Il dato personale rappresenta lo strumento tecnico-giuridico attraverso il quale i legislatori, nazionali e comunitari, tutelano l'insieme dei diritti collegati all'identità personale, quindi è un bene giuridico di secondo grado.
Dato personale è qualsiasi informazione (es. nome) concernente una persona fisica identificata o identificabile (art. 4 GDPR) anche indirettamente, oppure informazioni (es. codice fiscale, impronta digitale, traffico telefonico, immagine, voce) riguardanti una persona la cui identità può comunque essere accertata mediante informazioni supplementari. La persona a cui si riferiscono i dati soggetti al trattamento si definisce "interessato". E' importante tenere presente che l'interessato può essere solo una persona fisica e non un'azienda.
Occorre precisare che se in linea di massima il dato andrebbe tenuto distinto dall'informazione, laddove quest'ultima è un insieme di dati con un contenuto informativo minimo (mentre un dato potrebbe non avere alcun contenuto informativo), nella normativa generalmente non si fa distinzione tra i due elementi. Di contro occorre tenere distinto il concetto di dato non personale.
Identificazione e identificabilità
Un dato si considera personale se consente l'identificazione dell'individuo oppure se descrive l'individuo in modo tale da consentirne l'identificazione acquisendo altri dati. Entrambi i tipi di dati sono tutelati allo stesso modo. Per identificazione non si intende solo la possibilità di recuperare il nome e/o l’indirizzo di una persona, ma anche la potenziale identificabilità mediante individuazione, correlabilità e deduzione. Cioé la possibilità di distinguere la persona da qualsiasi altro soggetto (es. qualifica di presidente del consiglio) oppure all'interno di una categoria. Solo se l'identificazione richiede l'acquisizione di ulteriori dati per i quali occorrono tempi e costi irragionevoli, allora la persona non si può considerare identificabile, ma non è necessario raggiungere un elevato livello di identificazione (pensiamo ai nomi che corrispondono a più persone) perchè il dato sia assoggettato a tutela.
Identificabile è in conclusione la persona che può essere identificata anche mediante il riferimento ad ulteriori elementi, anche se i dati raccolti nell'occasione specifica non sono la base dell'identificazione. Quindi per valutare l'identificabilità occorre prendere in considerazione tutti i mezzi ragionevolmente suscettibili di essere utilizzati dal titolare o da un suo incaricato (Considerando 26 GDPR).
Quindi il dato personale è un concetto dinamico, che va sempre riferito al contesto, nel senso che anche se un'informazione isolata non è in grado di portare all'identificazione di un individuo, il fatto che detta informazione possa essere utilizzata per l'identificazione tramite incrocio con altri dati ne determina comunque la natura di dato personale.
Non occorre, inoltre, che l'informazione sia in grado di individuare fisicamente la persona perché sia considerata dato personale. Ad esempio, le aziende di pubblicità utilizzano vari tecniche di tracciamento per poter identificare singolarmente un individuo tra i tanti navigatori online, dette tecniche generalmente non permettono l'individuazione fisica della persona ma più che altro identificano il browser o il dispositivo digitale tramite il quale quella persona naviga in rete. Anche questi dati (cookie, adid, fingerprint) sono considerati dati personali.
E' il criterio dell'identificabilità mediante l'incrocio di informazioni, anche se detenute da diversi titolari, che inserisce i dati online (indirizzi IP, cookie) nel concetto di dato personale. La Corte di Giustizia europea ha espressamente definito l'indirizzo IP (Internet Protocol) come dato personale, anche con riferimento all'IP dinamico (sentenza Breyer contro Germania del 2016). L'account di un servizio online è sicuramente un dato personale, in quanto consente di identificare univocamente una persona, così come la mail e il nickname. Il nuovo Regolamento europeo in materia di tutela dei dati personali (General Data Protection Regulation), infatti, include espressamente nei dati personali gli identificatori online, quali indirizzi IP, cookie e dati di geolocalizzazione.
La Corte dei diritti dell'uomo ha evidenziato che non esiste una netta separazione tra vita privata e vita professionale per quanto riguarda i dati personali, per cui anche le informazioni riguardanti la vita professionale e pubblica di una persona sono considerate dati personali. In tal senso si potrebbe ritenere che i diritti di cui alla Convenzione (CEDU) appartengano non solo alle persone fisiche ma anche alle persone giuridiche. Per queste ultime la Corte dei diritti dell'uomo tende a considerare più che altro il diritto al rispetto del "domicilio" e della "corrispondenza". In realtà la Convenzione 108 consente alle parti contraenti di estendere la tutela prevista per le persone fisiche anche alle persone giuridiche. Il diritto dell'Unione europea, comunque, non contempla norme a tutela dei dati personali delle persone giuridiche, e nemmeno la normativa italiana.
Ovviamente il formato (immagini, suoni, ecc...) nel quale sono conservati i dati è irrilevante al fini dell'applicabilità della tutela dei dati personali.
Categorie di dati
Dati identificativi
Le informazioni di identificazione personale (PII, Personally identifiable information) sono dati che consentono l'identificazione diretta dell'interessato, tra i quali abbiamo (anche considerando la definizione dell'Istituto nazionale degli standard e della tecnologia, NIST):
- nome e cognome
- indirizzo di casa
- indirizzo email
- numero identificativo nazionale
- numero di passaporto
- indirizzo IP (quando collegato ad altri dati)
- numero di targa del veicolo
- numero di patente
- volto, impronte digitali o calligrafia
- numeri di carta di credito
- identità digitale
- data di nascita
- luogo di nascita
- informazioni genetiche
- numero di telefono
- account name o nickname;
- dati di localizzazione e mobilità (GPS).
Dati soggetti a trattamento speciale (ex dati sensibili)
Si tratta sostanzialmente dei vecchi "dati sensibilI", con alcune aggiunte, per i quali già la Convenzione 108 prevede una tutela rafforzata, cioè prescrive il consenso esplicito anche se non necessariamente scritto, perché riguardano aspetti particolarmente privati dell'individuo e possono essere usati a fini discriminatori. Il nuovo regolamento europeo parla di dati soggetti a trattamento speciale, cioé quei dati utilizzati in passato per discriminare gli individui, e la cui tutela ha lo scopo di garantire la libertà di pensiero e di opinione, la dignità della persona e la libertà da possibili discriminazioni (vedi Profilazione). Rispetto alla precedente normativa, il regolamento europeo aggiunge anche i dati genetici e i dati biometrici tra quelli a trattamento speciale.
L'articolo 9 e 10 del GDPR sanciscono un generale divieto di trattare alcuni categorie particolari di dati, cioè i dati che rivelino:
- l’origine razziale o etnica;
- le opinioni politiche;
- le convinzioni religiose o filosofiche;
- l’appartenenza sindacale;
- i dati genetici, che forniscono informazioni uniche sulla fisiologia o la salute di un individuo (per i quali il Garante ha prorogato la validità dell'autorizzazione generale del 15 dicembre 2016);
- dati biometrici intesi a identificare in modo univoco una persona fisica (ad esempio, un gruppo di fotografie caricate online, oppure negli aeroporti dove l'immagine dell'individuo viene scansionata per identificarlo);
- dati relativi alla salute (anche la semplice ferita ad una mano), cioé tutti i dati che rivelano informazioni sullo stato di salute fisica o mentale passato, presente e futuro della persona interessata, da interpretare in senso ampio comprendendo informazioni riguardanti tutti gli aspetti, tanto fisici quanto psichici, della salute di una persona (vedi la sentenza della Corte di giustizia europea del 6 novembre 2003, C 101/01, Rs Lindqvist, punto 50 f );
- dati relativi alla vita sessuale o all’orientamento sessuale della persona;
- dati relativi a condanne penali e reati (rivelano l'esistenza di provvedimenti penali suscettibili di iscrizione nel casellario giudiziale, o la qualità di indagato o imputato, vedi art. 2-octies Codice Privacy), il cui trattamento è consentito solo se autorizzato da norma di legge o di regolamento.
Queste categorie di dati possono essere trattate solo nei casi espressamente indicati:
a) l’interessato ha prestato il proprio consenso esplicito al trattamento di tali dati personali per una o più finalità specifiche;
b) il trattamento è necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato da norme giuridiche o contratti collettivi;
c) il trattamento è necessario per tutelare un interesse vitale dell’interessato o di un’altra persona fisica (vedi basi giuridiche del trattamento), qualora l’interessato si trovi nell’incapacità fisica o giuridica di prestare il proprio consenso;
d) il trattamento è effettuato da una fondazione, associazione o altro organismo senza scopo di lucro che persegua finalità politiche, filosofiche, religiose o sindacali, a condizione che il trattamento riguardi unicamente i membri, gli ex membri o le persone che hanno regolari contatti con la fondazione, l’associazione o l’organismo a motivo delle sue finalità e che i dati personali non siano comunicati all’esterno senza il consenso dell’interessato;
e) il trattamento riguarda dati personali resi manifestamente pubblici dall’interessato (ad esempio pubblicati su Facebook, ma qui occorre sempre tenere presente la finalità della pubblicazione per decidere se è lecito utilizzarli);
f) il trattamento è necessario per accertare, esercitare o difendere un diritto in sede giudiziaria o ogniqualvolta le autorità giurisdizionali esercitino le loro funzioni giurisdizionali;
g) il trattamento è necessario per motivi di interesse pubblico rilevante sulla base di norme giuridiche, prevedendo misure appropriate per tutelare i diritti dell’interessato;
h) il trattamento è necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali sulla base del diritto dell’Unione o degli Stati membri o conformemente al contratto con un professionista della sanità;
i) il trattamento è necessario per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria e dei medicinali e dei dispositivi medici, sulla base del diritto dell’Unione o degli Stati membri che prevede misure appropriate e specifiche per tutelare i diritti dell’interessato, in particolare il segreto professionale;
j) il trattamento è necessario a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici.
Inoltre, i dati personali di cui all'articolo 9 del GDPR possono essere trattati, per la finalità di cui al punto h), se il trattamento avviene ad opera o sotto la responsabilità di un professionista soggetto al segreto professionale conformemente al diritto dell’Unione o degli Stati membri o alle norme stabilite dagli organismi nazionali competenti o da altra persona anch’essa soggetta all’obbligo di segretezza conformemente al diritto dell’Unione o degli Stati membri o alle norme stabilite dagli organismi nazionali competenti.
Per la qualificazione di un dato a trattamento speciale, è importante tenere presente il contesto. Ad esempio, l'immagine di un individuo che indossa abiti religiosi non è considerata dato a trattamento speciale, in quanto l'individuo in questione esercita la sua professione, così come non lo è l'immagine di un politico ritratta col simbolo del partito. Invece, l'immagine di una persona che entra in un luogo di culto o in una sede di partito è dato a trattamento speciale in quanto è indice della scelta effettuata.
Col decreto di adeguamento del Codice Privacy il legislatore italiano ha stabilito che l'autorità di controllo può imporre ulteriori misure di garanzia nel caso di trattamento dei dati sulla salute, i dati genetici o biometrici, e questo a mezzo di provvedimenti rivisti a cadenza biennale. Tali misure sono state fissate col provvedimento del 5 giugno 2019. In particolare tali prescrizioni riguardano i:
- trattamenti di categorie particolari di dati nei rapporti di lavoro (autorizzazione generale 1/2016);
- trattamenti di categorie particolari di dati da parte degli organismi di tipo associativo, delle fondazioni, delle chiese e associazioni o comunità religiose (aut. gen. 3/2016);
- trattamenti di categorie particolari di dati da parte degli investigatori privati (aut. gen. 6/2016);
- trattamenti di dati genetici (aut. gen. 8/2016);
- trattamenti di dati personali effettuati per scopi di ricerca scientifica (aut. gen. 9/2016).
Ricordiamo che la violazione delle prescrizioni di tale provvedimento sono sanzionate dall'art. 83, par. 5 del Regolamento europeo, cioè con una sanzione amministrativa fino a 20 milioni di euro o, per le imprese, fino al 4% del fatturato mondiale totale annuo dell'esercizio precedente, se superiore.
Dati sanitari (sulla salute)
La categoria dei dati sanitari è piuttosto vasta, e talvolta si generano dubbi su ciò che deve contenere o meno. L’art. 4, co. 1 n. 15, del GDPR definisce come dati sanitari quelli “attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano
informazioni relative al suo stato di salute”. Il Considerando 35 del GDPR , poi, fornisce una lista esemplificativa (non tassativa) di dato personale, da intendersi “qualsiasi informazione riguardante, ad esempio, una malattia, una disabilità, il rischio di malattie, l’anamnesi medica, i trattamenti clinici o lo
stato fisiologico o biomedico dell’interessato”. In tal senso devono intendersi come dati sanitari tutti quelli che sono rivelatori di uno stato di malattia. La Corte di Cassazione, quindi, con l'ordinanza dell'11 ottobre 2023, n. 28417, ha ritenuto il dato sanitario come quel dato che è tale a prescindere dal collegamento con una specifica terapia, essendo sufficiente che da esso emerga uno stato di malattia in senso lato.
In linea di massima i dati sanitari sono:
- i dati intrinsecamente/chiaramente medici;
- i dati grezzi ricavati da sensori che possono essere utilizzati da soli o in combinazione con altri dati per trarre una conclusione sullo stato di salute effettivo o sul rischio per la salute di una persona;
- i dati dai quali vengono tratte conclusioni sullo stato di salute o sul rischio per la salute di una persona (indipendentemente dal fatto che tali conclusioni siano accurate o inesatte, legittime o illegittime, o altrimenti adeguate o inadeguate).
Dati anonimi, pseudonimi, e minimizzazione dei dati
La Convenzione 108 e il regolamento europeo prevedono che i dati devono essere conservati per un periodo di tempo limitato, e in particolare non oltre il tempo necessario per raggiungere lo scopo alla base del trattamento. Nel caso in cui un titolare del trattamento volesse mantenerli per un periodo superiore, deve procedere alla loro anonimizzazione.
Dati anonimizzati sono quei dati che sono stati privati di tutti gli elementi identificativi. I dati anonimizzati non sono ritenuti dati personali, e quindi non sono soggetti alle norme a tutela dei dati personali. Ovviamente può accadere che i dati, una volta esaurito lo scopo del trattamento, debbano comunque essere conservati a fini statistici, storici o scientifici. In questo caso occorre che siano applicate adeguate misure contro possibili abusi dei dati.
Dati pseudonimi sono quei dati personali nei quali gli elementi identificativi sono stati sostituiti da elementi diversi, quali stringhe di caratteri o numeri (hash), oppure sostituendo al nome un nickname, purché sia tale da rendere estremamente difficoltosa l'identificazione dell'interessato. Ovviamente il soggetto che detiene la chiave per decifrare i dati (cioè collegare l'elemento pseudonimo al dato personale) deve garantire adeguate misure contro possibili abusi.
I dati pseudonimi, a differenza di quelli anonimizzati, sono comunque dati personali (in quanto consentono l'identificazione della persona, anche se indirettamente, tramite incrocio con altre informazioni), anche se soggetti ad una tutela ridotta rispetto ai dati personali veri e propri. Ad esempio, l'articolo 33 del GDPR precisa che il titolare del trattamento deve notificare al Garante una violazione dei dati personali, a meno che sia improbabile che la violazione presenti un rischio per i diritti e le libertà delle persone fisiche. Se la pseudonimizzazione è avvenuta in modo sicuro un rischio è improbabile. Inoltre, le aziende possono creare profili a fini di marketing anche senza il consenso degli interessati, purché i dati rimangano pseudonimi.
In ogni caso il titolare del trattamento che, invece di evitare l'uso di dati personali, adopera dati pseudonimi deve spiegare agli interessati la logica e le motivazioni per tale scelta.
Una recente sentenza (T‑557/20) del Tribunale dell'Unione europea ha spiegato che la natura giuridica del dato deve essere valutata nel concreto. In caso di comunicazione di dati pseudonimi, quindi, occorre che il fatto che tali dati siano pseudonimi deve essere valutato nel concreto anche con riferimento alla posizione dell'azienda che riceve i dati, non limitandosi, quindi, a recepire che il dato è pseudonimo per l'azienda che invia i dati. Per cui occorre analizzare nel concreto se il soggetto che riceve i dati pseudonimi (anche in ragione della modalità di pseudonimizzazione) sia o meno nella condizione di effettuare una re-identificazione o, comunque del grado di probabilità di una re-identificazione.
La minimizzazione, invece, consiste nella raccolta dei soli dati pertinenti, quindi limitando il trattamento a ciò che è realmente necessario e indispensabile rispetto alla finalità alla quale sono destinati. La minimizzazione in realtà è da considerarsi un vero e proprio principio fondamentale (principio di pertinenza dei dati) che regolamenta il trattamento dei dati personali, perché nell'ordinamento europeo il trattamento deve sempre essere limitato ai soli dati strettamente necessari.