GDPR: cosa si intende per dato personale?

Il Regolamento Europeo 679/2016 si basa su una precisa definizione di dato personale.

Nel proseguire il nostro esame dell’ambito oggettivo di applicazione del Regolamento Europeo che ha profondamente innovato la disciplina della tutela dei dati personali, ci occupiamo oggi di un argomento che, seppur trattato dopo gli altri, ultimo non è; anzi risulta essere elemento centrale del nuovo sistema normativo: la definizione di dato personale.

Che cosa è un dato personale, quali caratteristiche deve avere un dato a noi riferito perché sia considerato personale e degno di tutela? I nostri dati personali sono tutti uguali, oppure esistono dei dati “più personali” di altri e dunque per i quali è richiesta una maggior tutela?

La definizione di Dato Personale adottata dal Regolamento UE (articolo 4, numero 1) è ampia e porta a considerare tale qualsiasi informazione relativa a una persona fisica.

Da queste prime parole, appare chiaro e inequivocabile come il dato personale tutelato sia quello riferibile alle sole persone fisiche, non sono oggetto di tutela i dati riferibili alle imprese. Non rientrano, pertanto, nell’ambito di applicazione del Regolamento UE, i dati riferibili alle persone giuridiche quali a esempio: la denominazione, la forma giuridica, etc. Per tali soggetti rimangono valide le tutele previste dalla Direttiva 2002/58/CE (c. d. direttiva e-privacy) che al considerando 8 così si esprime: “Occorre armonizzare le disposizioni legislative, regolamentari e tecniche adottate dagli Stati membri in materia di tutela dei dati personali, della vita privata nonché del legittimo interesse delle persone giuridiche nel settore delle comunicazioni elettroniche affinché non sorgano ostacoli nel mercato interno delle comunicazioni elettroniche, ai sensi dell’articolo 14 del trattato. L’armonizzazione dovrebbe limitarsi alle prescrizioni necessarie per garantire che non vengano ostacolate la promozione e lo sviluppo di nuovi servizi e reti di comunicazione elettronica tra Stati membri”.

Perché il dato sia considerato personale e, dunque da tutelare, la persona fisica a cui si riferisce deve essere identificata o identificabile, anche indirettamente, attraverso la sua conoscenza con particolare riferimento agli elementi identificativi come il nome, un numero di identificazione, i dati relativi alla ubicazione, un identificativo on-line, ovvero uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.

E’ importante sottolineare come il regolamento specifichi che la persona a cui si riferisce il dato possa essere, attraverso questo, identificata o identificabile. Per comprendere il significato di quest’ultimo concetto possiamo fare ricorso al considerando 26 del regolamento UE.

L’aver considerato anche la possibilità che il dato, non solo renda immediatamente identificabile una persona fisica, ma che ne permetta l’identificabilità, offre la possibilità di far rientrare nell’ambito della tutela anche quei dati e quelle informazioni relative a una persona fisica che, seppur resi non direttamente riferibili a un soggetto, a esempio perché oggetto di pseudonimizzazione, potrebbero tuttavia essere attribuiti a una persona fisica mediante l’utilizzo di ulteriori informazioni. La stessa nozione di identificabilità potrebbe, inoltre, variare nel tempo perché, per verificare la reale possibilità che la persona sia identificata “si dovrebbe prendere in considerazione l’insieme dei fattori obiettivi, tra cui i costi e il tempo necessario per l’identificazione, tenendo conto sia delle tecnologie disponibili al momento del trattamento, sia degli sviluppi tecnologici”.

I dati possono essere di due tipologie: i dati personali e i dati personali particolari.

Rientrano in quest’ultima definizione, nuova rispetto al Codice della Privacy, quei dati che, per la loro natura, sono assimilabili a quelli definiti dati sensibili dalla normativa nazionale precedente.

Tali dati sono quelli che permettono di desumere o rilevare, relativamente a uno specifico interessato:

  • l’origine razziale o etnica;
  • le opinioni politiche;
  • le convinzioni religiose o filosofiche;
  • l’appartenenza sindacale.

Appartengono a questa categoria particolare anche i dati genetici e/o biometrici che permettono l’identificazione univoca di una persona fisica. Infine, troviamo i dati relativi alla salute o alle inclinazioni sessuali e alla vita sessuale.

Il trattamento di questi dati particolari è vietato di norma dal Regolamento, tranne alcuni casi, ben identificati, qualora ricorrano specifiche condizioni, tra cui quella necessaria del consenso dell’interessato prestato in maniera “esplicita” per le differenti finalità specifiche previste dal trattamento.

Ultima categoria di dati identificata dal Regolamento è quella dei dati relativi a condanne penali e reati al cui trattamento, come previsto dall’articolo 10 del G.D.P.R., è riservata una specifica disciplina e può essere svolto solo sotto il controllo dell’autorità pubblica ovvero se il trattamento è autorizzato dal diritto dell’Unione o degli Stati membri. È previsto inoltre che siano fornite garanzie appropriate per i diritti e le libertà degli interessati.

È bene specificare anche che, come riportato dal considerando 27 al Regolamento, questo non si applica ai dati personali relativi a persone decedute. È lasciata agli stati membri la libertà di emanare norme che disciplinino specificatamente tale ambito.

Renato Carafa