Parlando delle tipologie di dati personali, la tecnica legislativa europea61
è sicuramente un chiaro supporto e la normativa italiana attualmente vigente segue la stessa impostazione. Infatti, le definizioni62 vengono
posizionate dal legislatore nella parte iniziale dell’atto ed espresse in modo chiaro, essendo fondamentali alla coerenza sostanziale.
Si è già parlato del dato personale in genere, le cui parole chiave sono: “qualsiasi informazione”, “identificato o identificabile”.
All’interno della macro-categoria dei dati personali, vi sono alcune sotto classificazioni importanti.
Nel Regolamento EU 679/2016, l’art. 9 (Trattamento di categorie particolari di dati personali) pone un divieto di trattamento per determinate categorie di dati, ad eccezione di quanto contenuto nei
61 Si vedano le indicazioni contenute nella Guida per la redazione dei testi legislativi dell'Unione europea del Parlamento europeo, Consiglio europeo e
Commissione europea, Lussemburgo, 2015, pp. 42 e ss.; nonché Pagano, R.,
Introduzione alla legistica. L’arte di preparare le leggi, III ed., Giuffrè, Milano,
2004, pp. 89 e ss.
62 “Qualora i termini utilizzati nell’atto non abbiano un significato univoco, è
opportuno riservare alla loro definizione un articolo all’inizio dell’atto. Tale definizione non contiene elementi normativi autonomi.”, Parlamento europeo, Consiglio europeo e Commissione europea, Guida per la redazione
CAPITOLO I
34
paragrafi 2, 3 e 4, che “rivelino l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona.” Per dare il nome a questa sotto-categoria, il D.Lgs. 196/2003 identifica tali dati come “dati sensibili”63. Successivamente, in via interpretativa,
questa categoria è stata ulteriormente classificata con la declinazione “dati ultrasensibili” (o “super-sensibili”64 o “sensibilissimi”), cioè i dati
relativi alla salute (nel quale ricadono necessariamente anche i dati genetici65 e biometrici66), alla vita sessuale e all’orientamento sessuale.
Segue una ulteriore sotto-categoria denominata dalla normativa
63 Art. 4, comma 1, lett. d), D.Lgs. 196/2003.
64 Garante della protezione dei dati personali, L'evoluzione della disciplina sulla riservatezza, in Relazione annuale 1997, del 30 aprile 1998.
65 Nella Recommendation No. R (97) 5 of the Committee of Ministers to
Member States on the Protection of Medical Data (Adopted by the Committee of Ministers on 13 February 1997 at the 584th meeting of the Minsters' Deputies), menzionata nella delega legislativa contenuta nella legge n. 676/96, si afferma: “the expression "genetic data" refers to all data, of whatever type, concerning the heriditary characteristics of an individual or concerning the pattern of inheritance of such characteristics within a related group of individuals. It also refers to all data on the carrying of any genetic information (genes) in an individual or genetic line relating to any aspect of health or disease, whether present as identifiable characteristics or not.” (“l’espressione "dati genetici" si riferisce a tutti i dati, di qualunque tipo, che riguardano i caratteri ereditari di un individuo o che sono in rapporto con quei caratteri che formano il patrimonio di un gruppo di individui affini. Essa si riferisce egualmente a tutti i dati di base circa lo scambio di tutte le informazioni genetiche (geni) che riguardano un individuo o una linea genetica, in rapporto con gli aspetti, di qualsiasi tipo, della salute o di una malattia, che possano costituire o meno un carattere identificabile”).
66 La biometria è la scienza che studia le grandezze biofisiche del corpo, si
pensi ad esempio alle impronte digitali. Questi dati spesso vengono utilizzati al fine di consentire l’identificazione del soggetto in un sistema di autenticazione. Un esempio applicativo lo ritroviamo sugli smartphone, come nel caso di Apple che lo battezza “Touch ID”.
CAPITOLO I
35
italiana “dati giudiziari”67, che ritroviamo nel Regolamento Europeo
all’art. 10, rubricato “Trattamento dei dati personali relativi a condanne penali e reati”.
Per queste particolari categorie di dati il legislatore europeo, nonché quello italiano, ritiene di dover apportare una tutela specifica e più profonda, sulla scorta della Convenzione 10868 che oltre a pre-
identificare queste tipologie di dati, all’art. 1 afferma che “Scopo della presente Convenzione è quello di garantire […] ad ogni persona fisica, qualunque siano la sua cittadinanza o residenza, il rispetto dei diritti e delle libertà fondamentali, ed in particolare del diritto alla vita privata, nei confronti dell’elaborazione automatizzata dei dati di carattere personale che la riguardano ("protezione dei dati")”.
Pertanto, la tutela di questi dati è qualificata come necessaria e preliminare al rispetto dei diritti e delle libertà fondamentali della persona e per questo motivo si richiede una maggiore tutela.
Questa diversificata tutela si distingue da quella ordinaria che prevede il trattamento dei dati sottoposto a determinate condizioni, vietando in linea di principio il trattamento, salvo deroga69 successiva
ed esplicita70.
67 Art. 4, comma 1, lett. e), D.Lgs. 196/2003.
68 Convenzione di Strasburgo n. 108/1981 - Legge 21 febbraio 1989, n. 98. 69 Commentano la legge 675 del 1996, Zeno-Zencovich, V., I diritti della personalità dopo la legge sulla tutela dei dati personali, in Studium iuris, Cedam,
Ferrara, 1997, p. 469, sostiene che “[s]olo i «dati sensibili» appaiono godere di una protezione forte, ma anche qui disseminata di deroghe”.
70 Regolamento UE 679/2016, art. 9, par. 2-3-4; D.Lgs. 196/2003 artt. 20-21;
CAPITOLO I
36
Per semplificare il discorso, è stata illustremente71 proposta la
metafora dei “cerchi concentrici”: dove troviamo nella parte più esterna i dati cd. pubblici (generalità anagrafiche reperibili presso i pubblici registri). All’interno vi è un cerchio intermedio, nel quale si trovano i dati per i quali è necessaria la manifestazione del consenso dell’interessato (ad esempio per i dati raccolti per l’adempimento di un contratto). Infine, nel cerchio più interno vi sono i dati sensibili e giudiziari, i quali sono sottoposti a maggiori garanzie (divieto di trattamento salvo consenso esplicito dell’interessato).
3.2.1 Dati primari e secondari
Una definizione utile ai fini del discorso è quella relativa ai dati biometrici primari e secondari, che ritroviamo nel Parere del Garante n. 178 del 5 giugno 201272.
Detto parere, sulla scorta della Regolamento CE n. 1030/200273 (come
modificato dal Regolamento (CE) n. 380/200874), definisce dati
71 Zeno-Zencovich, V., I diritti della personalità dopo la legge sulla tutela dei dati personali, in Studium iuris, Op. cit., p. 468; Id., Diritto di informazione e all’informazione, in Enciclopedia Italiana, XXI Secolo, Norme e idee, Treccani,
Roma, 2009, p. 306.
72 Garante della protezione dei dati personali, Parere del Garante su uno schema di decreto interministeriale riguardante "Regole tecniche e di sicurezza relative al permesso di soggiorno conforme al Regolamento (CE) n. 1030/2002 come modificato dal Regolamento (CE) n. 380/2008" - 5 giugno 2012.
73 Questo regolamento istituisce a livello europeo un modello uniforme
relativo ai permessi di soggiorno rilasciati a cittadini di paesi terzi, ovvero un documento contente dati identificativi (cognome e nome, sesso, cittadinanza, data di nascita, ecc).
74 Il Considerando n. 3, Reg. 380/2008/CE, sostiene che “[l]’inserimento di
identificatori biometrici costituisce una tappa importante verso l’utilizzazione di nuovi elementi che consentano di creare un legame più sicuro tra il permesso di soggiorno e il suo titolare, fornendo in tal modo un
CAPITOLO I
37
biometrici primari “l’immagine del volto del titolare del documento”, mentre definisce dati biometrici secondari “immagini delle impronte digitali del titolare del documento”.
Da questa impostazione potremmo sostenere che, relativamente ai dati personali, l’aggettivo primario possa essere utilizzato quando, in aggiunta a quelli già percepibili in forma scritta, è possibile una diretta identificazione, senza alcuna elaborazione intermedia. Mentre l’aggettivo secondario può essere utilizzato, invece, relativamente a quei dati che, in aggiunta a quelli già raccolti in forma chiara, necessitano di una elaborazione, anche automatizzata, per l’identificazione della persona.
notevole contributo alla protezione del permesso di soggiorno contro l’uso fraudolento”.
38
CAPITOLOII
I
L QUADRO NORMATIVO SULLA PROTEZIONE DEI DATINei paragrafi precedenti è stato evidenziato lo stretto legame tra i dati personali e i diritti fondamentali dell’individuo. I concetti retrostanti la protezione dei dati personali si sono evoluti nel tempo e la loro positivizzazione presenta un lento e graduale sviluppo a vari livelli legislativi (internazionale, europeo e nazionale).
Nel proseguo si delineeranno sinteticamente i fondamentali interventi in materia, non mancando di introdurre il General Data Protection Regulation di matrice europea.