La nozione di dati personali

La nozione di dati personali costituisce il perno attorno al quale ruota tutta la disciplina, tracciando i confini di applicazione della stessa. Intervenire in senso restrittivo o estensivo sulla definizione di dati personali significa incidere sensibilmente sul raggio d’azione della normativa.

La qualificazione di un dato come “personale” postula essenzialmente la riferibilità del medesimo a un soggetto identificato, vale a dire già nettamente distinto rispetto a un gruppo di individui, o identificabile, ove il singolo possa essere individuato attraverso il ricorso a informazioni supplementari.

160

Come ricorda Moerel, l’assenza di armonizzazione scaturiva principalmente dal fatto che, in una fase avanzata dei negoziati, il termine “equipment” (che si riferisce essenzialmente a supporti fisici) aveva sostituito quello più generico di “means” (idoneo a ricomprendere anche dispositivi immateriali), mantenuto, tuttavia, nelle altre lingue, tranne che nella versione inglese, svedese e italiana (dove infatti si fa riferimento a “strumenti” e non già a “mezzi”). V. Lokke MOEREL, “The long arm of EU data protection law: Does the Data Protection Directive apply to processing of personal data of EU citizens by websites worldwide?”, cit., p. 33.

161

La questione era emersa in modo lampante con riferimento ai cookie, anche se il Gruppo di lavoro Articolo 29 aveva cercato di scongiurare tale esito, attraverso un’interpretazione estensiva, in virtù della quale l’invio di cookie sul computer da parte di siti web stranieri costituiva utilizzo di strumenti situati nel territorio di uno Stato membro ai sensi dell’art. 4, par. 1, lett. c) della direttiva. V. GRUPPO DI LAVORO ARTICOLO 29 PER LA PROTEZIONE DEI DATI, Parere 8/2010, cit., p. 24.

78

Già sotto la vigenza della direttiva 95/46/CE si è avvertita la necessità di chiarire quest’ultima nozione fondamentale.

Proprio per fare luce su quest’aspetto, il Gruppo di lavoro Articolo 29 ha fornito alcune coordinate di riferimento in ordine alla verifica della sussistenza del requisito dell’identificabilità. In particolare ha precisato che il criterio dei mezzi ragionevolmente utilizzabili dal responsabile del trattamento o da altri implica una valutazione articolata e dinamica, che tenga conto di vari fattori, quali il costo dell’identificazione, la finalità e le modalità operative del trattamento, lo stato dell’arte della tecnologia al momento del trattamento162

. L’articolo 4, par. 1 del regolamento stabilisce che con la locuzione “dati personali” s’intende <<qualsiasi informazione riguardante una persona fisica identificata o identificabile ("interessato"); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati

relativi all’ubicazione, un identificativo online o a uno o più elementi

caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale>>163. Più precisamente il considerando 30 richiama, a titolo esemplificativo, gli identificativi online prodotti dai dispositivi, dalle applicazioni, dagli strumenti e dai protocolli utilizzati, quali gli indirizzi IP, nonché i marcatori temporanei (cookies) o identificativi di altro tipo, come i tag di identificazione a radiofrequenza, che, pur non essendo univoci, possono essere combinati tra loro e consentire l’identificazione dell’utente.

162

GRUPPO DI LAVORO ARTICOLO 29 PER LA PROTEZIONE DEI DATI,

Parere 4/2007 sul concetto di dati personali (WP 136, 20 giugno 2007), p. 15. Tali

spunti sono in linea di massima recepiti nel considerando 26 del regolamento, che precisa, tra l’altro, che:<<Per accertare la ragionevole probabilità di utilizzo dei mezzi per identificare la persona fisica, si dovrebbe prendere in considerazione l'insieme dei fattori obiettivi, tra cui i costi e il tempo necessario per l'identificazione, tenendo conto sia delle tecnologie disponibili al momento del trattamento, sia degli sviluppi tecnologici>>.

163

Corsivo aggiunto per rimarcare i lemmi assenti nel corrispondente art. 2, lett. a) della direttiva.

79

Viene ribadita e sviluppata la nozione ampia di dati personali accolta dalla direttiva 95/46/CE, inserendo un riferimento a particolari tipologie di identificatori, non immaginabili all’epoca dell’entrata in vigore della direttiva ed emersi in virtù dell’evoluzione tecnologica. Il regolamento (UE) 2016/679 recepisce le indicazioni offerte dal Gruppo di lavoro Articolo 29, che aveva segnalato la potenziale attitudine a identificare i soggetti, propria di alcune moderne tecniche di tracciamento sul web164, e in questo modo si apre anche ai sistemi di geo-localizzazione che dovessero essere sviluppati in futuro. Nella categoria dei dati sensibili sono stati inclusi per la prima volta i dati genetici e i dati biometrici intesi a identificare in modo univoco una persona fisica (art. 9, par. 1). Nella consapevolezza dell’assenza di una definizione consolidata di queste tipologie di dati, sono state fornite alcune indicazioni sia nell’articolato normativo, sia nei consideranda.

In particolare, l’art. 4, par. 13 definisce i “dati genetici” alla stregua di dati personali <<relativi alle caratteristiche genetiche ereditarie o acquisite di una persona fisica che forniscono informazioni univoche sulla fisiologia o sulla salute di detta persona fisica, e che risultano […] dall'analisi di un campione biologico della persona fisica in questione>>. Il considerando 34 precisa che tali dati possono essere tratti <<in particolare dall'analisi dei cromosomi, dell'acido

164

Si riportano, in particolare, le considerazioni relative agli indirizzi IP:<<i fornitori di accesso Internet e i gestori delle reti LAN possono, utilizzando mezzi ragionevoli, identificare gli utenti Internet cui essi hanno attribuito indirizzi IP, poiché, normalmente, essi “registrano” in un apposito file la data, l'ora, la durata e l'indirizzo IP dinamico assegnato all'utente Internet>>. <<Finché sarà possibile collegare il registro all'indirizzo IP di un utente, tale indirizzo deve essere considerato alla stregua di un'informazione personale>>. V. GRUPPO DI LAVORO ARTICOLO 29 PER LA PROTEZIONE DEI DATI, Documento di

lavoro: Tutela della vita privata su Internet - Un approccio integrato dell'EU alla protezione dei dati on-line (WP 37, 21 novembre 2000), pp. 12 e 22.

In altra occasione è stato precisato che <<L'impiego di cookie persistenti con un ID esclusivo permette di rintracciare e costruire il profilo di utilizzo di un determinato computer anche in presenza di indirizzi IP dinamici>>. V. GRUPPO DI LAVORO ARTICOLO 29 PER LA PROTEZIONE DEI DATI, Parere 1/2008 sugli aspetti

della protezione dei dati connessi ai motori di ricerca (WP 148, 4 aprile 2008), p.

80

desossiribonucleico (DNA) o dell'acido ribonucleico (RNA), ovvero dall'analisi di un altro elemento che consenta di ottenere informazioni equivalenti>>.

Invece dall’art. 4, par. 14 si desume che i “dati biometrici” riguardano le <<caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici>> e sono ottenuti attraverso un trattamento tecnico specifico. Inoltre, il

considerando 51 chiarisce che le fotografie possono essere qualificate

come dati biometrici e richiedere le condizioni più stringenti previste per i trattamenti dei dati sensibili solo se <<trattate attraverso un dispositivo tecnico specifico che consente l’identificazione univoca o l’autenticazione di una persona fisica>>.

Gli indici normativi sopra richiamati inducono ad alcune osservazioni: mentre i dati genetici sono inevitabilmente caratterizzati da un sostrato materiale, perché presuppongono il prelievo di un campione biologico dalla persona considerata; i dati biometrici, invece, non necessariamente presentano una consistenza fisicamente tangibile, afferendo anche ad aspetti comportamentali e non solo fisici della persona. Il quid proprium di questa categoria di dati sembra piuttosto risiedere nella loro idoneità a consentire l’identificazione univoca della persona165. I contorni di questa tipologia di dati non sono sufficientemente definiti e si renderà necessaria un’opera esplicativa della giurisprudenza e del Comitato europeo per la protezione dei dati, destinato a sostituire il Gruppo di lavoro Articolo

165

Il Gruppo di lavoro Articolo 29 aveva sottolineato come i dati biometrici assolvano anche la funzione di <<autenticazione (verificare l’identità senza di fatto identificare la persona). La definizione [avrebbe dovuto] essere modificata e rincentrata sul tipo di dati che devono essere considerati biometrici, piuttosto che su ciò che consentono. Il Gruppo [aveva] suggeri[to] quindi di cambiare la formulazione dell’articolo 4 […] da “…ne consentono l’identificazione univoca…” a “….sono univoci per ciascuna persona specifica…”>>. V. GRUPPO DI LAVORO ARTICOLO 29 PER LA PROTEZIONE DEI DATI, Parere 01/2012

sulle proposte di riforma in materia di protezione dei dati (WP 191, 23 marzo

81

29, per individuare con esattezza quali dati siano sussumibili sotto tale categoria.

Inoltre, una particolare attenzione è stata rivolta anche ai “dati relativi alla salute”, che rivelano informazioni sullo stato di <<salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria>>166.

Infine occorre sottolineare che l’art. 9, par. 4, congiuntamente al

considerando 53, lascia un margine di flessibilità agli Stati,

consentendo loro di aggravare il regime del trattamento dei dati genetici, dei dati biometrici e di quelli relativi alla salute, mediante l’adozione di standard più elevati di tutela. Questa previsione, pur condivisibile nella prospettiva di assicurare agli interessati la maggiore protezione possibile, sembra confliggere con le dichiarate finalità di armonizzazione della disciplina, sottese alla proposta di un regolamento generale sulla protezione dei dati.