wp 136 – dato personale

WP 136 – DATO PERSONALE
Con il parere 4/2007 (WP 136) si è cercato di attribuire un significato univoco e uniforme al
termine "dato personale".
Si premette che la nozione in esame è stata volutamente mantenuta ampia e generica,
allo scopo di includere quante più possibili informazioni riguardanti una persona
identificabile, risultando escluse solo le fattispecie espressamente previste.
*
*
*
Ai sensi della definizione di cui alla direttiva 95/46/CE, gli elementi che caratterizzano il
dato personale sono quattro.
1. L'INFORMAZIONE.
L'espressione "qualsiasi informazione" dimostra chiaramente quanto sin qui affermato,
dovendosi intendere - relativamente alla natura dell'informazione stessa - qualsivoglia
affermazione, oggettiva o soggettiva, sia veritiera o dimostrata, che non.
Quanto al contenuto, debbono intendersi sia quelle di natura strettamente personale o
familiare (attinenti alla vita privata), sia quelle di altro genere, più attinenti la sfera
sociale, economica o lavorativa.
In merito al formato, infine, non rileva la tipologia di supporto che contiene
l'informazione. Qualsiasi forma (acustica, fotografica, numerica...), comunque registrata
(su carta, in formato elettronico, ecc...) è rilevante. I dati biometrici, poi, sono quelli che
mediante il collegamento univoco con un'informazione (impronte digitali, struttura della
retina, ecc...), consentono l'identificazione di una persona.
2. CONCERNENTE.
Deve intendersi "che riguarda" una persona; in altri termini, i dati sono relativi ad una
persona se si riferiscono all'identità/caratteristiche/comportamento della medesima,
o se tali informazioni vengono utilizzate per stabilire/influenzare il modo in cui verrà
trattata/valutata la persona stessa.
Per capire se riguardano la persona, i criteri utilizzati potranno essere quelli
consistenti nell’analizzare i dati in merito al contenuto, alla finalità (cioè, tenendo
conto delle circostanze concrete, se saranno probabilmente utilizzati per tali scopi),
ovvero al risultato (cioè il loro impiego potrebbe avere un impatto sui diritti della
persona).
3. UNA PERSONA FISICA.
Salve specifiche ipotesi normativamente previste, la disciplina comunitaria, così come
nazionale, si estende alle sole persone fisiche viventi; quanto alle persone
giuridiche, o ai defunti, dovrà valutarsi se le relative informazioni possano far
riferimento anche a persone fisiche viventi (v. e-mail della società contenente i dati del
dipendente).
4. IDENTIFICATA O IDENTIFICABILE.
Distinta da tutte le altre, cioè che sia individuabile tramite informazioni che hanno un
rapporto stretto con la persona interessata (perciò detti elementi "identificatori");
trattasi, pertanto, di fattori relativi a specifiche caratteristiche della sua identità (fisica,
fisiologica, psichica, economica, culturale o sociale), da valutare in base al contesto
della situazione (onde determinare se l'elemento è in grado di identificare una specifica
persona) qualora non si tratti di caratteristiche talmente uniche da permettere
un'identificazione univoca immediata.
Per determinare l'identificabilità di una persona bisogna tener conto di tutti i mezzi che
possono essere ragionevolmente utilizzati dal Responsabile per individuarla, sulla
base delle finalità del trattamento, delle modalità con cui viene effettuato, del vantaggio
atteso o degli interessi, del rischio di disfunzioni tecnico-organizzative: se questa
possibilità non esiste (ad es. dato anonimo) o è trascurabile le informazioni non
potranno essere considerate come "dati personali". Se, inoltre, l'identificazione non
rientra nelle finalità del trattamento dovrà valutarsi il livello delle misure tecniche per
prevenire l'identificazione (nel caso di attribuzione di pseudonimi, codici, o chiavi, volti a
mascherare l'identità, dovrà valutarsi se sia possibile la re-identificazione, o se tramite un
processo unidirezionale non sia più possibile risalire all'identità della persona associata al
codice/chiave).