Consulenza e Formazione Sicurezza, Medicina Del Lavoro, Sistemi Di Gestione, Qualità, Privacy, Ambiente e Modelli Organizzativi

Dati personali: cosa sono

L’articolo 4, comma 1 del GDPR (General Data Protection Regulation, Regolamento UE 2016/679) definisce dato personale “qualsiasi informazione riguardante una persona fisica identificata o identificabile”. Nella categoria rientrano dunque tutti quei dati che vengono espressamente tutelati a livello europeo e nazionale, in quanto connessi ai diritti relativi all’identità personale.

La caratterizzazione del dato personale dipende dunque sia da una sua proprietà intrinseca sia dalla possibilità, offerta dal contesto, di identificare il soggetto interessato mediante informazioni dirette o indirette. Questi dati possono essere suddivisi nelle due macrocategorie dei dati identificativi e dei dati soggetti a trattamento speciale.

 

Identificazione dell’interessato

La legge parla di “persona identificata o identificabile”. L’identificazione è la possibilità di distinguere univocamente un soggetto da un altro o da una categoria di soggetti; esso viene detto identificabile in quanto può essere identificato tramite l’acquisizione di dati personali diretti o indiretti.

Il GDPR non considera identificabile un soggetto se l’acquisizione dei dati indiretti richiede procedure eccessivamente dispendiose. Di conseguenza, i dati si possono dire personali solo qualora consentano l’identificazione immediata di un soggetto o la sua identificazione tramite la comparazione con altri dati.

Tuttavia, perché il dato sia considerato personale non occorre necessariamente che permetta un’identificazione accurata: per esempio, un nome comune a più individui è un dato personale.

Parimenti, non è indispensabile che il dato in questione identifichi fisicamente l’individuo cui appartiene: sono personali anche tutti i dati che permettono di identificare un soggetto tramite incrocio di informazioni (ciò, in particolare, riguarda gli identificatori dei siti internet e delle applicazioni, come indirizzi IP, cookie, dati di geolocalizzazione, nickname eccetera).

Così, per esempio, sono personali i dati utilizzati nel web marketing per tracciare gli utenti e proporgli pubblicità personalizzate. Questo genere di profilazione è tutelato dalla normativa europea pur non permettendo un’identificazione personale univoca e immediata.

Da tutto ciò si può concludere che il concetto di dato personale non è sempre statico, ma va riportato al contesto in cui è inserito: quand’anche esso non possa garantire l’identificazione, per stabilirne il carattere di personalità occorre chiedersi se rende identificabile il soggetto tramite un incrocio con altri dati.

Dati identificativi

I dati identificativi, detti anche PII (Personally Identifiable Information), sono quella tipologia di dati personali idonei all’identificazione immediata dell’interessato, e possono essere, tra gli altri:

  • nome e cognome;
  • data e luogo di nascita;
  • indirizzo e domicilio;
  • codici identificativi vari (p. es. codice fiscale, numero del documento d’identità o del passaporto);
  • numeri di carta di credito o coordinate bancarie;
  • identità digitale e altre informazioni relative al web (indirizzo e-mail, numero di telefono, nickname di un contatto, indirizzo IP, cookie, numero di identificazione del profilo);
  • volto, impronta digitale e altri elementi individuali simili.

Dati sensibili o soggetti a trattamento speciale

I dati soggetti a trattamento speciale coincidono in parte con quelli che il Codice della Privacy (decreto legislativo 196/03) definisce dati sensibili, definiti come “dati particolari dall’art. 9 del GDPR” che ne definisce le modalità e le limitazioni al trattamento. Analogamente l’art. 10 del GDPR definisce le modalità del trattamento dei dati personali relativi a condanne penali e reati. Sia la legislazione italiana che quella europea includono concordemente in questa classe di dati ogni informazione relativa alla persona, come:

  • origine etnica o razziale;
  • opinioni politiche;
  • interessi filosofici e convinzioni religiose;
  • appartenenza sindacale e professionale;
  • salute e vita sessuale.

Il GDPR ha incluso tra i dati a trattamento speciale:

  • dati genetici;
  • dati biometrici (fotografie, impronte digitali ecc.);
  • dati relativi alla salute e all’orientamento sessuale.

Possono essere inseriti nella categoria (anche se richiedono alcune differenze di trattamento) anche i cosiddetti dati giudiziari, ossia quelli che possono rivelare l’esistenza di provvedimenti giudiziari a carico di un soggetto, o la sua iscrizione al registro degli indagati e al casellario giudiziale.

La protezione dei dati personali a trattamento speciale è stata particolarmente intensificata dalle norme europee, in quanto la loro divulgazione pregiudica la libertà di opinione e rende possibili discriminazioni lesive della dignità della persona.

Il trattamento dei dati sensibili (“categorie particolari di dati”) è ammesso solo se:

  • l’interessato ha garantito, in forma orale o scritta, il proprio esplicito consenso al trattamento per uno scopo specifico (p. es. firmando un’informativa sulla privacy);
  • l’interessato ha reso pubblici i propri dati, per esempio tramite un social network;
  • gli obblighi e i diritti del titolare del trattamento o degli interessati rendono necessaria la gestione dei dati trattati per fini di lavoro e sicurezza dei dipendenti;
  • il trattamento è necessario per tutelare la vita e la salute dell’interessato, nel caso in cui questi non sia momentaneamente nelle condizioni di fornire il consenso;
  • a trattare i dati sensibili dei propri membri sono organismi senza scopo di lucro che operano nel campo politico, religioso, sindacale o culturale, su richiesta dell’interessato e mantenendoli riservati;
  • per esercitare i suoi diritti in sede giudiziaria l’interessato acconsente alla trasmissione e al trattamento dei dati personali;
  • il trattamento è previsto per questioni di interesse e responsabilità pubblici;
  • i dati sensibili vengono archiviati come documenti statistici, per scopi di ricerca in una disciplina scientifica o per consulenza giuridica e storica.

Anonimizzazione, pseudonimizzazione e minimizzazione

I dati personali possono essere sottoposti a tre distinte procedure di trattamento:

  • anonimizzazione. Si dice anonimizzato un dato dal quale siano stati rimossi gli elementi identificativi dell’interessato;
  • pseudonimizzazione. Consiste nella sostituzione degli elementi identificativi di un dato personale con caratteri pseudonimi, come una stringa alfanumerica, così da rendere virtualmente impossibile l’identificazione. Tale procedura deve avvenire mediante chiavi di cifratura, strumenti e misure di sicurezza che diano garanzie di riservatezza, a tutela dei dati dell’interessato;
  • minimizzazione. È una procedura che non avviene in seguito alla raccolta del dato ma durante la stessa, e implica che il trattamento sarà precisamente limitato ai soli dati indispensabili per gli scopi previsti dal titolare.

Ciascuna di queste procedure influenza in maniera peculiare le caratteristiche di personalità dei dati raccolti:

  • i dati anonimizzati non sono considerati personali. Perciò, se il titolare o il responsabile del trattamento intendono trattenere dei dati per un tempo superiore a quello previsto dalla finalità della conservazione, sono obbligati a scorporarvi ogni informazione riservata per evitare sanzioni;
  • i dati pseudonimi, sebbene indiretti, restano comunque personali, e sono protetti in misura minore rispetto ai dati personali in senso stretto (p. es. i rischi di violazione dei dati pseudonimi non vanno necessariamente comunicati al Garante della Privacy);
  • i dati minimizzati sono a tutti gli effetti dati personali trattati come tali. I termini del GDPR, peraltro, indicano nella minimizzazione la direttiva fondamentale per il controllo e il trattamento dei dati.