Il concetto di “dato personale”

Daniela Rocca – ICT Security - Febbraio 2005
Il concetto di “dato personale” nel contesto europeo
Sommario:
⎯ la definizione di dato personale
⎯ i modelli guida
La definizione di “dato personale” nella nostra normativa è tanto ampia da includere “qualunque
informazione relativa a persona fisica, persona giuridica, ente o associazione, identificati o identificabili,
anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di
identificazione personale.” Alla luce di questa definizione, sembra difficile immaginare un trattamento di
dati che non utilizzi dati personali e il Garante si è più volte espresso nel senso di ricomprendere nel
concetto di dato personale anche le informazioni in qualche modo “inoffensive”, come il titolo di studio o
i dati anagrafici.
L’ampiezza del concetto di dato personale, la cui definizione è estesa nella nostra normativa nazionale
anche alle persone giuridiche, ha fatto sì che anche in altri Paesi sia nata l’esigenza di capire cosa è un
“dato personale”.
La newsletter del Garante n. 234 del 15-21 novembre si è occupata di dare conto di uno studio che
l’Autorità Garante per la protezione dei dati personali nel Regno Unito ha commissionato all’Università
di Shieffield sul concetto di “dato personale”. Lo studio ha cercato di definire che cosa costituisca un
“dato personale” secondo un modello concettuale che abbia come substrato la prima direttiva in materia
di privacy 1995/46/EC, non solo riferendosi alla realtà inglese ma a tutti i Paesi Membri della UE.
Da questo studio è emersa la difficoltà di definire il dato personale in maniera univoca, in quanto hanno
preponderante rilevanza il contesto nel quale il dato personale è situato e le componenti intrinseche del
dato stesso. In ogni caso, è risultato che ogni dato personale è inscindibilmente connesso alla dignità
umana, è ogni informazione la cui mala utilizzazione comporta una lesione dei diritti e delle libertà
fondamentali della persona.
Alla luce di quella che è la definizione di “dato personale” nella direttiva europea – qualsiasi
informazione concernente una persona fisica identificata o identificabile – dallo studio condotto è emerso
che il concetto di dato personale cambia nelle varie legislazioni nazionali e cambia altresì all’interno di
ogni Paese, come si è compreso grazie alle risposte fornite ad un questionario in materia.
I criteri però con i quali si cerca di definire il dato personale sono univoci e riguardano: a) La capacità del
dato di identificare una persona fisica; b) La capacità del dato di avere effetti su una persona fisica; c) la
capacità del dato di identificare e avere effetti su una persona fisica.
Il contesto in cui il dato personale si situa è fondamentale per cercarne di carpirne il significato. Al fine di
evitare che l’applicazione non conforme del concetto di dato personale possa portare ad una applicazione
della direttiva 1995/46/CE non armonizzata nei vari Paesi europei, lo studio dell’Università di Shieffield
ha creato alcuni modelli teorici che possano fare da guida.
In particolare, ognuno di questi modelli teorici è incentrato sul valore preponderante di un singolo
elemento significativo.
Modello dell’identificatore univoco
Si parte da una definizione di dato personale come informazione identificativa di una persona fisica. Nel
valutare la natura di un dato si prescinde da ogni considerazione contestuale, quindi si ha una riduzione
delle categorie di dati classificabili come personali, a meno di stabilire una sorta di gerarchia sulla base
del criterio dell’identificazione univoca. Quindi, in tale gerarchia, il vertice sarebbe occupato dal DNA e
a seguire da tutti gli altri dati. In questo modello, l’impronta digitale sarebbe più vicina al concetto di dato
personale del semplice nome. Il problema di questo modello è stabilire dove tracciare il confine tra ciò
che è dato personale e ciò che non lo è, visto che si prescinde dalla significatività del contesto.
Daniela Rocca – ICT Security - Febbraio 2005
Modello degli effetti dipendenti dal contesto
Il dato personale è ogni informazione in grado di avere effetti su una persona fisica a prescindere dal
contesto di riferimento. Anche qui sembra difficile definire un elenco di dati in grado di avere effetti su
una persona, proprio perché si tratta di formulare un giudizio affidabile sugli effetti che una data
informazione può avere rispetto ad una persona fisica, a prescindere dal contesto. Una strategia di
classificazione basata su questo modello non è focalizzata sul concetto di “identificazione”e non sembra
particolarmente idonea a tenere conto dei principi comunitari.
Modello delle strategie dipendenti dal contesto
La definizione alla base del modello è che il dato personale è ogni informazione in grado di identificare o
avere effetti su una persona fisica in base al contesto di riferimento. In questo caso, il rischio è quello di
ritenere potenzialmente personali tutti i dati, essendo qualunque informazione in grado di identificare o
avere effetti su una persona in circostanza idonee. Per ovviare a tale rischio, sembrerebbe opportuno
valutare se effettivamente una certa informazione sia in grado di identificare o avere effetti in circostanza
specifiche. Meglio ancora, secondo gli autori dello studio, bisognerebbe adottare una strategia in cui si
diano indicazioni precise sul fatto che un dato possa essere considerato personale in futuro, ossia se è
probabile che si ripresentino le condizioni contestuali per le quali un dato permette di identificare e/o
avere effetti su una persona. Ciò porterebbe ad una definizione di un elenco di dati che sarebbero
classificati come personali perché sussiste una probabilità del verificarsi di condizioni contestuali
favorevoli. Questo approccio non è scevro da difficoltà, in quanto risulta necessario effettuare previsioni
di maggiore o minore probabilità del verificarsi di determinate circostanze, cosa non sempre facile.
Il giudizio degli autori dello studio è che nessuno dei tre modelli teorici è sufficiente, da solo, a garantire
un’idonea strategia di classificazione di “dato personale” e sembra invece preferibile un approccio che
tenga conto di tutti i modelli per riuscire a delimitare ciò che è dato personale da ciò che non lo è, per
capire cosa effettivamente debba sottostare alla normativa europea in materia.