PROTEZIONE DATI PERSONALI
Il dato personale rappresenta lo strumento tecnico-giuridico attraverso il quale i legislatori, nazionali e comunitari, tutelano l’insieme dei diritti collegati all’identità personale, quindi è un bene giuridico di secondo grado.

Dato personale è qualsiasi informazione (es. nome) concernente una persona fisica identificata o identificabile (art. 4 GDPR), anche indirettamente, oppure informazioni (es. codice fiscale, impronta digitale, traffico telefonico, immagine, voce) riguardanti una persona la cui identità può comunque essere accertata mediante informazioni supplementari. La persona a cui si riferiscono i dati soggetti al trattamento si definisce “interessato”. E’ importante tenere presente che l’interessato può essere solo una persona fisica e non un’azienda.

Identificazione e identificabilità
Un dato si considera personale se consente l’identificazione dell’individuo oppure se descrive l’individuo in modo tale da consentirne l’identificazione acquisendo altri dati. Entrambi i tipi di dati sono tutelati allo stesso modo. Per identificazione, quindi, si intende la possibilità di distinguere la persona da qualsiasi altro soggetto (es. qualifica di presidente del consiglio) oppure all’interno di una categoria. Se l’identificazione richiede l’acquisizione di ulteriori dati per i quali occorrono tempi e costi irragionevoli, allora la
persona non si può considerare identificabile. Però non è necessario raggiungere un elevato livello di identificazione (pensiamo ai nomi che corrispondono a più persone) perchè il dato sia assoggettato a tutela.
Identificabile è la persona che può essere identificata anche mediante il riferimento ad ulteriori elementi.
Quindi il dato personale è un concetto dinamico, che va sempre riferito al contesto, nel senso che anche se un’informazione isolata non è in grado di portare all’identificazione di un individuo, il fatto che detta informazione possa essere utilizzata per l’identificazione tramite incrocio con altri dati ne determina comunque la natura di dato personale.
Non occorre, inoltre, che l’informazione sia in grado di individuare fisicamente la persona perché sia considerata dato personale. Ad esempio, le aziende di pubblicità utilizzano vari tecniche di tracciamento per poter identificare singolarmente un individuo tra i tanti navigatori online, dette tecniche non permettono l’individuazione fisica della persona ma più che altro identificano il browser o il dispositivo digitale tramite il quale la persona naviga in rete. Anche questi dati (cookie, fingerprint, adid) sono considerati dati personali.

E’ proprio il criterio dell’identificabilità mediante incrocio di informazioni, anche se detenute da diversi titolari, che inserisce i dati online (indirizzi IP, cookie) nel concetto di dato personale. La Corte di Giustizia europea ha espressamente definito l’indirizzo IP (Internet Protocol) come dato personale, anche con riferimento all’IP dinamico (sentenza Breyer contro Germania del 2016). L’account di un servizio online è sicuramente un dato personale, in quanto consente di identificare univocamente una persona, così come la mail, il nickname. Il fatto che l’IP sia considerato dato personale impedisce ad una azienda di ottenere dall’ISP (fornitore di accesso ad Internet) il nominativo di un soggetto che ha scaricato file piratati online. Solo l’autorità giudiziaria può, infatti, può accedere a tali informazioni.

Il nuovo Regolamento europeo in materia di tutela dei dati personali (General Data Protection Regulation) include espressamente nei dati personali gli identificatori online, quali numeri IP, cookie e dati di geolocalizzazione.

La Corte dei diritti dell’uomo ha evidenziato che non esiste una netta separazione tra vita privata e vita professionale per quanto riguarda i dati personali, per cui anche le informazioni riguardanti la vita professionale e pubblica di una persona sono dati personali.
In tal senso si potrebbe ritenere che i diritti della CEDU appartengano non solo alle persone fisiche ma anche alle persone giuridiche. Per queste ultime la Corte dei diritti dell’uomo tende a considerare più che altro il diritto al rispetto del “domicilio” e della “corrispondenza”. In realtà la Convenzione 108 consente alle parti contraenti di estendere la tutela prevista per le persone fisiche anche alle persone giuridiche. Il diritto dell’Unione europea, comunque, non contempla norme a tutela dei dati personali delle persone giuridiche, e nemmeno la normativa italiana.

Ovviamente il formato (immagini, suoni, ecc…) nel quale sono conservati i dati è irrilevante al fini dell’applicabilità della tutela dei dati personali.
Categorie di dati

Dati identificativi
Le informazioni di identificazione personale (PII, Personally identifiable information) sono dati che consentono l’identificazione diretta dell’interessato. Secondo la definizione utilizzata dall’Istituto nazionale degli standard e della tecnologia (NIST) tra tali dati ci sono:

  • nome e cognome
  • indirizzo di casa
  • indirizzo email
  • numero identificativo nazionale
  • numero di passaporto
  • indirizzo IP (quando collegato ad altri dati)
  • numero di targa del veicolo
  • numero di patente
  • volto, impronte digitali o calligrafia
  • numeri di carta di credito
  • identità digitale
  • data di nascita
  • luogo di nascita
  • informazioni genetiche
  • numero di telefono
  • account name o nickname.
    Dati soggetti a trattamento speciale (ex dati sensibili)
    L’articolo 9 del GDPR sancisce un generale divieto di trattare alcuni tipi di dati, cioè quelli che rivelino:
  • l’origine razziale o etnica;
  • le opinioni politiche;
  • le convinzioni religiose o filosofiche;
  • l’appartenenza sindacale.
    Ma anche i dati:
  • genetici;
  • biometrici intesi a identificare in modo univoco una persona fisica (ad esempio, un gruppo di fotografie caricate online, oppure negli aeroporti dove l’immagine dell’individuo viene scansionata per identificarlo);
  • relativi alla salute (anche la semplice ferita ad una mano);
  • relativi alla vita sessuale o all’orientamento sessuale della persona;
  • giudiziari (rivelano l’esistenza di provvedimenti penali suscettibili di iscrizione nel casellario giudiziale, o la qualità di indagato o imputato).

Sono sostanzialmente i vecchi “dati sensibilI”, con alcune aggiunte, per i quali già la Convenzione 108 prevede una tutela rafforzata, cioè prescrive il consenso esplicito anche se non necessariamente scritto, perché riguardano aspetti particolarmente privati dell’individuo e possono essere usati a fini discriminatori.

Col nuovo regolamento europeo si parla di dati soggetti a trattamento speciale. Sono quei dati la cui tutela ha lo scopo di garantire la libertà di pensiero e di opinione, la dignità della persona e la libertà da possibili discriminazioni (vedi Profilazione). Rispetto alla precedente normativa, il regolamento europeo aggiunge anche i dati genetici e i dati biometrici tra quelli a trattamento speciale.
Questo tipo di dati possono essere trattati solo nei casi espressamente indicati:
a) l’interessato ha prestato il proprio consenso esplicito al trattamento di tali dati personali per una o più finalità specifiche;
b) il trattamento è necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato da norme giuridiche o contratti collettivi;
c) il trattamento è necessario per tutelare un interesse vitale dell’interessato o di un’altra persona fisica (vedi basi giuridiche del trattamento), qualora l’interessato si trovi nell’incapacità fisica o giuridica di prestare il proprio consenso;
d) il trattamento è effettuato da una fondazione, associazione o altro organismo senza scopo di lucro che persegua finalità politiche, filosofiche, religiose o sindacali, a condizione che il trattamento riguardi unicamente i membri, gli ex membri o le persone che hanno regolari contatti con la fondazione, l’associazione o l’organismo a motivo delle sue finalità e che i dati personali non siano comunicati all’esterno senza il consenso dell’interessato;
e) il trattamento riguarda dati personali resi manifestamente pubblici dall’interessato (ad esempio pubblicati su Facebook, ma qui occorre sempre tenere presente la finalità della pubblicazione per decidere se è lecito utilizzarli);
f) il trattamento è necessario per accertare, esercitare o difendere un diritto in sede giudiziaria o ogniqualvolta le autorità giurisdizionali esercitino le loro funzioni giurisdizionali;
g) il trattamento è necessario per motivi di interesse pubblico rilevante sulla base di norme giuridiche, prevedendo misure appropriate per tutelare i diritti dell’interessato;
h) il trattamento è necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali sulla base del diritto dell’Unione o degli Stati membri o conformemente al contratto con un professionista della sanità;
i) il trattamento è necessario per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria e dei medicinali e dei dispositivi medici, sulla base del diritto dell’Unione o degli Stati membri che prevede misure appropriate e specifiche per tutelare i diritti dell’interessato, in particolare il segreto professionale;
j) il trattamento è necessario a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici.
Inoltre, i dati personali di cui all’articolo 9 del GDPR possono essere trattati, per la finalità di cui al punto h), se il trattamento avviene ad opera o sotto la responsabilità di un professionista soggetto al segreto professionale conformemente al diritto dell’Unione o degli Stati membri o alle norme stabilite dagli organismi nazionali competenti o da altra persona anch’essa soggetta all’obbligo di segretezza conformemente al diritto dell’Unione o degli Stati membri o alle norme stabilite dagli organismi nazionali competenti.

Per la qualificazione di un dato a trattamento speciale, è importante tenere presente il contesto. Ad esempio, l’immagine di un individuo che indossa abiti religiosi non è considerata dato a trattamento speciale, in quanto l’individuo in questione esercita la sua professione, così come non lo è l’immagine di un politico ritratta col simbolo del partito. Invece, l’immagine di una persona che entra in un luogo di culto o in una sede di partito è dato a trattamento speciale in quanto è indice della scelta effettuata.

Col decreto di adeguamento del Codice Privacy il legislatore italiano ha stabilito (art. 21 Cod. Privacy) che l’autorità di controllo può imporre ulteriori misure di garanzia nel caso di trattamento dei dati sulla salute, i dati genetici o biometrici, e questo a mezzo di provvedimenti rivisti a cadenza biennale. Tali misure sono state fissate col provvedimento del 5 giugno 2019. In particolare tali prescrizioni riguardano i:

  • trattamenti di categorie particolari di dati nei rapporti di lavoro (autorizzazione generale 1/2016);
  • trattamenti di categorie particolari di dati da parte degli organismi di tipo associativo, delle fondazioni, delle chiese e associazioni o comunità religiose (aut. gen. 3/2016);
  • trattamenti di categorie particolari di dati da parte degli investigatori privati (aut. gen. 6/2016);
  • trattamenti di dati genetici (aut. gen. 8/2016);
  • trattamenti di dati personali effettuati per scopi di ricerca scientifica (aut. gen. 9/2016).

Ricordiamo che la violazione delle prescrizioni di tale provvedimento sono sanzionate dallart. 83, par. 5 del Regolamento europeo, cioè con sanzione amministrativa fino a 20 milioni di euro o fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente).
Dati anonimi, pseudonimi, e minimizzazione
La Convenzione 108 e il regolamento europeo prevedono che i dati devono essere conservati per un periodo di tempo limitato, e in particolare non oltre il tempo necessario per raggiungere lo scopo alla base del trattamento. Nel caso in cui un titolare del trattamento volesse mantenerli per un periodo superiore, deve procedere alla loro anonimizzazione.

Dati anonimizzati sono quei dati che sono stati privati di tutti gli elementi identificativi. I dati anonimizzati non sono ritenuti dati personali, e quindi non sono soggetti alle norme a tutela dei dati personali.
Ovviamente può accadere che i dati, una volta esaurito lo scopo del trattamento, debbano comunque essere conservati a fini statistici, storici o scientifici. In questo caso occorre che siano applicate adeguate misure contro possibili abusi dei dati.

Dati pseudonimi sono quei dati personali nei quali gli elementi identificativi sono stati sostituiti da elementi diversi, quali stringhe di caratteri o numeri (hash), oppure sostituendo al nome un nickname, purché sia tale da rendere estremamente difficoltosa l’identificazione dell’interessato. Ovviamente il soggetto che detiene la chiave per decifrare i dati (cioè collegare l’elemento pseudonimo al dato personale) deve garantire adeguate misure contro possibili abusi.
I dati pseudonimi, a differenza di quelli anonimizzati, sono comunque dati personali (in quanto consentono l’identificazione della persona, anche se indirettamente, tramite incrocio con altre informazioni), anche se soggetti ad una tutela ridotta rispetto ai dati personali veri e propri. Ad esempio, l’articolo 33 del GDPR precisa che il titolare del trattamento deve notificare al Garante una violazione dei dati personali, a meno che sia improbabile che la violazione presenti un rischio per i diritti e le libertà delle persone fisiche. Se la pseudonimizzazione è avvenuta in modo sicuro un rischio è improbabile. Inoltre, le aziende possono creare profili a fini di marketing anche senza il consenso degli interessati, purché i dati rimangano pseudonimi.
In ogni caso il titolare del trattamento che, invece di evitare l’uso di dati personali, adopera dati pseudonimi deve spiegare agli interessati la logica e le motivazioni per tale scelta.

La minimizzazione, invece, consiste nella raccolta dei soli dati pertinenti, quindi limitando il trattamento a ciò che è realmente necessario e indispensabile rispetto alla finalità alla quale sono destinati. La minimizzazione in realtà è da considerarsi un vero e proprio principio fondamentale (principio di pertinenza dei dati) che regolamenta il trattamento dei dati personali, perché nell’ordinamento europeo il trattamento deve sempre essere limitato ai soli dati strettamente necessari.

By Valter Ik7tab

UNA RADIO GIOVANE

Translate »

Apri un sito e guadagna con Altervista - Disclaimer - Segnala abuso - Privacy Policy - Personalizza tracciamento pubblicitario