

In concreto, a determinare se questi identificatori sono sufficienti per effettuare l’identificazione è il contesto della situazione specifica: un cognome molto comune non basterà a identificare una persona tra la popolazione di una città, ma potrà bastare a identificare uno studente in una classe.

Con particolare riferimento alle persone identificate o identificabili “indirettamente”, ci si riferisce ai casi in cui – a prima vista – gli identificatori disponibili non consentono di identificare una persona particolare e tuttavia la si può considerare ancora “identificabile” perché quelle informazioni combinate con altre consentiranno di distinguerla dalle altre persone.

Sul punto, il Considerando 26 prevede che “[…] Per stabilire l’identificabilità di una persona è opportuno considerare tutti i mezzi, come l’individuazione, di cui il titolare del trattamento o un terzo può ragionevolmente avvalersi per identificare detta persona fisica direttamente o indirettamente. Per accertare la ragionevole probabilità di utilizzo dei mezzi per identificare la persona fisica, si dovrebbe prendere in considerazione l’insieme dei fattori obiettivi, tra cui i costi e il tempo necessario per l’identificazione, tenendo conto sia delle tecnologie disponibili al momento del trattamento, sia degli sviluppi tecnologici […]”.

Ciò significa che la sola possibilità ipotetica di distinguere una persona non basta per considerare tale persona identificabile; conseguentemente, se quella possibilità non esiste o è trascurabile, la persona non dovrebbe essere considerata identificabile e le informazioni non configurerebbero dei dati personali.

Per altro verso però, non deve sottovalutarsi il possibile sviluppo tecnologico nel periodo durante il quale saranno conservatele informazioni: il titolare del trattamento, infatti, dovrà considerare anche la possibilità che l’identificazione avvenga in un momento successivo, rendendole dati personali.

Dati genetici e dati biometrici

Tra le categorie particolari di dati di cui all’art. 9, par. 1, (e senza dimenticare i dati giudiziari ex art. 10) GDPR, meritano un cenno i dati genetici e i dati biometrici. Diversamente dalla Direttiva 95/46, infatti, il Regolamento (UE) 2016/679 ne offre una definizione all’art. 4 (rispettivamente) ai numeri 13 e 14.

I «dati genetici» sono “i dati personali relativi alle caratteristiche genetiche ereditarie o acquisite di una persona fisica che forniscono informazioni univoche sulla fisiologia o sulla salute di detta persona fisica, e che risultano in particolare dall’analisi di un campione biologico della persona fisica in questione”.

Più in particolare, il Considerando 34 stabilisce che “È opportuno che per dati genetici si intendano i dati personali relativi alle caratteristiche genetiche, ereditarie o acquisite, di una persona fisica, che risultino dall’analisi di un campione biologico della persona fisica in questione, in particolare dall’analisi dei cromosomi, dell’acido desossiribonucleico (DNA) o dell’acido ribonucleico (RNA), ovvero dall’analisi di un altro elemento che consenta di ottenere informazioni equivalenti”.

Quanto ai «dati biometrici», sono “i dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici”.

Sull’argomento, il Considerando 51 recita altresì che “[…] Il trattamento di fotografie non dovrebbe costituire sistematicamente un trattamento di categorie particolari di dati personali, poiché esse rientrano nella definizione di dati biometrici soltanto quando saranno trattate attraverso un dispositivo tecnico specifico che consente l’identificazione univoca o l’autenticazione di una persona fisica. […]”.

In pratica, tali caratteristiche e/o azioni sono misurabili, seppure – a volte -con un certo grado di probabilità. Esempi tipici di dati biometrici sono le impronte digitali, la struttura della retina, del volto, la voce, la forma della mano, gli elementi caratteristici delle vene o perfino alcune capacità profondamente radicate nella persona o altre caratteristiche comportamentali (la firma, la pressione esercitata sui tasti, il modo particolare di camminare o parlare ecc.).

La particolarità dei dati biometrici è che si possono considerare sia come “contenuto” delle informazioni su una particolare persona sia come “identificatori” per stabilire un collegamento univoco tra un’informazione e una persona specifica (questo oggetto è stato toccato da qualcuno che ha queste impronte digitali – queste impronte corrispondono a Tizio – Tizio ha toccato questo oggetto).

Ad esempio, i campioni di tessuti umani (un campione di sangue) non sono dati biometrici in sé bensì sono fonti da cui vengono estratti dati biometrici, motivo per il quale l’estrazione di informazioni da campioni equivale a una raccolta di dati personali.

Informazioni anonime, anonimizzazione e pseudonimizzazione

Il limite ontologico al concetto di dato personale è quello di “dato anonimo”, da non confondere con “dato anonimizzato”.

Ebbene, il Considerando 26, nella parte finale, precisa che “I principi di protezione dei dati non dovrebbero pertanto applicarsi a informazioni anonime, vale a dire informazioni che non si riferiscono a una persona fisica identificata o identificabile o a dati personali resi sufficientemente anonimi da impedire o da non consentire più l’identificazione dell’interessato. Il presente regolamento non si applica pertanto al trattamento di tali informazioni anonime, anche per finalità statistiche o di ricerca”.

In sostanza, il dato può definirsi “anonimoquando l’informazione ab origine non è associabile ad uno specifico interessato10.

Il dato anonimizzato, invece, è il risultato della c.d. anonimizzazione11 – di cui il Regolamento non riporta alcuna definizione – ovvero del trattamento di dati personali volto a impedire irreversibilmente l’identificazione dell’interessato.

Tuttavia, è bene sottolineare che, sia i dati originariamente anonimi che quelli resi tali mediante opportune operazioni di trattamento (eliminazione dei dati identificativi, pixelatura del volto, mascheramento della voce ecc.), possono divenire (o tornare ad essere) “dati personali” allorché, attraverso una o più operazioni successive di collegamento ad informazioni di diversa natura, risulti comunque idonea a rendere identificabile un soggetto (si pensi a dati statistici apparentemente anonimi, che per genere e consistenza numerica consentano di risalire ai diretti interessati: v. Garante Privacy, provv. 23.1.1998, doc. web n. 39568).

Quanto alla «pseudonimizzazione», l’art. 4, par. 1, n. 5, GDPR la definisce come “il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile”.

Tanto permette di puntualizzare che l’attribuzione di codici “non è” un metodo di anonimizzazione quanto una misura di sicurezza diretta a ridurre la correlabilità di un insieme di dati all’identità originaria dell’interessato.

Conclusioni

Noi pensiamo di discutere soltanto di protezione dei dati, ma in realtà ci occupiamo del destino delle nostre società, del loro presente e soprattutto del loro futuro. […] Emerge un legame profondo tra libertà, dignità e privacy, che ci impone di guardare a quest’ultima al di là della sua storica definizione come diritto ad essere lasciato solo. Senza una forte tutela delle informazioni che le riguardano, le persone rischiano sempre di più d’essere discriminate per le loro opinioni, credenze religiose, condizioni di salute: la privacy si presenta così come un elemento fondamentale dalla società dell’eguaglianza. Senza una forte tutela dei dati riguardanti le convinzioni politiche o l’appartenenza a partiti, sindacati, associazioni, i cittadini rischiano d’essere esclusi dai processi democratici: così la privacy diventa una condizione essenziale per essere inclusi nella società della partecipazione. Senza una forte tutela del “corpo elettronico”, dell’insieme delle informazioni raccolte sul nostro conto, la stessa libertà personale è in pericolo diventa così evidente che: la privacy è uno strumento necessario per difendere la società della libertà, e per opporsi alle spinte verso la costruzione di una società della sorveglianza, della classificazione, della selezione sociale”. (Così Rodotà S., Privacy, libertà, dignità, Discorso conclusivo della Conferenza internazionale sulla protezione dei dati, 2004).

NOTE

1 V. altresì Garante Privacy, pareri n. 162 del 30 marzo 2017, doc. web. n. 6393422; n. 246 del 24 maggio 2017, doc. web. n. 6495600; n. 366 del 7 settembre 2017, doc. web n. 7155171; n. 433 del 26 ottobre 2017, doc. web n. 7156158.

2 La Carta dei diritti fondamentali dell’Unione europea ha riconosciuto all’articolo 8 la protezione dei dati personali quale diritto autonomo, separato e differente rispetto alla tutela della vita privata di cui all’art. 7.

3[…] il termine “vita privata” non va interpretato in modo restrittivo. In particolare, il rispetto della vita privata comprende il diritto a stabilire e sviluppare relazioni con altri esseri umani; inoltre, non vi è alcuna ragione di principio per giustificare l’esclusione di attività di natura professionale o imprenditoriale dalla nozione di “vita privata” (così la Corte europea dei diritti umani nella causa Amann/Switzerland del 16.2.2000, §65).

4 Con la sentenza C-101/2001del 6.11.2003 (Lindqvist), la Corte di giustizia delle Comunità europee stabilisce che la nozione di «dati personali» “ricomprende certamente il nome di una persona accostato al suo recapito telefonico o ad informazioni relative alla sua situazione lavorativa o ai suoi passatempo”.

5 A titolo esemplificativo, il WP136 individua “abitudini e pratiche professionali” come “le informazioni sulle prescrizioni dei farmaci (ad esempio, numero identificativo, nome, potenza e produttore del farmaco, prezzo di vendita del farmaco, nuovo o ricarica, motivi dell’uso, nome, cognome e numero di telefono di chi effettua la prescrizione, ecc.), sia sotto forma di singola prescrizione o di elementi caratteristici tratti da una serie di prescrizioni, possono essere considerate dati personali relativi al medico che prescrive il farmaco, anche se il paziente resta anonimo. Pertanto, fornire informazioni su prescrizioni effettuate da medici identificati o identificabili a produttori di farmaci su prescrizione costituisce una comunicazione di dati personali a terzi […]”.

6 La ricognizione è stata tratta da LATTANZI R., Le nozioni di «dato personale» e «trattamento» nel RGPD, Modulo 1 – Webinar 5 – slide DATO PERSONALE E TRATTAMENTO, T4DATA, 2019, 6.

7 La Cass., sez. II, 05.07.2018, n. 17665, nel confermare il contenuto dell’ordinanza ingiunzione dell’11 luglio 2013, n. 352 (doc. web n. 2720290), nella motivazione della sentenza ha ribadito che la definizione di “dato personale” sia un concetto molto ampio (e diverso da quello di “dato identificativo”, che ne è una specie della categoria generale), in quanto ricomprensivo di qualsiasi informazione che consenta di identificare una persona fisica, tra cui il nome, il cognome e, nel caso considerato, l’indirizzo di posta elettronica.

8 In questo senso, v. Cass. n. 17440 del 02/09/2015, che “ai fini che qui rilevano, non appare possibile dubitare del fatto che l’immagine costituisca dato personale […], trattandosi di dato immediatamente idoneo a identificare una persona, a prescindere dalla sua notorietà […]”.

9 Si segnala, altresì, una fattispecie particolare individuata dalla Cass. n. 16816 del 26/06/2018: “La salute di un minore costituisce dato personale e sensibile e come tale tutelabile, ai sensi del codice sulla riservatezza (d.lgs. n. 196 del 2003), sia in relazione al minore stesso sia in relazione ad altre persone legate a quest’ultimo da vincoli di comunanza di vita familiare o domestica, atteso che la situazione del familiare congiunto a persona affetta da invalidità esprime in ogni caso una condizione di debolezza o di disagio sociale, di per sé potenzialmente idonea ad esporre la persona a condizionamenti o discriminazioni assimilabili a quelle tipicamente individuate dal legislatore a protezione dei dati personali. (In applicazione di tale principio, la S.C. ha confermato la sentenza impugnata, che aveva riconosciuto ai genitori ed al fratello di un minore la legittimazione ad agire per il risarcimento dei danni dagli stessi subiti a seguito dell’illecita diffusione, attraverso la pubblica esposizione di una graduatoria di ammissione a corsi scolastici, di dati sensibili riguardanti la salute del minore stesso e funzionali all’attribuzione di privilegi concorsuali).”.

10 Sul tema dei dati anonimi, v. Garante, provv. 14.6.2001, doc. web n. 41782: “Non violano le disposizioni sulla protezione dei dati personali sistemi ed apparecchiature dislocate su spiagge, specie a fini promozionali o pubblicitari, che non consentano di identificare anche indirettamente gli interessati, in ragione della distanza dal luogo ripreso o di altre caratteristiche tecniche.”.

11 Sulle tecniche di anonimizzazione, v. Gruppo art. 29, WP216, Parere 05/2014 sulle tecniche di anonimizzazione, adottato il 10 aprile 2014: il parere esamina in particolare l’aggiunta del rumore statistico, le permutazioni, la privacy differenziale, l’aggregazione, il k-anonimato, la l-diversità e la t-vicinanza.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Who's Who

Argomenti

Canali

Speciale PNRR

Tutti
Incentivi
Salute digitale
Formazione
Analisi
Sostenibilità
PA
Sostemibilità
Sicurezza
Digital Economy
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articoli correlati

Prossimo

No al “pay or okay”: dall’EDPB stretta sul consenso per le grandi piattaforme online