GDPR (S01 E03): Dati "personali" e "dati particolari"
La centralità del dato della persona nel sistema GDPR
Il Regolamento europeo si occupa, come è ben noto, di data protection, ossia di protezione del dato. Da anni, allora, si discute su cosa sia questo dato con riferimento alla persona, all'essere umano.
Se ne discute perchè è chiaro a tutti come alcuni dati, riferiti alla persona, possano essere, in determinate condizioni, più importanti di altri nell'ottica di una tutela della persona stessa.
Tutti i dati sono importanti, sia chiaro. Non esistono dati di "Serie A" e dati di "Serie B". Però è sotto gli occhi di tutti come alcuni dati possano essere più idonei, in determinati contesti, a discriminare il soggetto, o a farlo vergognare e violare così la sua dignità, o a intaccare la sua reputazione, o a causargli dei danni. Certo, questa percezione di "gravità del dato" può essere soggettiva: a Tizio potrebbe dar molto fastidio se circolassero, ad esempio, i suoi dati di salute, mentre Caio si risentirebbe molto di più se circolassero i suoi dati economici. Ciò non toglie che si possano fare delle classificazioni, anche se molto generali, dei dati personali, anche seguendo un po' l'approccio del Legislatore.
Non tutti i dati sono "uguali", soprattutto nella percezione dell'interessato. Alcuni possono essere più idonei a discriminarlo, o a violare la sua dignità.
In linea di principio, già si vedeva nelle precedenti Lezioni, i dati sono divisi in quattro grandi categorie: i) i dati anonimi, che se sono realmente anonimi non sono idonei a ledere i diritti di una persona, ii) i dati personali, che non sono più anonimi (appunto) perchè consentono di identificare quella persona; iii) i dati sensibili o particolari, che sono sempre dati personali ma che svelano aspetti della persona che l'ordinamento ritiene di dover proteggere perchè potrebbero discriminarla; e iv) dati ultrasensibili, o particolarmente delicati (quali il DNA) che forniscono una informazione completa, presente e futura, di quella persona e, a volte, anche dei suoi parenti.
L’Articolo 4 del GDPR è il primo che ci interessa, su questo punto, perchè contiene una precisa definizione di “dato personale”. In particolare, nel GDPR è inteso come qualsiasi informazione riguardante una persona fisica identificata o identificabile, denominata “interessato”.
Abbiamo, quindi, già tre aspetti fondamentali che emergono da questo articolo: quel "qualsiasi informazione", che indica come "dato" sia non solo un "dato" come comunemente inteso (ad esempio: uno scritto) ma anche una fotografia, un file audio, un identificativo elettronico; quel "persona fisica", che spiega come al GDPR interessi, in un'ottica di protezione, soltanto la persona fisica e non la persona giuridica, e quel "interessato" che è il termine che d'ora in avanti utilizzeremo per indicare il soggetto cui i dati si riferiscono. Siamo in presensa, in pratica, del soggetto che è "interessato" dal trattamento dei dati efettuato su di lui.
Se un dato è in grado di identificare una persona fisica, quello è considerato dalla norma come "dato personale".
In particolare, si considera identificabile la persona fisica a cui ci si può riferire – direttamente o indirettamente – tramite un identificativo, come un nome, un dato relativo all’ubicazione, un numero di identificazione, o tramite uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.
Le persone fisiche possono, infatti, essere associate a identificativi online prodotti dai dispositivi, dalle applicazioni, dagli strumenti e dai protocolli utilizzati, quali gli indirizzi IP (Considerando n. 30).
Tali identificativi sono idonei a lasciare tracce che, se combinate con altre informazioni ricevute dai server, possono essere utilizzate per creare profili e identificare le persone fisiche.
Sulla base di tali osservazioni, si ritiene dunque auspicabile un’applicazione dei principi di protezione dei dati a tutte le informazioni relative a una persona fisica identificata o identificabile.
Oggi sono molto comuni gli identificativi della nostra attività online, visto che gran parte delle nostre azioni oggi si svolgono in rete e sui social network.
Il Considerando n. 26 precisa che per stabilire l’identificabilità di una persona è opportuno considerare tutti i mezzi di cui il titolare del trattamento, o un terzo, possano ragionevolmente disporre per identificare detta persona.
In particolare, si dovrebbe tenere conto dell’insieme dei fattori obiettivi, tra cui i costi e il tempo necessario per identificazione, tenendo presenti altresì le tecnologie disponibili al momento del trattamento.
Questo concetto della identificabilità, previsto dal Regolamento, non è nuovo: già se ne era discusso ampiamente con riferimento alla normativa precedente. Però è assai interessante. In pratica, abbiamo una persona e un dato a lei riferibile. Anche se questo dato non identifica la persona direttamente, o a seguito di uno, due o tre passaggi interpretativi, ma la potrebbe identificare a seguito di molteplici passaggi (ad esempio: correlando i dati con altre informazioni) che richiedano costi, tempo e tecnologie che sono disponibili comunemente, allora questo dato diventa un dato personale.
Viceversa, i principi di protezione dei dati non dovrebbero applicarsi, neppure per finalità statistiche o di ricerca, a informazioni anonime, ossia a informazioni che non si riferiscono a una persona fisica identificata o identificabile, o che si riferiscono a dati personali resi sufficientemente anonimi da impedire l’identificazione dell’interessato.
Il dato anonimo non è toccato dal Regolamento perchè si presume che un dato non riferibile a una persona fisica non possa, per quello, arrecare danni a nessun soggetto.
Il Regolamento, inoltre, non si applica ai dati personali delle persone decedute, con riguardo ai quali i singoli Stati membri possono prevedere specifiche norme (in particolare, questo aspetto è stato disciplinato dal Codice Privacy italiano come novellato nel 2018 dal D.Lgs. 101).
L’Articolo 4 del GDPR prosegue, poi, individuando alcune specifiche categorie di dato personale: troviamo, innanzitutto, i dati genetici, ossia i dati relativi alle caratteristiche genetiche, ereditarie o acquisite, di una persona fisica, idonee a fornire informazioni univoche sulla sua fisiologia o salute e risultanti dall’analisi di un campione biologico dell’interessato, in particolare – come specificato dal Considerando n. 34 – dall’analisi dei cromosomi, del DNA, del RNA o di altro elemento che consenta di ottenere informazioni equivalenti.
Il dato genetico, avendo questa caratteristica di poter dare informazioni anche sul passtao e il futuro della salute di una persona, e contenendo dei dati che non sono separabili e che possono riguardare altre persone, era già visto dal Legislatore precedente come particolarmente degno di protezione.
In secondo luogo, vengono menzionati i dati biometrici, vale a dire i dati ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona, che ne consentono o ne confermano l’identificazione univoca; sono tali, ad esempio, l’immagine facciale o i dati dattiloscopici. Dato biometrico, si ricordi, non è una semplice fotografia del viso, ma ci deve essere un software alla base che sia in grado di processare i dati ricavati dalla fotografia a fini di identificazione del soggetto o di monitoraggio e valutazione delle sue performance.
Infine, troviamo la categoria dei dati relativi alla salute, in cui dovrebbero rientrare tutti i dati riguardanti lo stato di salute fisica o mentale presente, passata o futura dell'interessato.
Tra questi, come spiegato nel Considerando n. 35, sono comprese: i) le informazioni sulla persona fisica raccolte nel corso della sua registrazione al fine di ricevere servizi di assistenza sanitaria; ii) un numero, un simbolo o un elemento specifico attribuito a una persona fisica per identificarla in modo univoco a fini sanitari; iii) le informazioni risultanti da esami e controlli effettuati su una parte del corpo o una sostanza organica; iv) più in generale, qualsiasi informazione riguardante malattie, disabilità, anamnesi mediche, trattamenti clinici o stati fisiologici dell'interessato, indipendentemente dalla fonte.
Il dato sanitario è chiaramente particolarmente delicato non solo per la tutela della dignità della persona, ma anche per evitare discriminazione sul luogo di lavoro e in società e per non rendere vulnerabile l'interessato a ricatti o a danni nella sua vita quotidiana.
Il Considerando n. 51 evidenzia come meritino una specifica protezione i dati personali che, per loro natura, sono particolarmente sensibili sotto il profilo dei diritti e delle libertà fondamentali: per tale ragione, l’Articolo 9 del GDPR vieta il trattamento dei dati genetici, biometrici, relativi alla salute o alla vita sessuale di una persona, nonché dei dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni filosofiche o religiose o l’appartenenza sindacale, a tutela dei diritti e delle libertà dell’interessato.
Quanto disposto, tuttavia, non trova applicazione in una serie di circostanze, e in particolare quando:
1) l’interessato abbia prestato esplicitamente il proprio consenso al trattamento di tali dati, fatta eccezione per il caso in cui il diritto dell'Unione o degli Stati membri disponga che il divieto non sia revocabile;
2) il trattamento sia necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza e protezione sociale, in presenza di garanzie appropriate;
3) il trattamento sia necessario per tutelare un interesse vitale dell’interessato o di un’altra persona fisica qualora l’interessato si trovi nell’incapacità fisica o giuridica di prestare il proprio consenso;
4) il trattamento sia effettuato, nell’ambito delle sue legittime attività e con adeguate garanzie, da una fondazione, associazione o altro organismo senza scopo di lucro, a condizione che il trattamento riguardi unicamente le persone che hanno regolari contatti con l'organismo in questione e che i dati personali non siano comunicati all'esterno senza il consenso dell’interessato;
5) il trattamento riguardi dati personali resi manifestamente pubblici dell'interessato;
6) il trattamento sia necessario per accertare, esercitare o difendere un diritto in sede giudiziale, amministrativa o stragiudiziale;
7) il trattamento sia necessario per motivi di interesse pubblico, rilevante sulla base del diritto dell’Unione o degli Stati membri. Questo si verifica anche nel caso in cui il trattamento di dati personali sia effettuato a cura di autorità pubbliche allo scopo di realizzare fini, previsti dal diritto costituzionale o dal diritto internazionale pubblico, di associazioni religiose ufficialmente riconosciute.
8) il trattamento sia necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale. In particolare, questo è possibile se tali dati sono trattati da, o sotto la responsabilità, di un professionista soggetto al segreto professionale conformemente al diritto dell’Unione o degli Stati membri o alle norme stabilite dagli organismi nazionali competenti, o da altra persona anch’essa soggetta all’obbligo di segretezza;
9) il trattamento sia necessario per motivi di interesse pubblico nel settore della sanità pubblica. Come precisato dal Considerando n. 54, in tale contesto la nozione di “sanità pubblica” dovrebbe essere interpretata secondo la definizione del regolamento CE n. 1338/2008 del Parlamento europeo e del Consiglio, dunque come l’insieme di tutti gli elementi relativi alla salute, quali lo stato di salute, morbilità e disabilità incluse, i determinanti aventi un effetto su tale stato di salute, le necessità e le risorse in materia di assistenza sanitaria, l'effettiva prestazione e l’accesso universale a essa, la spesa sanitaria e il relativo finanziamento, le cause di mortalità;
10) il trattamento sia necessario a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici.
È dunque possibile e opportuno prevedere espressamente deroghe al divieto generale di trattare le suddette categorie particolari di dati personali, purché siano fatte salve le adeguate garanzie.
Il Paragrafo 4 dell’Articolo 9, infine, contiene una formula di chiusura che consente agli Stati membri di mantenere o introdurre ulteriori condizioni, comprese limitazioni, con riguardo al trattamento dei c.d. “dati sensibili”, senza tuttavia ostacolare la libera circolazione dei dati personali all’interno dell’Unione quando tali condizioni si applicano al trattamento transfrontaliero degli stessi.
L’idea alla base del Regolamento, a nostro avviso, è chiaramente quella di presentare un dato personale “più moderno” e più legato all’era degli smartphone, dei braccialetti per il fitness, dei social network, degli algoritmi di profilazione e di decisioni automatizzate.
Accanto, quindi, all’idea di dato personale più tradizionale, che rimane, sono evidenziati dati che sono collegati alla vita elettronica della persona e alla sua identità sui social network e che meritano, oggi, lo stesso livello di protezione.
L'idea di dato personale, nelle righe del Regolamento, vuole essere, in definitiva, più moderna e più vicina alla realtà della società digitale odierna.