Abstract Ducato

Dal tramonto all’alba: la crisi della definizione di dato personale nella nuova
dimensione tecnologica. Riflessioni civilistiche in chiave comparata
Rossana Ducato
Dottore di ricerca in diritto privato comparato
Università degli Studi di Trento
Sessione tematica: Definizioni giuridiche e concetti tecnico-scientifici / (In)definizioni
Abstract: La direttiva 95/46/CE ha esplicitato in maniera paradigmatica, già nel suo titolo,
l’equilibrio che tutte le normative in materia di privacy hanno sempre ricercato, ovverosia il
bilanciamento tra la protezione dei dati personali e la libera circolazione degli stessi [Bygrave,
2014]. Il baricentro di tale equilibrio è stato ipostatizzato nella definizione di dato personale, con
una conseguenza giuridica molto semplice: la disciplina in materia di protezione dei dati personali
si applica esclusivamente a quelle informazioni qualificabili come dato personale e non anche a
quelle che tali non possano ritenersi (perché anonime o anonimizzate).
Che la disciplina in materia di protezione dei dati personali si applichi solo a dati personali, è
un’affermazione che, per un verso, rasenta l’endiadi e, per altro, si pone al limite della tautologia.
La questione, tuttavia, smette di porsi come triviale considerando l’incalzare di alcuni progressi
tecnologici che hanno messo in crisi la definizione stessa di dato personale e che hanno reso più
incerti i confini tra quest'ultimo e il "dato anonimo": lo sviluppo della scienza della reidentificazione, il fenomeno dei Big Data e la tendenza a condividere spontaneamente sempre più
informazioni personali in Rete hanno ampliato le possibilità di ricollegare tracce disseminate nel
contesto online a persone concrete. Alcuni casi recenti - come lo scandalo di Netflix o di America
Online [Barocas, Nissenbaum, 2014] o, ancora, le scoperte del bio-hacker Yaniv Erlich [Gymrek,
2013] - hanno disvelato le "broken promises" [Ohm, 2010] della privacy nell'era digitale,
dimostrando come sia possibile risalire all'identità di una persona attraverso l'estrazione (data
mining) e l'aggregazione di dati non identificativi.
Tale possibilità rischia di avere un impatto dirompente sulle normative privacy e, in questo
frangente, il dato comparatistico risulta particolarmente significativo per comprendere la
magnitudo di tale cambiamento. Prendendo in considerazione i due modelli di riferimento in
materia, si può osservare che: se qualsiasi dato è potenzialmente riferibile a una persona, allora il
sistema europeo di tutela dei dati personali finisce per espandersi al punto da ricomprendere la
più infinitesimale stringa di bit; mentre la definizione di personally identifiable information del
sistema statunitense (equivalente funzionale dell'europeo "dato personale"), assoggettata ad una
rigida catalogazione e ad una legislazione settoriale ed estremamente frammentata, rischia di
rimanere priva di significato.
Alla luce di tali considerazioni, alcuni autori hanno sostenuto l'obsolescenza della definizione di
dato personale/personally identifiable information [Gratton, 2012; Schwartz, Solove, 2014], fino
ad affermare la necessità di rinunciare alla medesima, in favore di un sistema di tutela calibrato su
una matrice di "rischio del danno" [Ohm, 2010].
L'obiettivo del presente paper è duplice: in primo luogo, s'intende analizzare in prospettiva
comparata come e fino a che punto la tecnologia sta incidendo sulla validità della definizione di
dato personale e come ciò impatta sull'ordito normativo della privacy. In questo senso, si
indagheranno le risposte fornite nei due ordinamenti giuridici considerati (Unione Europea e Stati
Uniti), non solo con riferimento al formante dottrinale, ma anche alle regole di soft law e alle linee
guida elaborate da agenzie specializzate e gruppi di esperti.
In seconda battuta, si affronteranno in chiave critica le proposte de iure condendo avanzate in
letteratura circa la preferibilità di una (in)definizione di dato personale. Si cercherà di mettere in
evidenza luci e ombre di tali elaborazioni teoriche, che rischiano di scardinare uno dei pilastri
attorno cui è stata eretta la disciplina in materia di protezione dei dati personali.