IL DATO PERSONALE

Nella puntualizzazione e nell’aggiornamento delle definizioni già presenti nella Direttiva n. 95/46/CE, il Regolamento 2016/679 amplia lo spettro semantico della nozione di “dato personale”136 _{(e poi di “trattamento”), prevedendo categorie ulteriori e particolari di dati e}

casi particolari di trattamento.

136 _{Sulla qualifica del dato personale come bene giuridico si vedano le riflessioni di A.Iuliani, Note minime in}

materia di trattamento dei dati personali, in Europa e Diritto Privato, fasc.1, marzo 2018, 293.

La normativa sul trattamento dei dati personali non disciplina il fenomeno della cessione di informazioni personali, né a titolo gratuito, né a titolo oneroso, non parla mai di scambio, ma soltanto di consenso al trattamento quale condizione di ammissibilità del trattamento, non sembra sostenere la tesi che assimila l’informazione al bene giuridico, ma sarà opportuno sviluppare qualche riflessione sulla qualifica del dato personale come bene, soprattutto in relazione ai big data e alla loro commercializzazione. Tanto più che il Regolamento europeo si preoccupa di definire una strategia funzionale alla creazione di un “Mercato Unico Digitale” per promuovere un’“economia europea dei dati” ritenuto fattore determinante nell’incremento del Prodotto Interno Lordo dell’UE: questo pone con maggiore urgenza all’attenzione degli studiosi la questione della possibile qualificazione delle informazioni, personali e non, come bene giuridico, dunque oggetto di appropriazione e della compatibilità con gli strumenti giuridici tradizionali delle nuove forme del capitalismo cognitivo. La rilevanza giuridica dell’informazione ha messo alla prova le diverse teorie sul bene giuridico che si sono confrontate sul controverso rapporto tra bene e cosa a partire dalla definizione formulata dall’art. 810 c.c. che definisce il bene come quella cosa oggetto di diritto. Svincolare dalla materialità la qualifica di bene giuridico nella consapevolezza che non tutte le cose sono beni, ma soltanto quelle oggetto di situazioni giuridiche soggettive, e non tutti i beni sono cose, poiché lo sono anche le entità immateriali, e infine non tutti i beni sono oggetto dei diritti che si appuntano sulle cose materiali, ci invita a riflettere sulla tutela giuridica assegnata dall’ordinamento nella forma del diritto soggettivo ad entità materiali o immateriali.

L’ordinamento non è arbitro libero della scelta ma recepisce e consolida un nesso di corrispondenza con il mercato, in virtù del quale si considera bene qualunque entità che presenta l’attitudine ad essere oggetto di valore di scambio. La qualifica di bene, perciò, al di là del riferimento contenuto nell’art. 810 c.c. ai beni materiali, si desume indirettamente per il tramite del principio di patrimonialità che attribuisce la qualifica di bene a qualsiasi entità, incluso il fare, suscettibile di valore di scambio, che cioè abbia assunto la qualità di merce e per la quale l’ordinamento non ne abbia escluso la circolazione. Da qui le argomentazioni a favore del

66

Ai sensi dell’art. 4, p. 1, n. 1 Reg. costituisce dato personale qualsiasi informazione, di tipo oggettivo, come un dato biometrico, o di tipo soggettivo come una opinione, una tendenza, una valutazione, attinente a una persona fisica identificata o identificabile, direttamente o indirettamente. Il dato personale contiene l’informazione ma l’informazione non è l’unico elemento costitutivo del dato personale: è necessario un collegamento tra informazione e persona fisica, il cosiddetto interessato, che consenta la riconducibilità del dato alla persona, e quindi la sua identificazione o identificabilità.

Si considerano identificativi della persona il nome, dati relativi all’ubicazione, un identificativo on line, uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale. La previsione anche di un identificativo

online, quale l’indirizzo IP del computer, rappresenta una significativa novità e rinvia ad una

più attenta considerazione dell’identità digitale.

Non sono da considerare dati personali quelli resi anonimi per effetto della “pseudominizzazione”, di cui all’art. 4, n. 5 del Reg.137_{, così come restano esclusi dalla tutela} quelli che appartengono alle persone giuridiche.

Nella prospettiva giuslavoristica si evidenzia come qualunque dato e/o informazione attinente a un lavoratore o collaboratore, identificabile direttamente o indirettamente, nonché qualunque valutazione riferibile al suo comportamento in costanza di rapporto lavorativo, risulterà compresa nella nozione di dato personale e sarà meritevole di tutela in base al Regolamento. La protezione non riguarda solo le informazioni raccolte in occasione dell’assunzione e poi della gestione del rapporto lavorativo ma anche le informazioni “seminate” dal lavoratore durante la navigazione in internet tramite strumenti elettronici forniti dall’azienda o personali, quelle salvate dal dipendente nei profili personali dei social network (Facebook, Twitter, Istagram), quelle tratte dalle mail, che il datore potrà raccogliere, conservare e utilizzare con il consenso dell’interessato e nel rispetto dei principi enumerati nella normativa europea.

Il Regolamento supera la già nota distinzione fra dati comuni e dati sensibili138, prevedendo categorie particolari di dati, idonei a rivelare l’origine razziale o etnica, le opinioni politiche,

riconoscimento del valore di bene all’informazione, e di conseguenza sulla sua possibilità di essere oggetto di diritti reali.

137 _{Il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un}

interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile. Deve risultare impossibile e non soltanto complessa l’identificazione dell’interessato.

138 _{L’espressione “dati sensibili” non è più utilizzata nel regolamento, i dati sensibili risultano inclusi nelle}

67

le convinzioni religiose o filosofiche, o l’appartenenza sindacale, i dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona, nonché i dati genetici, relativi alle caratteristiche genetiche, ereditarie o acquisite, di una persona fisica, che forniscono informazioni univoche sulla sua fisiologia o sulla sua salute e che risultano in particolare dall’analisi di un campione biologico, e i dati biometrici, relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica, che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici. Il Regolamento riserva inoltre particolari tutele ai dati personali relativi a condanne penali e reati (art. 10 Reg.), che sostituiscono l’espressione dati giudiziari, non più utilizzata.

Il Regolamento non pone un divieto inderogabile di raccogliere e utilizzare dati appartenenti a particolari categorie, ma posto che il loro trattamento comporta un rischio elevato per i diritti e le libertà della persona, precisa che il trattamento sarà consentito in casi individuati, obbligando nel nostro caso il datore di lavoro a valutare la necessità rispetto all’obiettivo perseguito. Ai sensi dell’art. 9, comma 2, lett. b), GDPR) il trattamento di particolari categorie di dati è consentito qualora sia “necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell’Unione o dagli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato”.