L E PROPRIETÀ DEL DATO PERSONALE , LA GESTIONE E GLI ATTORI COINVOLTI

I dati personali sono le informazioni che identificano o rendono identificabile una persona fisica e che possono fornire dettagli sulle sue caratteristiche, le sue abitudini, il suo stile di vita, le sue relazioni personali, il suo stato di salute, la sua situazione economica, ecc.114_, laddove per identificazione – avvenuta o da venire, si intende la distinguibilità di una persona dalle altre.

Molti dati personali sono associati nativamente alla persona (dati identificati o identificatori come il nome, la foto, caratteri fisiologici); altri sono volontariamente forniti dall'utente (Volunteered Personal Information115 _{come dati di account, recapiti e riferimenti on-line,}

ma anche connesse ad azioni compiute, come acquisti e ricerche); altre informazioni concorrono all'identificazione se combinate insieme (ad esempio quelle che descrivono il profilo e le attività in rete, il contesto, il profilo sanitario, professionale economico, etc.).

Possiamo rappresentare le informazioni personali nella loro voluminosità come una sorta di sfere concentriche disposte a strati come quelli di una cipolla e proiettati verso l'utente che le produce o a cui si riferiscono identificandolo direttamente o indirettamente.

Figura 2.6 – Tipologie di dati personali e identificabilità della persona

Una persona può essere identificata direttamente attraverso il nome o indirettamente attraverso una combinazione di criteri significativi che ne consentano il riconoscimento e la distinzione all’interno del gruppo al quale appartiene. Il nome è l'identificatore più comune, nella pratica l'avvenuta identificazione di una persona implica un riferimento al suo nome anche se proveniente da altri identificatori quali il numero di telefono, il codice fiscale, la carta di identità elettronica.

114 _{http://www.garanteprivacy.it/web/guest/home/diritti/cosa-intendiamo-per-dati-personali}

115 _{Questa tipologia di dati personali viene denominata Volunteered Personal Information (VPI)}

La sfera più vicina all'utente contiene i dati identificativi collegati all'interessato direttamente, senza ulteriori informazioni di tramite. Quella intermedia contiene informazioni prodotte dall'utente nel corso della propria on-line experience e strutturate mediante l'intervento applicativo di terze parti nell'ambito di un processo di trattamento. L'ultima e più esterna contiene prevalentemente informazioni di trattamento, risultato non solo di aggregazione (come per la sfera intermedia) ma di relazione semantica, analisi e inferenze che producono ulteriore informazione, nuova e diversa rispetto a quella prodotta e rilasciata in origine dal soggetto interessato.

Quest'ultimo dominio nella sua generalità e piena estensione configura un trattamento di schema Big Data che in dettaglio sarà oggetto di descrizione nel capitolo 4 - Verso la Privacy 2.0: nuovi scenari di rischio e nuove semantiche.

Procedendo dall'utente verso la sfera più esterna, controllo e possesso dei dati personali - tra l'utente che le produce e terze parti (titolari, stakeholders) che le trattano e le sfruttano - sono inversamente proporzionali. Più le informazioni personali sono lontane dell'utente più questi ne avverte la perdita di controllo che parallelamente passa agli attori che ne gestiscono il trattamento.

Le proprietà principali del dato personale sono ancorate alla sua definizione sulla quale convergono sia la declinazione tecnica introdotta dallo standard ISO/IEC 29100:2011116_:

✔un PII (Personal Identifiable Information): qualsiasi informazione che a) può essere utilizzata per identificare il soggetto interessato al quale tale informazione di riferisce oppure b) è o potrebbe essere direttamente o indirettamente collegata al soggetto interessato.

sia quella normativa richiamata nel GDPR, all'art. 4 Definizioni, comma 1 :

✔«dato personale»: qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale;

Le proprietà estraibili dalle definizioni che connotano il dato personale e che lo collegano alla

persona interessata sono principalmente tre:

1. l'essere informazioni in quanto tali – indipendentemente dal concernere una determinata persona, dall'identificarla o dall'essere o meno corrette; sono distinte da una natura oggettiva (ad esempio un carattere fisiologico, biometrico, biologico) oppure soggettiva (una opinione, una valutazione); da un contenuto (ad esempio attinente la vita privata o professionale); e dal formato (ad esempio testuale, grafico, fotografico, sonoro). In questo ambito si parla di informazioni, non di soggetti e non di persone.

2. Il concernere nel senso di riguardare una persona – indipendentemente dall'identificarla: stabilire la presenza di questo requisito spesso è immediato, ad esempio le informazioni di un fascicolo sanitario concernono (banalmente) il paziente; ma non si rivela altrettanto immediato laddove questo requisito è connesso inizialmente ad un oggetto (ad esempio l'informazione rappresentate il valore di un immobile o la velocità di un veicolo) e solo successivamente concernere l'interessato (ad esempio quando questa informazione viene connessa ad una fascia di reddito del proprietario, o allo stile di guida di un guidatore). Le informazioni possono variamente concernere un soggetto a seconda del contenuto, della finalità e dell'impatto117_{. In questo ambito si parla di} informazioni e di soggetti ma non di persone.

3. Infine, l'identificazione o identificabilità (quest'ultima diretta o indiretta) è la proprietà che qualifica e caratterizza l'informazione come dato personale; da un punto di vista logico può essere intesa come una relazione biunivoca di attribuzione (e quindi si distinzione), tra il dominio delle possibili informazioni concernenti i soggetti e l'insieme delle persone.

Questa relazione è diretta quando è immediata e/o non necessita di ulteriori passaggi deduttivi per distinguere univocamente la persona118_{; l'unicità dell'informazione} favorisce questa caratteristica così come il fatto che determinate informazioni siano fornite volontariamente e direttamente dalla persona interessata (VPI). L'identificazione o l'identificabilità indiretta rimanda, in genere, al computo di

117 _{In argomento, per un maggiore dettaglio ed esempi si rimanda al parere Working Party ex art. 29 n. 136, 20 June 2007,}

Opinion 4/2007 on the concept of personal data (IT) p. 10-12

118 _{In argomento sia il CODICE che lo standard ISO/IEC 29100:2011 convergono nello specificare, rispettivamente tramite}

il dato identificativo e l'identifier, una tipologia di dato personale con identificazione diretta.

CODICE, Art. 4 - Definizioni, comma 1, lettera c): "dati identificativi", i dati personali che permettono l'identificazione diretta

dell'interessato ISO/IEC 29100:2011, Information technology — Security techniques — Privacy framework, 15 Dicembre 2011 (First

combinazioni uniche, ampie o ridotte. Nei casi in cui gli identificatori disponibili non consentono di identificare una specifica persona, la si può ancora considerare identificabile se tali informazioni combinate con altre consentiranno di distinguerla. Questo requisito dipende fortemente dal contesto di riferimento: in generale che un dato personale identifichi una persona di per se non è ne una condizione necessaria ne una condizione sufficiente; ad esempio il dato personale nome può (con molta probabilità) identificare immediatamente la persona_studente nell'ambito di un'aula (e in questo contesto rivelarsi dato identificativo) ma non altrettanto direttamente nell'ambito di una Università essendo necessarie ulteriori informazioni in ragione delle possibili omonimie.

Inoltre la possibilità di identificare la persona non presuppone necessariamente di disporre del nome, essendone possibile la ricostruzione della personalità/persona o del profilo attraverso la categorizzazione basata su criteri socioeconomici, fisiologici, professionali, di relazione, di localizzazione, considerato tra l'altro che il punto di contatto (il device) tra l'utente e la rete, di per se, non richiede necessariamente che ne sia svelata l’identità in senso stretto. L'identificabilità della persona, infine, va misurata tenendo presente l'insieme dei mezzi ragionevolmente utilizzabili119_{. La sola possibilità ipotetica di distinguere una persona non} basta per considerare tale persona identificabile. Se, tenendo conto dell'insieme dei mezzi che possono essere ragionevolmente per identificare detta persona, tale possibilità non esiste o è trascurabile, la persona non dovrebbe essere considerata identificabile, e le informazioni non configurerebbero dati personali.

Il criterio di valutazione deve tenere conto di diversi fattori in gioco: il costo dell’identificazione, la finalità, le caratteristiche della gestione e del trattamento e l'arco temporale degli stessi; il rischio di disfunzioni organizzative (es. violazioni degli obblighi di riservatezza) e tecniche. Questa valutazione dipende dinamicamente dal contingente stato dell'arte della tecnologia al momento del trattamento e dalle possibilità di sviluppo nel periodo per il quale saranno trattati e conservati i dati.

La gestione dei tati personali è declinata in maniera essenziale ma esaustiva nella definizione stessa di trattamento richiamata dal GDPR all'art. 4 Definizioni, comma 2:

119 _{GDPR, considerando 26): dovrebbero essere considerati informazioni su una persona fisica identificabile. Per stabilire l'identificabilità di}

una persona è opportuno considerare tutti i mezzi, come l'individuazione, di cui il titolare del trattamento o un terzo può ragionevolmente avvalersi per identificare detta persona fisica direttamente o indirettamente. Per accertare la ragionevole probabilità di utilizzo dei mezzi per identificare la persona fisica, si dovrebbe prendere in considerazione l'insieme dei fattori obiettivi, tra cui i costi e il tempo necessario per l'identificazione, tenendo conto sia delle tecnologie disponibili al momento del trattamento, sia degli sviluppi tecnologici. I principi di protezione dei dati non dovrebbero pertanto applicarsi a informazioni anonime, vale a dire informazioni che non si riferiscono a una persona fisica identificata o identificabile o a dati personali resi sufficientemente anonimi da impedire o da non consentire più l'identificazione dell'interessato.

✔«trattamento»: qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione;

La schematizzazione del ciclo di vita (o di gestione, di trattamento) dei dati personali trova immediato adattamento nel classico ciclo di vita dell'informazione, che di norma include le seguenti fasi120_:

✔l'occorrenza in cui si collocano la scoperta, il design, la creazione...;

✔la trasmissione in cui convergono il rilascio, la condivisione in rete, la distribuzione, l'accesso, il recupero, la diffusione....;

✔il processo e la gestione: risultante della raccolta, validazione, modifica, organizzazione, indicizzazione, classificazione, filtro, aggiornamento, archiviazione,...;

✔l'utilizzo comprendente tra l'altro il monitoraggio, l'interpretazione, la modellazione, l'analisi, la previsione, la decisione....;

sulle quali, con immediatezza, possono essere collocate tutte le operazioni di trattamento (cfr successiva figura 2.7).

Figura 2.7 – Il tipico ciclo di vita dell'informazione adattato al trattamento dei dati personali

La strutturazione delle fasi dipende dall'intrinseca natura intangibile del dati personali digitali; questa implica che essi – come tutte le informazioni digitali possano implementare il c.d. Data-Accretion121_{, quindi:}

✔possano essere copiati infinitamente, distribuiti globalmente abbattendo limitazioni e costi tradizionalmente associate ai manufatti informativi tangibili (materiali e cartacei); ✔inoltre a differenza di questi ultimi l'utilizzo dei dati digitali non implica consumo (nel

senso dell'esaurimento), ma riutilizzo che produce (a sua volta) ulteriore conoscenza, e quindi ulteriori dati;

✔ed infine la connessione, il collegamento e la relazione di insiemi di dati personali ne moltiplica la quantità.

Queste caratteristiche native dei dati personali digitali sono quelle da cui originano tutte le tipologie di sfruttamento positivo premesse al paragrafo precedente; ma – unitamente alla centralità rivestita dell'utente nel disclosure, nella divulgazione delle proprie informazioni, sono quelle da cui derivano le vulnerabilità dei sistemi di trattamento rispetto alle molteplici situazioni in cui gli attori coinvolti – ed in particolare il soggetto interessato, ne perdono – a rilascio avvenuto, il totale controllo.

Anche sulla definizione degli attori coinvolti nel ciclo di gestione e di trattamento dei dati personali si può registrare una sostanziale convergenza, almeno per le tipologie, tra le indicazioni tecniche esposta nello standard ISO/IEC 29100:2011 e quelle normative normativa incluse nel GDPR. Lo standard ISO/IEC 29100:2011 prevede che nel trattamento dei dati personali siano coinvolti 4 tipi di attori: il PII principal, il PII controller, il PII processor e le terze parti122_{. Nel nuovo regolamento europeo alle prime tre figure corrispondono: il soggetto} interessato, il titolare del trattamento e il responsabile del trattamento ai quali si affianca anche un quarto e nuovo attore: il responsabile per la protezione dei dati personali (Data Protection Officer, Privcay Officer).

Il PII principal – Soggetto Interessato è la persona fisica ai quali si riferiscono i PII (Personal Identifiable Information): laddove non è previsto di default dalla legge fornisce le proprie informazioni personali sia al PII controller, che al PII processor; rilascia il proprio consenso e imposta le opzioni di processamento e di trattamento rispetto alle politiche e alle regole predefinite ed esposte dal PII controller. Oltre al consenso esercita un insieme di diritti

121 _{Atti Lectio Magistralis Prof. Alessandro Acquisti – Privacy nell'era del DataGeddon 19 Giugno 2014, CNR Pisa.}

predefiniti dalle norme regolatorie (ad esempio il diritto di accesso, di limitazione, di rettifica, modifica e cancellazione) quali strumenti di controllo sulle proprie informazioni.

Il PII controller – Titolare del trattamento (o il contitolare, potendo contarne più di uno) è il portatore di interesse che determina le finalità (i perché) e i mezzi (come) del trattamento dei PII; secondo lo standard rientra in questa categoria anche la persona che tratta le informazioni per scopi personali, non altrettanto nel nuovo Regolamento Europeo. Il PII Controller è tenuto a comprovare la sua responsabilità nell'adottare e nel mettere in atto tutte le misure organizzative e tecniche (ivi incluse quelle di sicurezza e di valutazione dell'impatto e prevenzione dei rischi) perché il trattamento soddisfi e rispetti in modo efficace i principi di protezione dei dati e includa tutte le garanzie necessarie per tutelare i diritti dei soggetti interessati.

PII processor - Responsabile del trattamento è il portatore di interesse che tratta i dati per conto del PII controller. Monitora il rispetto ai requisiti dello standard o del regolamento e implementa i relativi controlli. Nel nuovo regolamento europeo, che assegna al responsabile un ruolo quasi in solido con il titolare, è supportato e coadiuvato dal responsabile per la protezione dei dati personali.

E in fine le terze parti sono i portatori di interesse diversi dalle precedenti figure che trattano i dati sotto il controllo del titolare e del responsabile.