Temi

Shape 5 Live Search

logo

Il dato personale rappresenta lo strumento tecnico-giuridico attraverso il quale i legislatori, nazionali e comunitari, tutelano l'insieme dei diritti collegati all'identità personale, quindi è un bene giuridico di secondo grado. 

Dato personale è qualsiasi informazione (es. nome) concernente una persona fisica identificata o identificabile (art. 4 GDPR), anche indirettamente, oppure informazioni (es. codice fiscale, impronta digitale, traffico telefonico, immagine, voce) riguardanti una persona la cui identità può comunque essere accertata mediante informazioni supplementari. La persona a cui si riferiscono i dati soggetti al trattamento si definisce "interessato". E' importante tenere presente che l'interessato può essere solo una persona fisica e non un'azienda. 

 

Identificazione e identificabilità

Un dato si considera personale se consente l'identificazione dell'individuo oppure se descrive l'individuo in modo tale da consentirne l'identificazione acquisendo altri dati. Entrambi i tipi di dati sono tutelati allo stesso modo. Per identificazione, quindi, si intende la possibilità di distinguere la persona da qualsiasi altro soggetto (es. qualifica di presidente del consiglio) oppure all'interno di una categoria. Se l'identificazione richiede l'acquisizione di ulteriori dati per i quali occorrono tempi e costi irragionevoli, allora la persona non si può considerare identificabile. Però non è necessario raggiungere un elevato livello di identificazione (pensiamo ai nomi che corrispondono a più persone) perchè il dato sia assoggettato a tutela. 
Identificabile è la persona che può essere identificata anche mediante il riferimento ad ulteriori elementi.  


Quindi il dato personale è un concetto dinamico, che va sempre riferito al contesto, nel senso che anche se un'informazione isolata non è in grado di portare all'identificazione di un individuo, il fatto che detta informazione possa essere utilizzata per l'identificazione tramite incrocio con altri dati ne determina comunque la natura di dato personale. 
Non occorre, inoltre, che l'informazione sia in grado di individuare fisicamente la persona perché sia considerata dato personale. Ad esempio, le aziende di pubblicità utilizzano vari tecniche di tracciamento per poter identificare singolarmente un individuo tra i tanti navigatori online, dette tecniche non permettono l'individuazione fisica della persona ma più che altro identificano il browser o il dispositivo digitale tramite il quale la persona naviga in rete. Anche questi dati (cookie, fingerprint, adid) sono considerati dati personali. 

E' proprio il criterio dell'identificabilità mediante incrocio di informazioni, anche se detenute da diversi titolari, che inserisce i dati online (indirizzi IP, cookie) nel concetto di dato personale. La Corte di Giustizia europea ha espressamente definito l'indirizzo IP (Internet Protocol) come dato personale, anche con riferimento all'IP dinamico (sentenza Breyer contro Germania del 2016). L'account di un servizio online è sicuramente un dato personale, in quanto consente di identificare univocamente una persona, così come la mail, il nickname. Il fatto che l'IP sia considerato dato personale impedisce ad una azienda di ottenere dall'ISP (fornitore di accesso ad Internet) il nominativo di un soggetto che ha scaricato file piratati online. Solo l'autorità giudiziaria può, infatti, può accedere a tali informazioni. 

Il nuovo Regolamento europeo in materia di tutela dei dati personali (General Data Protection Regulation) include espressamente nei dati personali gli identificatori online, quali numeri IP, cookie e dati di geolocalizzazione. 

La Corte dei diritti dell'uomo ha evidenziato che non esiste una netta separazione tra vita privata e vita professionale per quanto riguarda i dati personali, per cui anche le informazioni riguardanti la vita professionale e pubblica di una persona sono dati personali. 
In tal senso si potrebbe ritenere che i diritti della CEDU appartengano non solo alle persone fisiche ma anche alle persone giuridiche. Per queste ultime la Corte dei diritti dell'uomo tende a considerare più che altro il diritto al rispetto del "domicilio" e della "corrispondenza". In realtà la Convenzione 108 consente alle parti contraenti di estendere la tutela prevista per le persone fisiche anche alle persone giuridiche. Il diritto dell'Unione europea, comunque, non contempla norme a tutela dei dati personali delle persone giuridiche, e nemmeno la normativa italiana. 

Ovviamente il formato (immagini, suoni, ecc...) nel quale sono conservati i dati è irrilevanti al fini dell'applicabilità della tutela dei dati personali. 


Categorie di dati

 

Dati identificativi

Le informazioni di identificazione personale (PII, Personally identifiable information) sono dati che consentono l'identificazione diretta dell'interessato. Secondo la definizione utilizzata dall'Istituto nazionale degli standard e della tecnologia (NIST) tra tali dati ci sono: 

- nome e cognome
- indirizzo di casa
- indirizzo email
- numero identificativo nazionale
- numero di passaporto
- indirizzo IP (quando collegato ad altri dati)
- numero di targa del veicolo
- numero di patente
- volto, impronte digitali o calligrafia
- numeri di carta di credito
- identità digitale
- data di nascita
- luogo di nascita
- informazioni genetiche
- numero di telefono
- account name o nickname. 

 

Dati soggetti a trattamento speciale (ex dati sensibili)

L'articolo 9 del GDPR sancisce un generale divieto di trattare alcuni tipi di dati, cioè quelli che rivelino: 
- l’origine razziale o etnica;
- le opinioni politiche;
- le convinzioni religiose o filosofiche;
- l’appartenenza sindacale
Ma anche i dati: 
genetici;
- biometrici intesi a identificare in modo univoco una persona fisica (ad esempio, un gruppo di fotografie caricate online, oppure negli aeroporti dove l'immagine dell'individuo viene scansionata per identificarlo); 
- relativi alla salute (anche la semplice ferita ad una mano); 
- relativi alla vita sessuale o all’orientamento sessuale della persona; 
- giudiziari (rivelano l'esistenza di provvedimenti penali suscettibili di iscrizione nel casellario giudiziale, o la qualità di indagato o imputato). 

Sono sostanzialmente i vecchi "dati sensibilI", con alcune aggiunte, per i quali già la Convenzione 108 prevede una tutela rafforzata, cioè prescrive il consenso esplicito anche se non necessariamente scritto, perché riguardano aspetti particolarmente privati dell'individuo e possono essere usati a fini discriminatori. 

Col nuovo regolamento europeo si parla di dati soggetti a trattamento speciale. Sono quei dati la cui tutela ha lo scopo di garantire la libertà di pensiero e di opinione, la dignità della persona e la libertà da possibili discriminazioni (vedi Profilazione). Rispetto alla precedente normativa, il regolamento europeo aggiunge anche i dati genetici e i dati biometrici tra quelli a trattamento speciale. 

Questo tipo di dati possono essere trattati solo nei casi espressamente indicati: 
a) l’interessato ha prestato il proprio consenso esplicito al trattamento di tali dati personali per una o più finalità specifiche; 
b) il trattamento è necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato da norme giuridiche o contratti collettivi; 
c) il trattamento è necessario per tutelare un interesse vitale dell’interessato o di un’altra persona fisica (vedi basi giuridiche del trattamento), qualora l’interessato si trovi nell’incapacità fisica o giuridica di prestare il proprio consenso; 
d) il trattamento è effettuato da una fondazione, associazione o altro organismo senza scopo di lucro che persegua finalità politiche, filosofiche, religiose o sindacali, a condizione che il trattamento riguardi unicamente i membri, gli ex membri o le persone che hanno regolari contatti con la fondazione, l’associazione o l’organismo a motivo delle sue finalità e che i dati personali non siano comunicati all’esterno senza il consenso dell’interessato; 
e) il trattamento riguarda dati personali resi manifestamente pubblici dall’interessato (ad esempio pubblicati su Facebook); 
f) il trattamento è necessario per accertare, esercitare o difendere un diritto in sede giudiziaria o ogniqualvolta le autorità giurisdizionali esercitino le loro funzioni giurisdizionali; 
g) il trattamento è necessario per motivi di interesse pubblico rilevante sulla base di norme giuridiche, prevedendo misure appropriate per tutelare i diritti  dell’interessato; 
h) il trattamento è necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali sulla base del diritto dell’Unione o degli Stati membri o conformemente al contratto con un professionista della sanità; 
i) il trattamento è necessario per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria e dei medicinali e dei dispositivi medici, sulla base del diritto dell’Unione o degli Stati membri che prevede misure appropriate e specifiche per tutelare i diritti dell’interessato, in particolare il segreto professionale; 
j) il trattamento è necessario a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici
Inoltre, i dati personali di cui all'articolo 9 del GDPR possono essere trattati se il trattamento avviene ad opera o sotto la responsabilità di un professionista soggetto al segreto professionale conformemente al diritto dell’Unione o degli Stati membri o alle norme stabilite dagli organismi nazionali competenti o da altra persona anch’essa soggetta all’obbligo di segretezza conformemente al diritto dell’Unione o degli Stati membri o alle norme stabilite dagli organismi nazionali competenti. 

Col decreto di adeguamento del Codice Privacy il legislatore italiano ha stabilito che l'autorità di controllo può imporre ulteriori misure di garanzia nel caso di trattamento dei dati sulla salute, i dati genetici o biometrici, e questo a mezzo di provvedimento rivisti a cadenza biennale. 

Per la qualificazione di un dato come soggetto a trattamento speciale, è importante tenere presente il contesto. Ad esempio, l'immagine di un individuo che indossa abiti religiosi non è considerata dato soggetto a trattamento speciale, in quanto l'individuo in questione esercita la sua professione, così come non lo è l'immagine di un politico ritratta col simbolo del partito. Invece, l'immagine di una persona che entra in un luogo di culto o in una sede di partito è dato soggetto a trattamento speciale in quanto è indice della scelta effettuata. 

 

Dati biometrici

I dati biometrici, come le impronte digitali usate per sbloccare gli smartphone di ultima generazione, sono sempre più usati anche nei dispositivi personali. L'art. 4, par. 1, n. 14, del GDPR, li definisce come “dati personali ottenuti da un trattamento tecnico specifico, relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica e che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici”. Oltre all'impronta digitale, possiamo considerare anche la conformazione fisica della mano, del volto, dell'iride o della retina, e anche il timbro e la tonalità della voce. 

La raccolta di tali dati avviene tramite componenti hardware e software che acquisiscono il dati biometrico e lo analizzano confrontandolo con dati acquisiti in precedenza e conservati in un database. In tal modo è possibile identificare la persona interessata. 

Per il trattamento di tali dati occorre osservare particolari cautele per evitare danni a carico degli interessati. In linea generale, infatti, il GDPR (art. 9, par. 1) vieta il trattamento di dati biometrici intesi ad identificare in modo univoco una persona fisica. Alla regola generale seguono, però, una serie di esenzioni, che permettono il trattamento dei dati biometrici: 

- l’interessato ha dato il proprio consenso esplicito al trattamento dei dati personali per uno o più specifici utilizzi, come avviene per il caso dell’autenticazione tramite impronta digitale o della firma grafometrica in banca (e sempre che la legge, nazionale od europea che sia, non vieti comunque il trattamento di tali dati per determinate finalità); 
- il trattamento è effettuato nell’ambito di rapporti di lavoro e di previdenza; 
- l’impiego dei dati biometrici si rende necessario per proteggere un interesse vitale dell’interessato o di un’altra persona fisica, quando il soggetto cui i dati si riferiscono si trova in una situazione di incapacità, fisica o giuridica, di prestare direttamente il proprio consenso per tale utilizzo; 
- nell’ambito di un procedimento giudiziario e, in particolare, per accertare, esercitare o difendere un diritto, tanto in sede amministrativa quanto stragiudiziale; 
- per motivi di particolare interesse pubblico, previsti dalla legge, e purché l’impiego di dati biometrici risulti proporzionato alla finalità perseguita, rispetti il diritto alla protezione dei dati e siano comunque previste delle misure di sicurezza appropriate per tutelare i diritti fondamentali e gli interessi del soggetto cui questi dati si riferiscono; 
- nel settore della sanità pubblica, per finalità di sicurezza sanitaria, per il controllo e l’allerta, per la prevenzione o il controllo di malattie trasmissibili e, in generale, per tutelarsi da altre minacce gravi alla salute delle persone. 

 

Dati anonimi, pseudonimi, e minimizzazione

La Convenzione 108 e il regolamento europeo prevedono che i dati devono essere conservati per un periodo di tempo limitato, e in particolare non oltre il tempo necessario per raggiungere lo scopo alla base del trattamento. Nel caso in cui un titolare del trattamento volesse mantenerli per un periodo superiore, deve procedere alla loro anonimizzazione. 

Dati anonimizzati sono quei dati che sono stati privati di tutti gli elementi identificativi. I dati anonimizzati non sono ritenuti dati personali, e quindi non sono soggetti alle norme a tutela dei dati personali. 
Ovviamente può accadere che i dati, una volta esaurito lo scopo del trattamento, debbano comunque essere conservati a fini statistici, storici o scientifici. In questo caso occorre che siano applicate adeguate misure contro possibili abusi dei dati. 

Dati pseudonimi sono quei dati personali nei quali gli elementi identificativi sono stati sostituiti da elementi diversi, quali stringhe di caratteri o numeri (hash), oppure sostituendo al nome un nickname, purché sia tale da rendere estremamente difficoltosa l'identificazione dell'interessato. Ovviamente il soggetto che detiene la chiave per decifrare i dati (cioè collegare l'elemento pseudonimo al dato personale) deve garantire adeguate misure contro possibili abusi. 
I dati pseudonimi, a differenza di quelli anonimizzati, sono comunque dati personali (in quanto consentono l'identificazione della persona, anche se indirettamente, tramite incrocio con altre informazioni), anche se soggetti ad una tutela ridotta rispetto ai dati personali veri e propri. Ad esempio, l'articolo 33 del GDPR precisa che il titolare del trattamento deve notificare al Garante una violazione dei dati personali, a meno che sia improbabile che la violazione presenti un rischio per i diritti e le libertà delle persone fisiche. Se la pseudonimizzazione è avvenuta in modo sicuro un rischio è improbabile. Inoltre, le aziende possono creare profili a fini di marketing anche senza il consenso degli interessati, purché i dati rimangano pseudonimi. 
In ogni caso il titolare del trattamento che, invece di evitare l'uso di dati personali, adopera dati pseudonimi deve spiegare agli interessati la logica e le motivazioni per tale scelta. 

La minimizzazione, invece, consiste nella raccolta dei soli dati pertinenti, quindi limitando il trattamento a ciò che è realmente necessario e indispensabile rispetto alla finalità alla quale sono destinati. La minimizzazione in realtà è da considerarsi un vero e proprio principio fondamentale (principio di pertinenza dei dati) che regolamenta il trattamento dei dati personali, perché nell'ordinamento europeo il trattamento deve sempre essere limitato ai soli dati strettamente necessari.

 

 

ciclo dati