Temi

Shape 5 Live Search

logo

Il dato personale rappresenta lo strumento tecnico-giuridico attraverso il quale i legislatori, nazionali e comunitari, tutelano l'insieme dei diritti collegati all'identità personale, quindi è un bene giudicio di secondo grado. 

Dato personale è qualsiasi informazione (nome, codice fiscale, immagine, voce, impronta digitale, traffico telefonico) concernente una persona fisica identificata o identificabile, anche indirettamente, oppure informazioni riguardanti una persona la cui identità è nota o può comunque essere accertata mediante informazioni suplementari (Convenzione 108, art. 2, lett. a) e Direttiva sulla protezione dei dati, articolo. 2, lett. a)). La persona a cui si riferiscono i dati soggetti al trattamento si definisce "interessato". 

 

Identificazione

Identificabile è la persona che può essere identificata direttamente o indirettamente, anche mediante il riferimento ad ulteriori elementi. Per identificazione, quindi, si deve intendere la possibilità di distinguere la persona da qualsiasi altro soggetto (es. qualifica di presidente del consiglio) oppure all'interno di una categoria. Se l'identificazione richiede l'acquisizione di ulteriori dati per i quali occorrono tempi e costi irragionevoli, allora la persona non si può considerare identificabile. In ogni caso non è necessario raggiungere un elevato livello di identificazione (pensiamo ai nomi che corrispondono a più persone) perchè il dato sia assoggettato a tutela. 

I dati si considerano personali se consentono l'identificazione dell'individuo oppure se le informazioni descrivono l'individuo in modo tale da consentirne l'identificazione acquisendo altri dati. Entrambi i tipi di dati sono tutelati allo stesso modo. 

Quindi il dato personale è un concetto dinamico, che va sempre riferito al contesto, nel senso che anche se un'informazione isolata non è in grado di portare all'identificazione di un individuo, il fatto che detta informazione possa essere utilizzata per l'identificazione tramite incrocio con altri dati ne determina la natura di dato personale. 
Non occorre, inoltre, che l'informazione sia in grado di individuare fisicamente la persona per essere considerata dato personale. Ad esempio, le aziende di pubblicità utilizzano vari tecniche di tracciamento per poter identificare singolarmente un individuo tra i tanti navigatori online, dette tecniche non permettono l'individuazione fisica della persona ma più che altro identificano il browser o il dispositivo digitale tramite il quale la persona naviga in rete. Anche questi dati (cookie, fingerprint, adid) sono considerati dati personali. 

Il criterio dell'identificabilità mediante incrocio di informazioni, anche se detenute da diversi titolari, fa sì che anche i dati online, come i numeri IP e i cookie rientrino nel concetto di dato personale. La Corte di Giustizia europea ha espressamente definito l'indirizzo IP (Internet Protocol) come dato personale, anche con riferimento all'IP dinamico (sentenza Breyer contro Germania del 2016). L'account di un servizio online è sicuramente un dato personale, in quanto consente di identificare univocamente una persona, così come la mail, il nickname. Il fatto che l'IP sia considerato dato personale impedisce ad una azienda di ottenere dall'ISP (fornitore di accesso ad Internet) il nominativo di un soggetto che ha scaricato file piratati online. Solo l'autorità giudiziaria può, infatti, può accedere a tali informazioni. 
Il nuovo Regolamento europeo in materia di tutela dei dati personali (General Data Protection Regulation) include espressamente nei dati personali gli identificatori online, quali numeri IP, cookie e dati di geolocalizzazione. 
Esempi di dati personali sono: voce, immagini, filmati, fotografie, numero di telefono, codice fiscale, targa automobilistica, impronta digitale, ore di servizio prestate da un dipendente, informazioni sul comportamento di un lavoratore, informazioni sulle condizioni patrimoniali. 

La Corte dei diritti dell'uomo ha evidenziato che non esiste una netta separazione tra vita privata e vita professionale per quanto riguarda i dati personali, per cui anche le informazioni riguardanti la vita professionale e pubblica di una persona sono dati personali. 
In tal senso si potrebbe ritenere che i diritti della CEDU appartengano non solo alle persone fisiche ma anche alle persone giuridiche. Per queste ultime la Corte dei diritti dell'uomo tende a considerare più che altro il diritto al rispetto del "domicilio" e della "corrispondenza". In realtà la Convenzione 108 consente alle parti contraenti di estendere la tutela prevista per le persone fisiche anche alle persone giuridiche. Il diritto dell'Unione europea, comunque, non contempla norme a tutela dei dati personali delle persone giuridiche, e nemmeno la normativa italiana. 

Il formato (immagini, suoni, ecc...) nel quale sono conservati i dati è irrilevanti al fini dell'applicabilità della tutela dei dati personali. 


Categorie di dati

 

Dati identificativi

Dati che consentono l'identificazione diretta dell'interessato (es. nome). 

 

Dati sensibili

Sono i dati riferibili a persone fisiche e attinenti ad una sfera più intima della persona (la tutela di questi dati ha lo scopo di garantire la libertà di pensiero e di opinione), che quindi rivelano l'origine razziale o etnica, le convinzioni religiose, le opinioni politiche, l'adesione a partiti, a sindacati o associazioni a carattere politico, religioso, filosofico o sindacale, lo stato di salute (anche la semplice ferita ad una mano) e la vita sessuale. I dati relativi alla salute e alla vita sessuale sono sono definiti anche dati supersensibili.
Il GDPR ha introdotto anche i dati genetici tra quelli sensibili. Inoltre i dati biometrici (es. un gruppo di fotografie caricate online) sono considerati sensibili se utilizzati per identificare in modo univoco una persona (art. 9 GDPR, quindi ad esempio negli aeroporti dove l'immagine dell'individuo viene scansionata per identificarlo). 

Per questo tipo di dati la Convenzione 108 prevede una tutela rafforzata, cioè si prescrive il consenso esplicito, anche se non necessariamente scritto, perché riguardano aspetti particolarmente privati dell'individuo e possono essere usati a fini discriminatori, 

Anche i dati giudiziari sono considerati dati sensibili dalla Convenzione 108, e sono quei dati che rivelano l'esistenza di provvedimenti penali suscettibili di iscrizione nel casellario giudiziale, o la qualità di indagato o imputato. 
I soggetti privati possono trattare i dati giudiziari soltanto se autorizzati da una espressa disposizione di legge o da un provvedimento del Garante in cui siano indicate le finalità di rilevante interesse pubblico del trattamento, i tipi di dati e le operazioni eseguibili. 

E' da rimarcare l'importanza del contesto. Ad esempio, l'immagine di un individuo che indossa abiti religiosi non è considerata dato sensibile, in quanto l'individuo in questione esercita la sua professione, così come non lo è l'immagine di un politico ritratta col simbolo del partito. Invece, l'immagine di una persona che entra in un luogo di culto o in una sede di partito è dato sensibile in quanto è indice della scelta effettuata. 

 

Dati anonimi

La Convenzione 108 prevede che i dati devono essere conservati per un periodo di tempo limitato, e in particolare non oltre il tempo necessario per raggiungere lo scopo alla base del trattamento. Nel caso in cui un titolare del trattamento volesse mantenerli per un periodo superiore, deve procedere alla loro anonimizzazione. 

Dati anonimizzati sono quei dati che sono stati privati di tutti gli elementi identificativi. I dati anonimizzati non sono ritenuti dati personali, e quindi non sono soggetti alle norme a tutela dei dati personali. 
Ovviamente può accadere che i dati, una volta esaurito lo scopo del trattamento, debbano comunque essere conservati a fini statistici, storici o scientifici. In questo caso occorre che siano applicate adeguate misure contro possibili abusi dei dati. 

Dati pseudonimi, invece, sono quei dati personali nei quali gli elementi identificativi sono stati sostituiti da elementi diversi, quali stringhe di caratteri o numeri (hash), oppure sostituendo al nome un nickname, purché sia tale da rendere estremamente difficoltosa l'identificazione dell'interessato. Ovviamente il soggetto che detiene la chiave per decifrare i dati (cioè collegare l'elemento pseudonimo al dato personale) deve garantire adeguate misure contro possibili abusi. 
I dati pseudonimi, a differenza di quelli anonimizzati, sono comunque dati personali, anche se soggetti ad una tutela ridotta rispetto ai dati personali veri e propri. Ad esempio, l'articolo 33 del GDPR precisa che il titolare del trattamento deve notificare al Garante una violazione dei dati personali, a meno che sia improbabile che la violazione presenti un rischio per i diritti e le libertà delle persone fisiche. Se la pseudoanonimizzazione è avvenuta in modo sicuro un rischio è improbabile. Inoltre, le aziende possono creare profili a fini di marketing anche senza il consenso degli interessati, purché i dati rimangano pseudoanonimi. 
In ogni caso il titolare del trattamento che, invece di evitare l'uso di dati personali, adopera dati pseudonimi deve spiegare agli interessati la logica e le motivazioni per tale scelta.