Persona umana, diritti fondamentali e tutela dei dati personali
Il diritto alla protezione dei dati personali è un diritto fondamentale che garantisce la tutela della sfera privata della persona umana.
Tale diritto è riconosciuto e protetto da diverse normative, tra cui la Costituzione italiana, il Regolamento generale sulla protezione dei dati (GDPR) dell’Unione Europea e la Convenzione europea per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali.
Il diritto alla tutela dei dati personali e della privacy sono diritti fondamentali che tutelano la libertà personale e la vita privata in generale.
La tutela dei dati personali si riferisce alla protezione dei dati che identificano una persona, mentre la tutela della privacy si riferisce alla protezione della sfera privata della persona, compresi i dati personali.
Insieme, questi diritti sono essenziali per garantire la dignità e la libertà dei singoli individui.
Nell’ambito del moderno dibattito sui diritti della persona si è riconosciuto che ogni individuo ha il diritto di escludere i terzi (è titolare, dunque dello ius excludendi alios) dalla propria sfera inviolabile (anche intesa come spazio fisico) impedendovi ogni ingerenza o intrusione.
Ciascuno ha altresì il diritto di impedire la raccolta e il trattamento o la diffusione, senza il proprio consenso (o per ipotesi previste dalla legge), di qualsiasi informazione che direttamente o indirettamente lo riguardano.
Dato personale: una definizione flessibile
Nozione
qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»);
si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale;
La generica formulazione consente di adattare la definizione di dato personale alla rapida evoluzione del progresso tecnologico.
Sono dati personali le informazioni che identificano o rendono identificabile, direttamente o indirettamente, una persona fisica e che possono fornire informazioni sulle sue caratteristiche, le sue abitudini, il suo stile di vita, le sue relazioni personali, il suo stato di salute, la sua situazione economica, ecc..
- qualsiasi informazione” che riguarda una persona fisica identificata o identificabile
Le tipologie di dati
Particolarmente importanti sono:
- i dati che permettono l’identificazione diretta – come i dati anagrafici (ad esempio: nome e cognome), le immagini, ecc.
- i dati che permettono l’identificazione indiretta, come un numero di identificazione (ad esempio, il codice fiscale, l’indirizzo IP, il numero di targa);
- i dati rientranti in particolari categorie: si tratta dei dati c.d. “sensibili”, cioè quelli che rivelano l’origine razziale od etnica, le convinzioni religiose, filosofiche, le opinioni politiche, l’appartenenza sindacale, relativi alla salute o alla vita sessuale. I’articolo 9) ha incluso nella nozione anche i dati genetici, i dati biometrici e quelli relativi all’orientamento sessuale;
- i dati relativi a condanne penali e reati: si tratta dei dati c.d. “giudiziari”, cioè quelli che possono rivelare l’esistenza di determinati provvedimenti giudiziari soggetti ad iscrizione nel casellario giudiziale (ad esempio, i provvedimenti penali di condanna definitivi, la liberazione condizionale, il divieto od obbligo di soggiorno, le misure alternative alla detenzione) o la qualità di imputato o di indagato.
- I’articolo 10 ricomprende in tale nozione i dati relativi alle condanne penali e ai reati o a connesse misure di sicurezza.
Con l’evoluzione delle nuove tecnologie, altri dati personali hanno assunto un ruolo significativo, come quelli relativi alle comunicazioni elettroniche (via Internet o telefono) e quelli che consentono la geolocalizzazione, fornendo informazioni sui luoghi frequentati e sugli spostamenti.
Si tratta di informazioni che riguardano, cioè una persona individuata (perciò distinguibile), o che può essere identificata mediante l’ausilio di informazioni aggiuntive.
Gli elementi che costituiscono la nozione di dato personale
La nozione di dato personale è costituita da 4 elementi:
– persona fisica:
come si è accennato in precedenza, il diritto alla protezione dei dati costituisce una specificazione ed un ampliamento del diritto alla libertà e alla vita privata, entrambi riferibili agli esseri umani.
La protezione dei dati interessa, in primo luogo, la tutela delle persone fisiche; anche se è possibile convenzionalmente estendere la protezione dei dati alle persone giuridiche, quali società e associazioni.
– “Qualsiasi informazione”: si tratta di una espressione onnicomprensiva.
Essa comprende infatti qualsiasi forma di informazione. Potenzialmente, tutte le informazioni hanno rilievo senza che abbia rilievo per la definizione di dato personale il giudizio sulla veridicità dell’informazione né sulla sua dimostrabilità.
L’espressione generica “qualsiasi informazione” è seguita da un elenco esemplificativo (non esaustivo).
Possono essere senza dubbio considerati “dati personali” ai sensi dell’art. 4 GDPR
“il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”.
Le informazioni che permettono di identificare una persona fisica specifica attraverso un collegamento diretto sono chiamate “identificativi”. È importante valutare il collegamento tra l’informazione e la persona fisica per determinare se l’informazione può essere definita come “dato personale“.
Alcune pronunce
Il Garante dei Dati personali
interviene sul concetto di identificabilità indiretta con il provv. 2.7.2020, n. 118
Stabilendo che l’identificazione non si limita alla possibilità di recuperare il nome e/o l’indirizzo di una persona, ma include anche la sua potenziale identificabilità attraverso l’individuazione, la correlazione e la deduzione, si può affermare che la menzione delle sole iniziali del nome e cognome di un reclamante costituisce un dato personale se è in grado di consentirne l’identificazione da parte di una cerchia di soggetti, come ad esempio familiari e colleghi di lavoro.
La prassi seguita da alcune amministrazioni di sostituire il nome e cognome dell’interessato con le sole iniziali è di per sé insufficiente ad anonimizzare i dati personali contenuti negli atti e documenti pubblicati online e che il rischio di identificare l’interessato è tanto più probabile quando accanto alle iniziali del nome e cognome permangano ulteriori informazioni di contesto che rendano comunque identificabile l’interessato, essendo necessario, al fine di rendere effettivamente anonimi i dati pubblicati online, oscurare del tutto il nominativo e le altre informazioni riferite all’interessato che ne possono consentire l’identificazione anche a posteriori.
nel provv. 1.6.2023, n. 226
in base al quale “affidarsi semplicemente alla solidità del meccanismo di crittografia quale misura di ‘anonimizzazione’ di un insieme di dati è fuorviante, in quanto molti altri fattori tecnici e organizzativi incidono sulla sicurezza generale di un meccanismo di crittografia o di una funzione di hash”, ha ribadito che la mera sostituzione dell’ID attribuito ai pazienti, con un sistema di crittografia o un codice hash irreversibile non costituisce, in alcuna circostanza, misura idonea rispetto al requisito della rimozione delle singolarità (single out) necessario a qualificare l’operazione di trattamento come un’anonimizzazione.
Il Tribunale dell’Unione Europea
nella pronuncia T-557/20,
per stabilire se le informazioni trasmesse a terzi costituiscano dati personali, occorre porsi dal punto di vista di questi ultimi per determinare se le informazioni che sono state trasmesse si riferiscano a “persone identificabili”. Se il destinatario di un dato non ha i mezzi tecnici per identificare il soggetto cui quell’informazione si riferisce, allora quello non è un dato personale.
Ragionevole probabilità
La ragionevole probabilità per stabilire se ci troviamo davanti ad un dato personale attraverso il collegamento tra informazione ed altri elementi è volutamente un criterio relativo. Ragionevole significa che la probabilità che l’evento si verifichi è più elevato rispetto alla mera probabilità. Si tratta quindi di una probabilità qualificata”
Nella definizione è ricompreso, dunque “qualsiasi processo anche meramente deduttivo, attraverso il quale è possibile approdare all’identificazione”
Sulla scorta della predetta nozione di dato personale, la Corte di Cassazione ha ritenuto che il numero di telaio dell’autoveicolo, in quanto idoneo a far pervenire all’identificazione della persona del proprietario dello stesso, anche laddove sia contenuto in una chiave elettronica, debba essere considerato un dato personale [C. I, 7.7.2021, n. 19270].
Le altre definizioni
Ai fini del presente regolamento s’intende per:
«trattamento»:
qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione;
Ad esempio: la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione (art. 4, par. 1, punto 2, del Regolamento (UE) 2016/679).
I soggetti che procedono al trattamento dei dati personali altrui devono adottare particolari misure per garantire il corretto e sicuro utilizzo dei dati.
«destinatario»:
la persona fisica o giuridica, l’autorità pubblica, il servizio o un altro organismo che riceve comunicazione di dati personali, che si tratti o meno di terzi.
«terzo»:
la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che non sia l’interessato, il titolare del trattamento, il responsabile del trattamento e le persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile;
Il terzo è quindi quella persona che non ha nessun rapporto con i soggetti che, a vario titolo, sono coinvolti nel trattamento dei dati.
Come specificato dal WP29 nel parere 1/2010, il concetto di terzi dovrebbe essere interpretato come riferimento a qualsiasi soggetto che non sia specificamente legittimato o autorizzato – in base, ad esempio, al suo ruolo di titolare del trattamento, di responsabile del trattamento, di incaricato – a trattare dati personali.
