Gli identificativi on line sono parte della nuova nozione di “dato personale” contenuta nel Regolamento generale sulla protezione dei dati
Francesco Modafferi
Il nuovo Regolamento generale sulla protezione dei dati (Regolamento (UE) 2016/679, d’ora in poi Regolamento) disciplina sia la protezione delle persone fisiche riguardo al trattamento dei dati personali, sia la libera circolazione, tra gli stati membri, di tali dati (art. 1 del Regolamento) definendo un livello equivalente di protezione dei dati in tutti gli Stati dell’Unione. Sono quindi esclusi dal suo campo di applicazione i dati relativi alle persone giuridiche.
La nozione di “dato personale” riportata nel Regolamento (art. 4, par. 1, lett. a) è sostanzialmente in linea con quella contenuta nella direttiva 95/46/CE, seppure con qualche “aggiornamento”. Per dato personale deve infatti intendersi «qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”)». Come chiarito nel parere del Gruppo articolo 29 sul concetto di “dato personale” (sostanzialmente ancora attuale) «l’espressione “qualsiasi informazione” manifesta chiaramente la volontà del legislatore di definire un ampio concetto di dati personali». La formulazione richiede un’ampia interpretazione. Dal punto di vista della natura dell’informazione, il concetto di dati personali comprende qualsiasi tipo di affermazione su una persona; può quindi includere informazioni “oggettive” come la presenza di una data sostanza nel sangue di una persona, ma anche informazioni “soggettive” come opinioni o valutazioni.
Sempre dalla definizione contenuta nel Regolamento si rileva che «si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale». Rispetto alla direttiva, l’elenco degli identificativi si arricchisce con l’indicazione: dei “dati relativi all’ubicazione” e degli “identificativi online”.
Si tratta di un aggiornamento legato allo sviluppo della dimensione tecnologica dei trattamenti dei dati che sempre più frequentemente avvengono attraverso l’interazione con dispositivi elettronici in internet.
La definizione di “dati relativi all’ubicazione” la troviamo nell’art. 2 della Direttiva 2002/58/CE, ovvero «ogni dato trattato in una rete di comunicazione elettronica che indichi la posizione geografica dell’apparecchiatura terminale dell’utente di un servizio di comunicazione elettronica accessibile al pubblico». Per quanto invece riguarda gli “identificativi online” occorre rifarsi al considerando n. 30 dello stesso Regolamento, ove si evidenzia che le persone fisiche possono essere associate «a identificativi online prodotti dai dispositivi, dalle applicazioni, dagli strumenti e dai protocolli utilizzati, quali gli indirizzi IP, a marcatori temporanei (cookies) o a identificativi di altro tipo, come i tag di identificazione a radiofrequenza». Il considerando specifica che tali identificativi «possono lasciare tracce che, in particolare se combinate con identificativi univoci e altre informazioni ricevute dai server, possono essere utilizzate per creare profili delle persone fisiche e identificarle».
Il completamento della definizione di dato personale con l’inclusione di queste due specificazioni ha quindi un rilievo molto maggiore di quanto possa apparire a prima vista in quanto “certifica”, già a livello normativo, la rilevanza, sotto il profilo del trattamento dei dati personali, di elementi che precostituiscono le condizioni, nella dimensione digitale, per trattamenti potenzialmente molto rischiosi per i diritti e le libertà degli interessati rendendo possibile, come mai in precedenza, la profilazione delle abitudini, delle scelte di consumo, delle preferenze, dei gusti e delle opinioni su larga scala.
Le disposizioni del Regolamento si applicano non solo al trattamento dei dati personali automatizzato ma anche a quello manuale; in quest’ultimo caso però, solo se i dati siano contenuti, o destinati a figurare, in un archivio (art. 2, par. 1 del Regolamento).
Il Regolamento non si applica invece (art. 2, par 2) ai trattamenti di dati personali effettuati:
- per attività che non rientrano nell’ambito di applicazione del diritto dell’Unione (quali ad esempio la sicurezza nazionale);
- dagli Stati membri nell’esercizio di attività relative alla politica estera e di sicurezza comune dell’Unione (titolo V, capo 2, TUE);
- da una persona fisica per l’esercizio di attività a carattere esclusivamente personale o domestico;
- dalle autorità competenti a fini di prevenzione, indagine, accertamento o perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro minacce alla sicurezza pubblica e la prevenzione delle stesse, in quanto oggetto di uno specifico atto dell’Unione.
Merita qui un approfondimento l’esclusione basata sul precedente punto c). Il presupposto è duplice: soggettivo (trattamento effettuato da una persona fisica) e finalistico (trattamento effettuato per l’esercizio di attività a carattere esclusivamente personale o domestico): i due presupposti devono concorrere.
Ci aiuta a interpretare più chiaramente la disposizione la lettura del considerando 18 che prevede che per trattamento di dati personali effettuato da una persona fisica nell’ambito di attività a carattere esclusivamente personale o domestico deve intendersi quello «senza una connessione con un’attività commerciale o professionale».
Il trattamento effettuato quindi da un professionista (persona fisica) per finalità professionali rientra pienamente nell’ambito di applicazione del Regolamento e deve quindi osservarne i principi e gli adempimenti (ad esempio l’istallazione di un sistema di videosorveglianza per finalità di sicurezza presso il proprio studio). Viceversa, il trattamento dei dati effettuato per mezzo di un sistema di videosorveglianza da parte di una persona fisica presso la propria abitazione rientra nell’esclusione, fermi restando i limiti eventualmente previsti da altre disposizioni di legge.
Il considerando specifica inoltre che «le attività a carattere personale o domestico potrebbero comprendere la corrispondenza e gli indirizzari, o l’uso dei social network e attività online intraprese nel quadro di tali attività». Di conseguenza il legislatore europeo ha sottratto all’ambito di applicazione delle regole di protezione dei dati personali anche le attività online svolte da persone fisiche per scopi esclusivamente personali, con la precisazione però che «il regolamento si applica ai titolari del trattamento o ai responsabili del trattamento che forniscono i mezzi per trattare dati personali nell’ambito di tali attività a carattere personale o domestico» (dunque ai soggetti che materialmente gestiscono le piattaforme utilizzate dalle persone fisiche). Anche in questo caso, l’inapplicabilità delle disposizioni del Regolamento non fa venir meno il dovere del rispetto delle disposizioni di legge (civile e penale) connesse, ad esempio, alla tutela del diritto d’autore, del diritto all’immagine o della reputazione.