Dati personali
Home » GDPR » Concetti principali » Dati personali

Simona Sobotovicova (UPV/EHU)

Questa parte delle Linee guida è stata rivista da Daniel Jove VIllares, Universidade Da Coruna, Spagna

Questa parte delle Linee guida è stata rivista e convalidata da Marko Sijan, Senior Advisor Specialist, (HR DPA)

 

Il concetto di dati personali

Per dati personali si intende qualsiasi informazione relativa a una persona fisica identificata o identificabile (“persona interessata”). La definizione di dati personali secondo il GDPR aggiunge che una persona fisica identificabile è quella che può essere identificata, direttamente o indirettamente, in particolare con riferimento a un identificatore come un nome, un numero di identificazione, dati di localizzazione, un identificatore online o a uno o più fattori specifici dell’identità fisica, fisiologica, genetica, mentale, economica, culturale o sociale di tale persona fisica[1]. Non c’è dubbio che l’obiettivo delle norme contenute nel GDPR è quello di proteggere i diritti e le libertà fondamentali delle persone fisiche e in particolare il loro diritto alla privacy, per quanto riguarda il trattamento dei dati personali. Tuttavia, a causa dell’ampia definizione di dati personali contenuta nel GDPR, il gruppo di lavoro dell’articolo 29 sulla protezione dei dati, le autorità nazionali di controllo della protezione dei dati e la giurisprudenza della Corte di giustizia europea (di seguito, CGCE) approvano la definizione di dati personali.

L’analisi del Gruppo dell’articolo 29 per la protezione dei dati sul concetto di dati personali nel parere 4/2007 si è basata sui seguenti quattro principali “elementi costitutivi” che possono essere distinti nella definizione di “dati[2] personali”:

  • “Qualsiasi informazione” – Questo termine segnala chiaramente la volontà del legislatore di disegnare un concetto ampio di dati personali. Questa formulazione richiede un’ampia interpretazione. Copre informazioni “oggettive”, come la presenza di una certa sostanza nel sangue. Include anche informazioni “soggettive”, opinioni o valutazioni. Inoltre, perché un’informazione sia un “dato personale”, non è necessario che sia vera o provata.

Bisogna dire che il concetto di dati personali include una gamma molto ampia di informazioni, “non solo oggettive ma anche soggettive”, sotto forma di opinioni e valutazioni, purché “si riferiscano” alla persona interessata[3].

  • “Relativo a” – In termini generali, le informazioni possono essere considerate “relative” a un individuo quando riguardano quell’individuo. Si potrebbe sottolineare che, per considerare che i dati “si riferiscono” a un individuo, dovrebbe essere presente un elemento “contenuto” o un elemento “scopo” o un elemento “risultato”. Questi tre elementi (contenuto, scopo, risultato) devono essere considerati come condizioni alternative, e non cumulative, per cui è sufficiente la presenza di uno di questi elementi per essere considerati “relativi” a un individuo.

Nelle parole della CGCE i criteri di contenuto, scopo o effetto fungono da parametro per classificare alcune informazioni come dati personali. Se il contenuto, lo scopo o l’effetto sono collegati a una persona particolare, allora l’informazione è un dato personale. L’uso di uno di questi criteri è sufficiente per esistere per classificare qualsiasi informazione come dati[4] personali.

  • “Una persona identificata o identificabile” – In termini generali, una persona fisica può essere considerata “identificata” quando, all’interno di un gruppo di persone, è “distinta” da tutti gli altri membri del gruppo. Di conseguenza, la persona fisica è “identificabile” quando, sebbene la persona non sia stata ancora identificata, è possibile farlo (questo è il significato del suffisso “-abile”).

Il GDPR menziona questi “identificatori” nella definizione di “dati personali” nell’articolo 4(1) citato in precedenza. Inoltre, per quanto riguarda la determinazione se una persona fisica è identificabile, si dovrebbe tener conto di tutti i mezzi che possono essere ragionevolmente utilizzati, come l’individuazione, sia da parte del titolare del trattamento o da un’altra persona per identificare la persona fisica direttamente o indirettamente[5]. Tuttavia, se la persona è “identificabile”, è ancora al centro delle recenti discussioni[6] degli studiosi.

  • “Persona fisica” – La protezione si applica alle persone fisiche, cioè agli esseri umani. Il diritto alla protezione dei dati personali è, in questo senso, un diritto universale che non è limitato ai cittadini o residenti in un certo paese.

Il GDPR stabilisce che le persone fisiche possono essere associate a identificatori online forniti dai loro dispositivi, applicazioni, strumenti e protocolli, come indirizzi di protocollo internet, identificatori di cookie o altri identificatori come tag di identificazione a radio frequenza. Ciò può lasciare tracce che, in particolare se combinate con identificatori unici e altre informazioni ricevute dai server, possono essere utilizzate per creare profili delle persone fisiche e identificarle[7]. Inoltre, i principi e le norme sulla protezione delle persone fisiche in relazione al trattamento dei loro dati personali dovrebbero, indipendentemente dalla loro nazionalità o residenza, rispettare i loro diritti e libertà fondamentali, in particolare il diritto alla protezione dei dati personali. Il presente regolamento intende contribuire alla realizzazione di uno spazio di libertà, sicurezza e giustizia e di un’unione economica, al progresso economico e sociale, al rafforzamento e alla convergenza delle economie nel mercato interno e al benessere delle persone[8] fisiche.

Si potrebbe affermare che il gruppo di lavoro dell’articolo 29 sulla protezione dei dati afferma che questi quattro elementi forniti nella prima frase della definizione dei dati personali (qualsiasi informazione relativa a una persona fisica identificata o identificabile) sono strettamente intrecciati e si alimentano a vicenda, ma insieme determinano se un’informazione deve essere considerata come “dati personali”.

Quali informazioni possono essere considerate come dati personali?

Le autorità nazionali di controllo della protezione dei dati e la giurisprudenza della Corte di giustizia europea giocano un ruolo essenziale nel fornire un’interpretazione delle disposizioni legali e una guida concreta ai titolari del trattamento e agli interessati, sostenendo una definizione di dati personali che sia abbastanza ampia. La definizione dei dati personali è un elemento centrale per l’applicazione e l’interpretazione delle norme sulla protezione dei dati che hanno un profondo impatto su una serie di questioni e argomenti importanti. Considerando il formato o il mezzo su cui l’informazione è contenuta, il concetto di dati personali include informazioni disponibili in qualsiasi forma, sia alfabetica, numerica, grafica, fotografica o acustica, per esempio[9]. La CGCE fornisce una classificazione delle informazioni come dati personali in diverse sentenze. In questa misura, il termine dati personali comprende senza dubbio il nome di una persona insieme alle sue coordinate telefoniche o informazioni sulle sue condizioni di lavoro o hobby. Anche le informazioni contenute in un testo libero in un documento elettronico possono qualificarsi come dati personali, a condizione che gli altri criteri della definizione di dati personali siano soddisfatti. La posta elettronica, per esempio, conterrà “dati personali”. La CGCE si è espressa in questo senso quando ha considerato che “fare riferimento, in una pagina Internet, a varie persone e identificarle per nome o con altri mezzi, ad esempio fornendo il loro numero di telefono o informazioni relative alle loro condizioni di lavoro e hobby, costituisce il trattamento di dati personali […][10].

Il 20 dicembre 2017 la CGCE con la sentenza sul “caso Nowak[11] stabilisce la classificazione delle risposte e dei commenti soggettivi dell’esaminatore all’interno delle risposte scritte presentate da un candidato in un esame professionale come dati personali, stabilendo una serie di criteri che permettono di capire quali dati sono di natura[12] personale. La sentenza affronta la potenziale applicazione del GDPR per costituire dati[13] personali. Bisogna sottolineare che la classificazione di questi dati come dati personali comporta, per il candidato, la possibilità di utilizzare i suoi diritti di accesso, rettifica e opposizione. In questo senso, la classificazione come dati personali prevede il diritto di accesso, ma anche gli altri poteri concessi al proprietario di questo tipo di dati, che sono: diritti di rettifica, cancellazione e opposizione, così come tutte le garanzie incluse nella legislazione[14] sulla protezione dei dati.

La sentenza analizza anche l’applicabilità del diritto di accesso ai dati con più di un proprietario e interessi opposti (in questo caso l’esaminatore e il candidato). La CGCE ha riaffermato l’idea che il fatto che l’informazione sia nelle mani di una o più persone è irrilevante per quanto riguarda la sua classificazione come dati personali. L’attribuzione della condizione di dati personali non deriva da questo fatto, ma dalla natura stessa dell’informazione. Per quanto riguarda la definizione di dati personali, la CGCE aggiunge un’altra caratteristica: la pluralità di persone interessate, o la possibilità che un’informazione sia dati personali di più di una persona[15].

A causa della classificazione di un’informazione come dato personale, nel caso YS e altri[16], si ritiene che l’analisi giuridica di un verbale prodotto nell’ambito di una richiesta di permesso di soggiorno, non sia un dato personale in quanto si riferisce a “informazioni sulla valutazione e applicazione da parte dell’autorità competente della legge alla situazione del richiedente”. Questa interpretazione ha fatto sì che, nel caso YS e altri, il diritto di accesso non fosse riconosciuto per quelle informazioni, ritenendo che tale accesso si sarebbe basato su un diritto di accesso ai documenti pubblici che non è coperto dalla legislazione[17] GDPR. Tuttavia, se l’analisi avesse incluso qualsiasi valutazione del soggetto, o che potesse avere uno sforzo su di esso, allora questo sarebbe stato considerato come dati personali che, come tali, sarebbero stati soggetti al GDPR[18].

Si potrebbe affermare che la definizione del GDPR, come ricordato dalla Corte di giustizia europea, si basa sull’ampia definizione di dati personali che riflette l’intenzione del legislatore di assegnare una vasta portata al concetto, comprendendo informazioni soggettive e oggettive sul soggetto dei dati. Poiché la classificazione delle informazioni come dati personali le porta nell’ambito dell’architettura di protezione dei diritti fondamentali dell’UE, stabilisce anche sia i diritti degli interessati che le circostanze in cui lo standard di protezione può essere diminuito a causa di obiettivi giustificabili[19].

 

 

  1. Articolo 4(1) GDPR.
  2. Vedi, Gruppo di lavoro per la protezione dei dati dell’articolo 29: Parere 4/2007 sul concetto di dati personali. Adottato il 20 giugno, 01248/07/EN WP 136, pp.9-12, 21. Disponibile all’indirizzo: https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2007/wp136_en.pdf
  3. Sentenza della Corte di giustizia dell’Unione europea (seconda sezione), causa C-43 4/16, Peter Nowak contro Commissario per la protezione dei dati, 20 dicembre 2017, §34.
  4. Sentenza della Corte di giustizia dell’Unione europea (seconda sezione), causa C-43 4/16, Peter Nowak contro Commissario per la protezione dei dati, 20 dicembre 2017, §35.
  5. Considerando (26) GDPR.
  6. Vedi, per esempio; Purtova, N. (2018). La legge del tutto. Concetto ampio di dati personali e futuro della legge europea sulla protezione dei dati. Diritto, innovazione e tecnologia. DOI:https://doi.org/1 0.1080/17579961.2018.1452176.
  7. Considerando (30) GDPR.
  8. Considerando (2) GDPR.
  9. Gruppo di lavoro per la protezione dei dati dell’articolo 29: Parere 4/2007 sul concetto di dati personali. Adottato il 20 giugno, 01248/07/EN WP 136, p.7. Disponibile su: https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2007/wp136_en.pdf
  10. Sentenza della Corte di giustizia europea, C-101/2001, Lindqvist, §27, 06.11.2003.
  11. Sentenza della Corte di giustizia dell’Unione europea (seconda sezione), causa C-43 4/16, Peter Nowak contro Commissario per la protezione dei dati, 20 dicembre 2017.
  12. Jove, D. (2019). Peter Nowak contro il commissario per la protezione dei dati: Potenziali postumi per quanto riguarda le annotazioni soggettive nelle cartelle cliniche. European Data Protection Law Review, Volume 5, Issue 2, p. 175. DOI: https://doi.org/10.21552/edpl/2019/2/7
  13. Sentenza della Corte di giustizia dell’Unione europea (seconda sezione), causa C-43 4/16, Peter Nowak contro Commissario per la protezione dei dati, 20 dicembre 2017, §27.
  14. Jove, D. (2019). Peter Nowak contro il commissario per la protezione dei dati: Potenziali postumi per quanto riguarda le annotazioni soggettive nelle cartelle cliniche. European Data Protection Law Review, Volume 5, Issue 2, p. 177. DOI: https://doi.org/10.21552/edpl/2019/2/7
  15. Ibídem, p. 176, 178.
  16. Sentenza della Corte, cause riunite C-141/12 e C-372/12, YS e altri, 17 luglio 2014.
  17. Sentenza della Corte, cause riunite C-141/12 e C-372/12, YS e altri, 17 luglio 2014, §40.
  18. Jove, D. (2019). Peter Nowak contro il commissario per la protezione dei dati: Potenziali postumi per quanto riguarda le annotazioni soggettive nelle cartelle cliniche. European Data Protection Law Review, Volume 5, Issue 2, p. 179. DOI: https://doi.org/10.21552/edpl/2019/2/7
  19. Podstawa, K. (2018). Peter Nowak Commissario per la protezione dei dati: Puoi accedere al tuo copione d’esame, perché è un dato personale. European Data Protection Law Review (EDPL), 4(2), pp. 254, 256. DOI: https://doi.org/10.21552/edpl/2018/2/17.

 

Skip to content