Comments
Description
Transcript
wp 136 – dato personale
WP 136 – DATO PERSONALE Con il parere 4/2007 (WP 136) si è cercato di attribuire un significato univoco e uniforme al termine "dato personale". Si premette che la nozione in esame è stata volutamente mantenuta ampia e generica, allo scopo di includere quante più possibili informazioni riguardanti una persona identificabile, risultando escluse solo le fattispecie espressamente previste. * * * Ai sensi della definizione di cui alla direttiva 95/46/CE, gli elementi che caratterizzano il dato personale sono quattro. 1. L'INFORMAZIONE. L'espressione "qualsiasi informazione" dimostra chiaramente quanto sin qui affermato, dovendosi intendere - relativamente alla natura dell'informazione stessa - qualsivoglia affermazione, oggettiva o soggettiva, sia veritiera o dimostrata, che non. Quanto al contenuto, debbono intendersi sia quelle di natura strettamente personale o familiare (attinenti alla vita privata), sia quelle di altro genere, più attinenti la sfera sociale, economica o lavorativa. In merito al formato, infine, non rileva la tipologia di supporto che contiene l'informazione. Qualsiasi forma (acustica, fotografica, numerica...), comunque registrata (su carta, in formato elettronico, ecc...) è rilevante. I dati biometrici, poi, sono quelli che mediante il collegamento univoco con un'informazione (impronte digitali, struttura della retina, ecc...), consentono l'identificazione di una persona. 2. CONCERNENTE. Deve intendersi "che riguarda" una persona; in altri termini, i dati sono relativi ad una persona se si riferiscono all'identità/caratteristiche/comportamento della medesima, o se tali informazioni vengono utilizzate per stabilire/influenzare il modo in cui verrà trattata/valutata la persona stessa. Per capire se riguardano la persona, i criteri utilizzati potranno essere quelli consistenti nell’analizzare i dati in merito al contenuto, alla finalità (cioè, tenendo conto delle circostanze concrete, se saranno probabilmente utilizzati per tali scopi), ovvero al risultato (cioè il loro impiego potrebbe avere un impatto sui diritti della persona). 3. UNA PERSONA FISICA. Salve specifiche ipotesi normativamente previste, la disciplina comunitaria, così come nazionale, si estende alle sole persone fisiche viventi; quanto alle persone giuridiche, o ai defunti, dovrà valutarsi se le relative informazioni possano far riferimento anche a persone fisiche viventi (v. e-mail della società contenente i dati del dipendente). 4. IDENTIFICATA O IDENTIFICABILE. Distinta da tutte le altre, cioè che sia individuabile tramite informazioni che hanno un rapporto stretto con la persona interessata (perciò detti elementi "identificatori"); trattasi, pertanto, di fattori relativi a specifiche caratteristiche della sua identità (fisica, fisiologica, psichica, economica, culturale o sociale), da valutare in base al contesto della situazione (onde determinare se l'elemento è in grado di identificare una specifica persona) qualora non si tratti di caratteristiche talmente uniche da permettere un'identificazione univoca immediata. Per determinare l'identificabilità di una persona bisogna tener conto di tutti i mezzi che possono essere ragionevolmente utilizzati dal Responsabile per individuarla, sulla base delle finalità del trattamento, delle modalità con cui viene effettuato, del vantaggio atteso o degli interessi, del rischio di disfunzioni tecnico-organizzative: se questa possibilità non esiste (ad es. dato anonimo) o è trascurabile le informazioni non potranno essere considerate come "dati personali". Se, inoltre, l'identificazione non rientra nelle finalità del trattamento dovrà valutarsi il livello delle misure tecniche per prevenire l'identificazione (nel caso di attribuzione di pseudonimi, codici, o chiavi, volti a mascherare l'identità, dovrà valutarsi se sia possibile la re-identificazione, o se tramite un processo unidirezionale non sia più possibile risalire all'identità della persona associata al codice/chiave).