Il decreto di adeguamento al regolamento Gdpr (Dlgs 101/2018) recepisce in toto la nozione di «dato personale» in continuità con la precedente legislazione Ue. Pertanto, sono da ritenersi attuali le elaborazioni concettuali e le applicazioni maturate prima del Dlgs 101/2018 e del Gdpr, con riguardo all’opinione n. 4/2007 del «Gruppo di lavoro ex art. 29».
L’articolo 4, n. 1, del Gdpr definisce il dato personale come «qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”)». L’identificazione/identificabilità dell’interessato è un requisito essenziale: non basta l’astratto collegamento del dato con una persona, ma occorre che quest’ultima sia singolarmente identificata o almeno possa esserlo; altrimenti, l’informazione rimane anonima e, quindi, estranea alle tutele del Regolamento. Malgrado l’apparente chiarezza della norma, nella pratica quotidiana ci si interroga su cosa vada realmente considerato «dato personale» in un determinato contesto.
Per consolidata impostazione, non occorre arrivare a conoscere il nome della persona, ma è sufficiente che questa venga distinta dagli altri membri di un gruppo. Ne deriva l’equipollenza, quanto alla nozione di dato personale, tra nome anagrafico e qualsiasi altro elemento informativo o complesso di elementi informativi – anche se detenuti da titolari diversi – ugualmente dotati di attitudine distintiva (immagini, suoni, codice identificativo, descrizione, «l’uomo vestito di nero al semaforo»). Nemmeno rileva che la persona sia individuabile da chiunque: ciò che determina l’applicazione delle tutele privacy e data protection è, invece, che essa possa essere distinta o riconosciuta con ragionevole probabilità almeno da qualcuno. Inoltre, dalla premessa che solo alcuni soggetti siano in grado di individuare l’interessato non deriva la conseguenza che una certa informazione sia «dato personale» solo rispetto a costoro, e non agli altri: questo implica che il titolare del trattamento potrebbe anche non conoscere l’identità dell’interessato, né avere modo di determinarla.
Nelle più complesse ipotesi, il collegamento tra identificativo e persona fisica non si configura in termini di certezza bensì di mera possibilità (ad esempio, l’immagine del volto di un soggetto non ancora identificato, ma che possa esserlo). Secondo l’articolo 4, n. 1, Gdpr «si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente», ossia, secondo l’interpretazione del Gruppo ex art. 29, attraverso un collegamento dell’identificativo rispetto alla persona fisica di tipo immediato (nome) o mediato (codice fiscale), il quale ultimo consente l’identificazione soltanto attraverso un’operazione ulteriore (confronto con specimen, registri o elenchi).
Ai fini della nozione di identificabilità è essenziale il criterio della «ragionevole probabilità», nel senso che non ha pregio qualsiasi identificazione possibile, bensì, secondo il Considerando n. 26 Gdpr, solo quella a cui si possa pervenire tenendo conto dei mezzi che è probabile verranno utilizzati dal titolare o da un terzo.
La «ragionevole probabilità» va intesa come probabilità «qualificata», ossia con un margine di verificazione apprezzabile. Il legislatore Ue fornisce parametri di riferimento alla stregua dei quali determinare se l’utilizzo dei mezzi di identificazione appaia o no ragionevolmente probabile: per il Considerando n. 26 occorre guardare all’insieme dei fattori obiettivi, tra cui i costi e il tempo necessario per l’identificazione, tenendo conto sia delle tecnologie disponibili, sia degli sviluppi tecnologici. Nella valutazione del rischio, il Gruppo ex art. 29 suggerisce un approccio ex ante, integrato da verifiche periodiche, che tengano conto dello stato dell’arte e del mutamento dei contesti rilevanti: in particolare, per stabilire se le informazioni in suo possesso soggiacciono alla disciplina del Gdpr e della normativa interna, il titolare del trattamento deve valutare in ottica prognostica ogni fattore (tipologia dei dati trattati, finalità del trattamento, interessi di terzi a conoscerli ecc.) potenzialmente idoneo a incidere sulla ragionevole probabilità che altri pervengano all’identificazione dell’interessato. È il caso delle immagini della videosorveglianza, che vanno sempre considerate dati personali in quanto la finalità del trattamento è proprio quella di pervenire all’identificazione degli interessati laddove necessario; e ciò ancorché, nella pratica, non tutti i soggetti ripresi siano identificabili.
AdA
Fonte IlSole24Ore 272/18 RB
Il 27 aprile 2016 è stato pubblicato il nuovo regolamento che disciplina il trattamento dei dati personali che sostituirà il codice Privacy nel giro di due anni dalla entrata in vigore (25 maggio 2018). La pubblicazione in Gazzetta Ufficiale Europea del 4 maggio 2016 rende obsoleta la precedente direttiva madre 65/46/CE e definisce i termini dell’immediata applicabilità da parte dei 28 stati membri dell’Unione, senza che sia formalmente necessario il passaggio del recepimento interno attraverso apposita misura normativa.