La definizione di “dato personale”. Il parere dei Garanti UE


Il volto di un cliente filmato da una telecamera di sorveglianza, il disegno di un bambino che ritrae episodi di vita famigliare in un caso di maltrattamenti, i graffiti metropolitani “firmati” dai writers: in tutti questi casi c’è di mezzo un dato “personale” perché, in maniera diversa, tutte le informazioni sono riferite ad una persona fisica identificata o identificabile.Sono solo alcuni degli esempi citati nel documento che i Garanti europei hanno recentemente approvato a Bruxelles. L’intento è quello di chiarire meglio l’ambito della nozione di “dato personale” fornendo alcune indicazioni concrete che possano facilitare l’applicazione delle disposizioni della direttiva 95/46 ai trattamenti effettuati con le nuove tecnologie (quali l’Rfid) o in contesti altamente tecnologici (e-Government, cartelle cliniche elettroniche, ecc.).

Il punto di partenza è, naturalmente, la definizione di dato personale contenuta nella direttiva (“qualsiasi informazione concernente una persona fisica identificata o identificabile”), che è stata analizzata con l’ausilio di esempi tratti dai casi affrontati nei vari Paesi UE dalle Autorità di protezione dei dati. Quali sono i punti fermi emersi dall’analisi? Innanzitutto, il fatto che nell’intenzione del legislatore comunitario l’ambito del concetto di dato personale è assai ampio (“qualsiasi informazione”), pur con i correttivi che la direttiva stessa prevede. Questa è la posizione sostenuta anche dalla Corte europea dei diritti umani e dalla Corte europea di giustizia ogniqualvolta hanno affrontato casi concernenti possibili violazioni del diritto alla vita privata. Dunque, se da un lato non si deve dare un’interpretazione eccessivamente estensiva delle norme in materia di protezione dati, dall’altro non si devono neppure introdurre troppi limiti nell’interpretazione del concetto di “dato personale”. Qui giocano un ruolo importante le Autorità di protezione dati: che devono essere attente a cogliere tutte le “zone d’ombra” nel trattamento dei dati personali, ma anche effettuare un bilanciamento adeguato dei diritti che sono in gioco caso per caso. E la direttiva offre già gli strumenti più idonei a raggiungere questo obiettivo.

In secondo luogo, proprio l’analisi delle centinaia di esempi selezionati dalle Autorità di protezione dati – spesso particolarmente “scottanti” o controversi – consente di tracciare una strada interpretativa equilibrata che garantisca i diritti delle persone. Così, partendo dagli elementi costitutivi della definizione di dato personale contenuta nella direttiva, “qualsiasi informazione” significa, ad esempio, che le istruzioni impartite dal cliente alla propria banca e registrate su nastro sono un dato personale, ma lo sono anche le immagini filmate da un impianto di videosorveglianza nella misura in cui i singoli individui siano riconoscibili. Un dato biometrico (l’impronta digitale) è un dato personale perché identifica una persona, ma i campioni di tessuto (o il dito) dai quali si estraggono i dati biometrici non sono dati personali di per sé – tuttavia, le operazioni effettuate per estrarre tali informazioni biometriche configurano un trattamento di dati personali (e in realtà sono state previste norme apposite per tali trattamenti).Peraltro, un’informazione può “riguardare” una persona fisica identificata o identificabile sotto vari aspetti: perché l’oggetto dell’informazione è chiaramente una persona fisica (è il caso più semplice: i risultati di un esame medico “riguardano” il paziente che si è sottoposto all’esame); oppure perché la finalità del dato raccolto è, alla luce delle circostanze specifiche, quella di “incidere” in qualche modo su una persona specifica (si pensi ad un elenco delle chiamate effettuate da una postazione telefonica in un ufficio; oppure, infine, perché l’informazione, se trattata, è suscettibile di generare risultati specifici sui diritti e gli interessi di una determinata persona (come nel caso del trattamento di dati di localizzazione effettuato da una società di taxi per migliorare la qualità del servizio, che però ha conseguenze importanti sui singoli tassisti in quanto il loro comportamento finisce per essere monitorabile).

Quanto all’ “identificabilità”, questa può essere “diretta” o “indiretta”, secondo la direttiva; per capire se una persona sia “indirettamente identificabile”, occorre valutare tutte le circostanze del caso specifico: così, notizie di stampa su un vecchio procedimento penale che aveva avuto grande risonanza possono costituire un dato personale poiché è possibile ricostruire l’identità della persona di cui si parla andando a consultare vecchi numeri del giornale; informazioni apparentemente frammentarie e prive di riferimenti diretti all’identità di una persona (il nome) costituiscono dato personale nella misura in cui il titolare le ha raccolte con l’intento di utilizzarle per identificare una determinata persona e possiede presumibilmente i mezzi per ricostruire tale identità (si pensi alla videosorveglianza, il cui scopo è esattamente quello di favorire l’eventuale identificazione di determinati soggetti, o agli indirizzi IP raccolti per individuare presunte violazioni del copyright, come in casi recenti relativi al fenomeno del “peer-to-peer”).

Infine, la direttiva parla di informazioni concernenti una “persona fisica”: ciò deve intendersi come una persona fisica vivente, perché la personalità giuridica ha inizio con la nascita e termina con la morte dell’individuo. Tuttavia, il trattamento di dati relativi a defunti può essere un trattamento di dati personali in determinate circostanze: perché la legge nazionale lo ammette, oppure perché esistono interessi legittimi del defunto (onore, immagine) che continuano a necessitare tutela anche dopo la morte. E anche le persone giuridiche possono godere della stessa tutela: la Corte europea di giustizia ha chiarito che “nulla impedisce che uno Stato membro estenda la portata della normativa nazionale di attuazione della direttiva 95/46 a settori non compresi nell’ambito di applicazione di quest’ultima, purché non vi osti alcun’altra disposizione del diritto comunitario”. Così hanno fatto, ad esempio, Italia, Austria e Lussemburgo, dove la tutela offerta dalla legge alle persone fisiche è stata estesa anche al trattamento di dati concernenti persone giuridiche. Il criterio-guida, come ricordato più volte dai Garanti, è la necessità di assicurare la tutela di diritti fondamentali quali il diritto al rispetto della vita privata, che viene affermato anche dall’articolo 8 della Convenzione europea dei diritti umani.

fonte: Garante della Privacy

Articoli correlati:

  1. La separazione personale dei coniugi
  2. Indennizzo diretto e spese legali: il parere dell’AGCM
  3. I nuovi criteri per la concessione dei permessi ex L. n.104/92