Bisogna in primo luogo ri-precisare che non è il dato in sé ad essere tutelato, bensì la persona fisica ed il diritto umano sottostante a cui lo stesso si riferisce: il «dato personale» è, dunque, un mero concetto tecnico che serve ad individuare un diritto della persona fisica da proteggere
Ad esempio, con la relativamente recente pronuncia della Corte di Cassazione, Sezione Penale, sentenza n. 11959-2020, la Corte ha sottolineato un “nuovo” orientamento sulla qualificazione dei dati informatici (che, ovviamente, possono contenere dati personali). Più precisamente, secondo la Suprema Corte, «i dati informatici (files) sono qualificabili cose mobili ai sensi della legge penale e, pertanto, costituisce condotta di appropriazione indebita la sottrazione da un personal computer aziendale, affidato per motivi di lavoro, dei dati informatici ivi collocati, provvedendo successivamente alla cancellazione dei medesimi dati e alla restituzione del computer formattato». Il caso in questione ha visto come imputato un ex dipendente di una società che aveva prelevato dei files dal notebook aziendale per poi riconsegnarlo con l’hard disk formattato. Ebbene, in questa vicenda, è stato attribuito al dato informatico un indiscusso valore patrimoniale perché «il file rappresenta una cosa mobile, definibile quanto alla sua struttura, alla possibilità di misurarne l'estensione e la capacità di contenere dati, suscettibile di essere trasferito da un luogo ad un altro, anche senza l'intervento di strutture fisiche direttamente apprensibili dall'uomo». In altri termini, va ribadito anche in questo contesto che la tutela del dato personale si può articolare su tre “piani” e cioè, in sintesi, su quello civile, su quello amministrativo e quello penale (c.d. tutela multi-livello). ↑
.
E non ogni informazione sulle persone porta con sé tale concetto giuridico di dato. Si può dire che solo le informazioni in grado di identificare uno o più individui sono «dati personali» ai sensi della normativa.
Se, ad esempio, l'informazione ottenuta o trattata fosse “molti uomini tedeschi residenti Berlino bevono birra”, non saremmo in presenza di un dato personale; ma se l'informazione fosse “i due gestori maschi della locanda Berlinese di via Schiuma 3, sono bevitore di birra”, invece lo saremo, perché i due uomini vengono in tal modo resi identificabili.
Il legislatore europeo
E ciò sulla scorta di alcune pronunce della Corte di Giustizia UE e degli studi compiuti dal Gruppo di Lavoro ex art. 29, di cui alla abrogata Dir. 95/46-CE (quale autorità indipendente composta da un rappresentante designato da ciascuna Autorità Garante degli Stati Membri e dal Garante Europeo della protezione dati [GEPD] e dal rappresentante della Commissione Europea.). Gruppo che, in base all'art. 68 del Reg. UE n. 679/2016, è stato oggi sostituito dal Comitato europeo per la protezione dei dati. ↑
ha, per quanto possibile, specificato la definizione di dato personale (cfr. art. 4) poiché è la sua presenza a rendere applicabile la normativa.
E ciò detto anche se il dato in sé rimane un bene giuridico di secondo grado che può essere costituito da qualsiasi informazione quale un codice fiscale, un'immagine, la targa di un automezzo, un numero, la voce di una persona, un'impronta digitale, una fotografia, il traffico telefonico di un qualsiasi individuo fisico identificato, o reso identificabile senza uno sforzo eccessivo e sproporzionato.
Perciò sono dati anche gli elementi riferibili ad una persona che, per mezzo di altre informazioni, può essere individuata o resa distinguibile all'interno di un gruppo o di una categoria di individui: ad es. “il cuoco stellato di Varese”; “il quindicenne di Via Cadore 12/B che possiede un cavallo bianco”
Se l'identificazione richiede l'acquisizione di ulteriori elementi per cui occorrono tempi e costi sproporzionati non sussiste identificazione e/o identificabilità. Ma bisogna ricordare che non occorre raggiungere un elevato livello di identificazione perché il dato sia soggetto a tutela. ↑
; “il giovane dalle fattezze orientali, ripreso dalla telecamera di sicurezza nel giardino di “Villa Alberata a Milano, poi scappato a bordo di una moto gialla targata BO-ND-007”; “la Ford GT rossa dai vetri oscurati, con iniziali di targa MI-999...”.
In sintesi, si può quindi affermare che:
Il dato personale è un concetto tecnico-giuridico e dinamico in evoluzione.
Non ogni informazione sulle persone contiene dati personali delle stesse.
Non occorre una identificazione completa o fisica della persona per avere a che fare con un dato personale.
L'incrocio, o l'associazione di informazioni, anche se detenute da più soggetti, rende comunque personali quei dati che permettono l'identificazione del soggetto a cui gli stessi si riferiscono.
Le tendenze sociali, economiche, professionali di un individuo possono costituire (o rendere tali i) dati personali.
Esistono categorie particolari di dati
In base all'art. 4 del GDPR tra i dati afferenti alle categorie particolari vi sono anche i dati genetici: relativi alle caratteristiche genetiche ereditarie o acquisite di una persona fisica che forniscono informazioni univoche sulla fisiologia o sulla salute di detta persona fisica, e che risultano in particolare dall'analisi di un campione biologico della persona fisica in questione (C34); i dati biometrici: ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l'identificazione univoca, quali l'immagine facciale o i dati dattiloscopici (C51); i dati relativi alla salute: attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria relativi allo stato di salute (C35). ↑
soggette a protezione “speciale” durante il loro trattamento.
Insomma, il dato è «qualsiasi informazione riguardante una persona fisicaidentificata o identificabile» che, appunto, si definisce «interessato»:
informazione +
identificazione +
persona fisica =
DATO personale
E bisogna fare attenzione perché, oltretutto, «si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica,fisiologica, genetica, psichica, economica, culturale o sociale»
Cfr. i considerando C26, C27, C30. ↑
(cfr. art. 4 e C26, C27, C30 del GDPR).
Peraltro, il GDPR (C30) estende ancora di più tale nozione pure nel valutare che, difatti, «le persone fisiche possono essere associate a identificativi online prodotti dai dispositivi, dalle applicazioni, dagli strumenti e dai protocolli utilizzati, quali gli indirizzi IP
Gli indirizzi IP sono stati qualificati dati personali dalla Corte di Giustizia dell'Unione Europea nella sentenza Patrick Breyer, causa C-582/2014. L'indirizzo IP è un'etichetta numerica che identifica univocamente un dispositivo detto host collegato a una rete informatica che utilizza internet come protocollo di rete. ↑
, a marcatori temporanei (cookies) o a identificativi di altro tipo, come i tag di identificazione a radiofrequenza. Tali identificativi possono lasciare tracce che, in particolare se combinate con identificativi univoci e altre informazioni ricevute dai server, possono essere utilizzate per creareprofili delle persone fisiche e identificarle»
L'art. 4 del GDPR preannuncia, indicandole, le categorie particolari di dati: quali i dati genetici, biomedici e relativi alla salute. Compare il concetto di «pseudonimizzazione» quale necessaria procedura di trattamento dei dati che, di fatto, impedisce di attribuirli «ad un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile» (cfr. C26, C28, C29). ↑
.
Ciò, in pratica, significa che la normativa dà rilevanza anche alle tracce lasciate ad esempio in rete da un computer nel mentre un individuo naviga in internet aprendo le pagine dei vari siti web: tracce
Quando da un dispositivo (computer, tablet, telefonino) si accede ad una c.d. pagina web si lascia una traccia dell'accesso effettuato che consente di identificare l'indirizzo IP del terminale, orario e tempo di frequenza della pagina, il browser usato dall'utente navigante, il tipo di terminale utilizzato per l'accesso ed il sistema operativo che lo stesso ha. Tali tracce si possono raccogliere mediante i c.d. cookies. ↑
che, appunto, sono oggi considerate dato personale.
