GDPR: quali dati personali
Come “dato personale” si identifica quello strumento che, da un punto di vista tecnico e giuridico, consente al legislatore, sia a livello nazionale che comunitario, di tutelare i diritti legati all’identità personale di un individuo. Quando si parla di dati personali, ci si riferisce alle informazioni che, in modo diretto o indiretto, anche per mezzo di notizie aggiuntive, possono consentire di identificare una persona, attraverso dettagli che riguardano le sue caratteristiche fisiche, le relazioni personali, lo stato di salute, la situazione economica o lo stile di vita: questo, in sostanza, è quanto previsto in base all’art.4 del GDPR adottato dai Paesi dell’Unione Europea.
Dati personali: identificazione diretta e indiretta
Tra i dati che permettono di identificare una persona in modo diretto, ci sono, ovviamente, quelli anagrafici, come il nome, il cognome, il luogo e la data di nascita. I dati che possono consentire, indirettamente, di identificare una persona, sono tutelati nello stesso modo dal GDPR; si tratta, ad esempio, del codice fiscale, del numero di targa di un veicolo, di un indirizzo IP (Internet Protocol). Con lo sviluppo della tecnologia digitale, i dati che riguardano le comunicazioni elettroniche, che avvengano tramite Internet o telefono, hanno acquisito un’importanza rilevante ai fini della tutela dei dati personali, insieme a quelli che permettono la geolocalizzazione, in quanto forniscono le informazioni sugli spostamenti e sui luoghi frequentati da un soggetto, che si definisce come “interessato”, nel momento in cui ci si riferisce al trattamento dei suoi dati personali. Un’informazione può essere considerata come un dato personale anche quando non consente di individuare fisicamente un soggetto: è il caso delle tecniche di tracciamento utilizzate per identificare un browser oppure un dispositivo digitale per mezzo del quale una persona sta navigando nella rete Internet. L’account con cui si accede ad un servizio online oppure un indirizzo di posta elettronica, invece, sono dati personali che consentono l’identificazione di una persona specifica.
I dati soggetti a trattamento speciale
L’articolo 9 del GDPR vieta, in generale, il trattamento di un certo tipo di dati, cosiddetti “sensibili”, relativi, ad esempio, alla razza o all’etnia, alla religione, alle opinioni politiche, alla salute o all’orientamento sessuale di una persona. Per il trattamento di questi dati, che riguardano degli aspetti strettamente privati di un individuo e potrebbero essere causa di discriminazione, occorre il consenso esplicito da parte dell’interessato. Il GDPR, tra i dati soggetti a trattamento speciale, ha inserito anche i dati genetici e biometrici (impronta digitale, conformazione dell’iride, tono e timbro della voce ecc…). Anche Il trattamento di questi dati è consentito dietro il consenso esplicito dell’interessato oppure in casi particolari, previsti dalla normativa, a garanzia della libertà di opinione e di pensiero e della dignità personale.
I dati cosiddetti "giudiziari"
Il GDPR, all’articolo 10, regolamenta il trattamento dei dati personali cosiddetti “giudiziari”: ovvero quei dati che potrebbero rendere manifesta l’esistenza di provvedimenti giudiziari, come una condanna penale o l’obbligo di soggiorno o, in generale, misure giudiziarie soggette all’iscrizione nel casellario penale; la condizione di indagato o imputato dell’interessato. Il trattamento di questo tipo di dati personali deve avvenire con il controllo diretto della pubblica autorità, nel caso in cui esso sia autorizzato dal diritto degli Stati dell’Unione, garantendo i diritti e le libertà dell’interessato.
Dati anonimizzati, dati pseudonimi e minimizzazione
I dati raccolti vanno conservati per un periodo di tempo definito: il titolare del trattamento che decida di conservarli per un tempo più lungo, deve renderli anonimi, privandoli degli elementi identificativi. I dati anonimizzati non sono più ritenuti personali, per cui non sono soggetti a tutela. Quando gli elementi identificativi dei dati personali sono sostituiti da numeri o stringhe di caratteri, vengono riconosciuti come dati pseudonimi e, anche se con regole meno stringenti, sono tutelati come dati personali; il soggetto in possesso della chiave che consente di decifrarli è tenuto a notificare al Garante un’eventuale violazione. La minimizzazione, infine, va considerata come l’espressione più autentica del principio alla base del regolamento sul trattamento dei dati personali: si riferisce alla raccolta dei dati strettamente indispensabili da trattare per le finalità alle quali sono destinati.
