Dato personale: sviluppi
Sul concetto di “dato personale” – rimasto sostanzialmente invariato dall’entrata in vigore della direttiva 95/46/CE – il gruppo di lavoro dell’articolo 29 ha fornito significative delucidazioni, in particolare nel parere 4/2007.
L’evoluzione tecnologica ha richiesto un progressivo affinamento del concetto di “dato personale” per poter rispondere agli interrogativi posti da tale sviluppo. L’avvento del cosiddetto Internet degli oggetti (“IoT”) ha sollevato importanti interrogativi riguardo alla qualificazione di “dati personali” per le tracce raccolte dai computer indossabili, dal “sé aumentato” (“quantified self”) e dalla domotica.
Il parere 8/2014 (wp223) del WPArt29 in proposito riporta le seguenti interessanti considerazioni:
«Nel contesto dell’IoT, accade spesso che una persona possa essere identificata sulla base dei dati provenienti dagli “oggetti”. Infatti, tali dati possono permettere di ricostruire il modello di vita di una persona o di una famiglia specifica, ad esempio i dati generati dal controllo centralizzato dell’illuminazione, del riscaldamento, della ventilazione e del condizionamento d’aria. Inoltre è possibile che anche i dati relativi a persone il cui trattamento avviene solamente in seguito alla pseudonimizzazione o addirittura all’anonimizzazione debbano essere considerati come dati personali. Di fatto la grande quantità di dati trattati automaticamente nel contesto dell’IoT comporta rischi di reidentificazione.» (§3.2).