Nozione di «dato personale»
Il concetto di dato personale non è sostanzialmente mutato nel GDPR, rispetto a quello definito nella direttiva 95/46 e nella norma italiana di recepimento che è il codice privacy: il criterio della identificabilità diretta o indiretta dell’individuo continua a caratterizzare l’ampia portata di questa definizione.
Gli identificatori, come i numeri di identificazione, gli identificativi on line, i dati relativi all’ubicazione, sono considerati dati personali proprio in quanto sono in grado di identificare una persona, se ad essa collegati.
Protezione dei dati personali
La Carta dei diritti fondamentali dell’Unione Europea riconosce l’esistenza di tale diritto autonomo insieme all’istituzione di un’autorità di controllo nazionale indipendente (art. 8), in aggiunta al – e in autonomia dal – diritto alla riservatezza della vita privata (art. 7 della Carta).
Completa la piattaforma normativa unionale, l’articolo 16 del Trattato sul funzionamento dell’Unione (“TFUE”) che in proposito recita: «Ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano» ed aggiunge, «(i)l rispetto di tali norme è soggetto al controllo di autorità indipendenti.».
La strategia della Commissione UE sui dati (v. l’omonimo tema), è quella di «mantenere l’UE all’avanguardia dell’economia agile basata sui dati, rispettando e promuovendo nel contempo i valori fondamentali che costituiscono i capisaldi delle società europee» (enfasi aggiunta).
Economia e valori, tuttavia, non si trovano sullo stesso piano, in quanto i secondi sono sanciti da norme primarie del diritto dell’Unione (Carta e TFUE) le quali indirizzano le norme secondarie (Regolamenti e direttive) senza che queste possano contraddire le prime.
Il regime sulla protezione dei dati personali essenzialmente contenuto nel regolamento generale (GDPR) si completa con:
- la Direttiva 2016/680 (“direttiva Polizia”) sulla protezione dei dati per trattamenti da parte delle autorità competenti per finalità anti-crimine
- il Regolamento n. 2018/1725 sulla protezione dei dati personali per i trattamenti operati dalle istituzioni UE
- la Direttiva 2002/58/CE per la riservatezza nelle comunicazioni elettroniche (integrata dalla 2009/136/CE cd. “ePrivacy”), attualmente in corso di riforma ad opera della proposta di regolamento oggetto di approvazione da parte delle istituzioni UE.
Questi due ultimi atti normativi dell’ePrivacy sono in rapporto di legge speciale rispetto al regolamento generale e, quindi, le norme specifiche in essi contenuti prevalgono su quelle del GDPR, mentre laddove in esse non si trovano regole specifiche, continuano ad applicarsi le prescrizioni del GDPR.
La norma unionale di riferimento sulla protezione dei dati personali è il regolamento generale n. 2016/679 (“GDPR”) che ha sostituito la direttiva 95/46/CE. Il GDPR persegue due obiettivi strettamente connessi:
- l’elevata protezione dei dati personali
- la libera circolazione dei dati personali all’interno dell’Unione.
La protezione dei dati, pertanto, non solo risponde alla tutela del diritto fondamentale sancito dai trattati, ma è anche funzionale alla libera circolazione degli stessi in ambito UE, essenziale allo sviluppo dell’economia digitale e dello spazio unico dei dati nell’Unione.
La famiglia dei dati è composta da “dati personali” e “dati non-personali”. I “dati personali” sono quelli indicati dal GDPR [art. 4, 1)] con una definizione ampia che include sia i dati identificativi di un individuo sia quelle informazioni suscettibili di identificarlo anche indirettamente, cioè facendo ricorso a ulteriori informazioni. La definizione di “dato personale” è funzionale all’identificazione dei “dati non-personali”, in quanto essi sono quelli che non si qualificano come “dati personali”.
Il GDPR precisa che sono “dati non-personali”:
- quelli che sin dall’origine non sono riferibili, direttamente o indirettamente, a un individuo determinato: esempi sono le informazioni metereologiche, le informazioni prodotte da sensori di vibrazione in macchinari industriali, i dati sulle esigenze di manutenzione delle macchine industriali, dati del trading ad alta frequenza nel settore finanziario o i dati sull’agricoltura di precisione che aiutano a monitorare e a ottimizzare l’uso di pesticidi, nutrienti e acqua
- quelli che, pur essendo originariamente “dati personali”, sono divenuti “dati non-personali” tramite un procedimento di anonimizzazione. Il dato anonimo, cioè quello che non permette in modo irreversibile di risalire ad un individuo, è fuori dall’ambito applicativo del GDPR.
Sulla distinzione tra anonimizzazione e altri processi di offuscamento dati, si rinvia a quanto indicato al termine di questa sezione.
La distinzione tra “dati non-personali” sin dall’origine e “dati non-personali” tramite anonimizzazione è di rilievo ai fini di un approccio basato sul rischio e, di conseguenza, sulla libera condivisione dei “dati non-personali”.
A seguito dell’inarrestabile capacità elaborativa dei computer specie mediante la computazione quantistica, non può essere escluso in modo tassativo che un dato reso anonimo, soprattutto se collegato ad ulteriori informazioni, sia suscettibile di un procedimento di re-identificazione, trasformandosi nuovamente in “dato personale”. Il Regolamento 2018/1807 sulla libera circolazione dei dati sottolinea in proposito che «(s)e i progressi tecnologici consentono di trasformare dati anonimizzati in dati personali, tali dati sono trattati come dati personali e si applica di conseguenza il regolamento (UE) 2016/679.» [Considerando (9)].
Ad esempio, il Considerando (16) della direttiva sui dati aperti (2019/1024) al riguardo recita: gli Stati membri «dovrebbero altresì assicurare la protezione dei dati personali anche là dove le informazioni in un insieme di dati individuale possono non presentare un rischio di identificazione o di individuazione di una persona fisica, ma possono, se associate ad altre informazioni disponibili, comportare un siffatto rischio.».
Questo rischio, invece, non sussiste nei riguardi dei “dati non-personali” sin dall’origine. Ne deriva che – nella logica di una strategia sui dati, mirante all’ampia condivisione dei dati non-personali” senza che in tal modo si rischi di compromettere «i valori fondamentali che costituiscono i capisaldi delle società europee» – i “dati non-personali” a seguito di anonimizzazione richiedono maggiori salvaguardie che, di converso, non sono giustificate per quelli “non-personali” sin dall’origine. Ciò comporta che la strategia sui dati non può fondarsi sul mero binomio “dati personali” / “dati non-personali” ma deve farsi carico di disciplinare una maggiore scalabilità all’interno della categoria delle informazioni “non-personali”.
Sotto il profilo regolatorio finalizzato alla difesa di diritti fondamentali dell’individuo, la distinzione tra dati “personali” e “non-personali” – considerate le importanti ripercussioni sulla tutela dei diritti – va necessariamente calata nei contesti reali di riferimento. La prassi ci indica, infatti, che per lo più una raccolta di informazioni oggetto di potenziale sfruttamento, registra la commistione di “dati personali” e “dati non-personali”.
Sorge l’interrogativo, allora, di come attuare la netta dicotomia di regolazione: rigoroso regime di gestione per i “dati personali”, da un lato, rispetto alla libera condivisione delle informazioni per quanto riguarda i “dati non-personali”, dall’altro lato.
Nella sezione “Strategia UE sui dati” viene indicato come questo problema sia stato affrontato in alcune norme secondarie del diritto dell’Unione in materia di condivisione dei dati.