Cos’è un Dato Personale?
Il concetto di dato personale si è evoluto nel tempo.
La definizione presente del Codice in materia di protezione dei dati personali entrato vigore nel 1996 stabiliva infatti che si considerava “dato personale” “qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale” (ad esempio nome e cognome della persona, l’indirizzo o i numeri di telefono o di cellulare, codice fiscale e partita IVA)
Il GDPR – Regolamento generale sulla protezione dei dati all’art. 4 ci consegna una definizione di dato personale più ampia e nello stesso tempo esclude dal concetto di dato personale i dati riferibili alle persone giuridiche agli enti od associazione restringendo il campo ai dati riferibili alle solo persone fisiche.
Art. 4 GDPR:
Dato personale: qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.
Il Garante nel suo sito istituzionale ci dice che sono da considerarsi dati personali le informazioni che identificano o rendono identificabile, direttamente o indirettamente, una persona fisica e che possono fornire informazioni sulle sue caratteristiche, le sue abitudini, il suo stile di vita, le sue relazioni personali, il suo stato di salute, la sua situazione economica, ecc.
Sono quindi dati personali i dati che permettono l’identificazione diretta di una persona – come i dati anagrafici (ad esempio: nome e cognome), le immagini, ecc. – e i dati che permettono l’identificazione indiretta, come un numero di identificazione (ad esempio, il codice fiscale, l’indirizzo IP, il numero di targa).
Il GDPR indica due specifiche categorie di dati personali che godono di una speciale protezione:
- si tratta dei dati c.d. “particolari”, tali sono quelli che rivelano l’origine razziale od etnica, le convinzioni religiose, filosofiche, le opinioni politiche, l’appartenenza sindacale, relativi alla salute o alla vita sessuale. Il Regolamento (UE) 2016/679 (articolo 9) ha incluso nella nozione anche i dati genetici, i dati biometrici e quelli relativi all’orientamento sessuale, in pratica sono i “vecchi” dati sensibili, così definiti nel vecchio Codice della Privacy, arricchiti dai dati genetici e quelli biometrici.
Il trattamento di tali dati è consentito solo a determinate condizioni.
Vediamo il significato di queste ultime due tipologie di dato personale:
- Dati genetici: sono i dati personali relativi alle caratteristiche genetiche ereditarie o acquisite di una persona fisica che forniscono informazioni univoche sulla fisiologia o sulla salute di detta persona fisica, e che risultano in particolare dall’analisi di un campione biologico della persona in questione”;
- Dati Biometrici: sono dati che riguardano caratteristiche fisiche, fisiologiche o comportamentali di un individuo, ad esempio, l’impronta digitale usata per sbloccare gli smartphone, ma anche la conformazione fisica della mano, del volto, dell’iride o della retina, il timbro e la tonalità della voce. In genere la raccolta di questi dati si ha tramite componenti hardware e software che acquisiscono i dati e li analizzano confrontandoli con dati già acquisiti e conservati (in genere direttamente sullo smartphone e non condivisi con il produttore). In tal modo è possibile identificare la persona interessata.
- Dati “giudiziari” relativi a condanne penali e reati: vi rientrato quelli che possono rivelare l’esistenza di determinati provvedimenti giudiziari soggetti ad iscrizione nel casellario giudiziale (ad esempio, i provvedimenti penali di condanna definitivi, la liberazione condizionale, il divieto od obbligo di soggiorno, le misure alternative alla detenzione) o la qualità di imputato o di indagato. Il Regolamento (UE) 2016/679 (articolo 10) ricomprende in tale nozione i dati relativi alle condanne penali e ai reati o a connesse misure di sicurezza.
Il trattamento di tali dati personali deve avvenire soltanto sotto il controllo dell’autorità pubblica o se il trattamento è autorizzato dal diritto dell’Unione o degli Stati membri che preveda garanzie appropriate per i diritti e le libertà degli interessati.
Ma attenzione, non sempre tali dati rientrano nella definizione e quindi non sono soggetti alle norme di protezioni previste dal GDPR, non lo sono i dati personali trattati per scopi esclusivamente personali e domestici e non per finalità commerciali o professionali (non tratto dati personali quando annoto nella mia agenda telefonica il nome il cognome ed il numero di telefono di un amico).
Alcuni esempi di dato personale
Il nome e cognome, l’indirizzo di casa, l’indirizzo e-mail [email protected] (non è considerato dato personale un indirizzo e-mail, come [email protected]), il numero della carta d’identità, i dati sulla posizione (ad es. la funzione di posizionamento su un telefono cellulare), un indirizzo IP, un ID cookie, l’identificativo pubblicitario del proprio telefono, i dati genetici e/o medici e sullo stato di salute conservati in un ospedale o da un medico, le informazioni giudiziarie e sulla comunicazione elettronica.
Per ulteriori approfondimenti
https://www.garanteprivacy.it/home/diritti/cosa-intendiamo-per-dati-personali
Fonte “Garante Privacy”
Condividi