I dati personali vengono definiti dal GDPR come qualsiasi informazione riguardante una persona fisica identificata o identificabile. Tale “persona fisica” è a sua volta definita come interessato.
Non esiste un catalogo preciso di quale informazione debba considerarsi o meno dato personale, poiché tutto dipende dall’identificabilità di una persona fisica tramite l’informazione esaminata, eventualmente anche combinandola con altre informazioni.
Il GDPR offre solamente alcuni esempi di quale informazione possa considerarsi “dato personale”. Queste ultime sono il nome, il cognome, un numero di identificazione (è il caso della partita IVA o dell’IBAN), dati di ubicazione (si pensi alle coordinate di geolocalizzazione) e dati sull’identità fisica, biologica, psichica, economica, culturale e sociale (un esempio per tutti può essere quello delle impronte digitali o del DNA).
Come specifica la pagina informativa della Commissione Europea, un’informazione deve essere considerata un dato personale anche se è deidentificata, ovverosia se è stata cifrata o pseudonomizzata. Un esempio di informazione pseudonomizzata può essere quello dell’attribuzione di un codice in sostituzione del nominativo per la partecipazione ad un concorso pubblico. Il codice è un’informazione diversa dal nome del candidato, che non lo identifica direttamente, ma resta comunque un dato personale poiché può essere utilizzato per identificare indirettamente una persona precisa. Altro esempio più comune di dato pseudonimizzato è la targa della macchina.
Non rientrano invece nella definizione di dati personali i dati resi anonimi, poiché queste informazioni non permettono di identificare (nemmeno indirettamente) l’interessato. Anche in questo caso, non esiste un catalogo dei dati anonimi o delle tecniche di anonimizzazione che garantiscano con certezza che il dato è stato reso anonimo. Sarà necessario effettuare una valutazione casistica, che tenga conto delle circostanze specifiche del trattamento considerato. Ad esempio, possono essere considerati anonimi i dati contenuti in questionari non nominativi compilati da 50 persone mentre non potranno essere considerati tali i dati riportati nella stessa tipologia di questionario se viene somministrato solo a due persone. Nel primo caso, l’attribuzione del dato agli interessati dovrebbe essere impossibile mentre nel secondo caso questo rischio ha una probabilità molto più alta.
I dati sono considerati personali solo se si riferiscono a persone fisiche. Di conseguenza, non possono considerarsi dati personali tutte le informazioni che si riferiscono solamente a persone giuridiche (ad esempio società) ma, anche per questo aspetto, bisogna considerare tutti gli aspetti circostanziali. Ad esempio, alcune autorità garanti europee hanno sottolineato come la ditta individuale di una società di persone, pur essendo un’informazione che contraddistingue una persona giuridica, debba essere considerata un dato personale in quanto contenente l’identificativo (nome e cognome) di uno o più soci.
I dati non sono definibili come “dati personali” se si riferiscono ad una persona defunta. Ciononostante, il GDPR ha lasciato agli Stati membri la possibilità di adottare delle disposizioni nazionali che regolino la materia dei dati relativi ai defunti. Il legislatore italiano è quindi intervenuto introducendo un apposito articolo nel Nuovo Codice Privacy, il quale riconosce la possibilità di esercitare i diritti privacy riferiti ai dati personali di quest’ultimo a chi (i) abbia un interesse proprio, (ii) agisca a tutela del defunto come mandatario, o (iii) vanti ragioni familiari meritevoli di protezione. Un esempio per tutti può essere quello del figlio che esercita il diritto all’oblio su un articolo web relativo al padre o chiunque eserciti un’istanza di accesso sui dati sanitari di un paziente. Quest’ultimo è un caso sul quale ha emesso un parere il Garante nel 2019.
Come ricorda la pagina informativa del Garante, sono dati personali anche tutti quei dati che si riferiscono alle comunicazioni elettroniche. È il caso dei cookies, degli indirizzi IP, dei dati di traffico e localizzazione dei dispositivi ecc. Questi dati personali non devono tenere conto solo della disciplina prevista dal GDPR ma anche da quella dettata dalla direttiva e-privacy (2002/58/CE).
Di seguito, indichiamo gli articoli correlati. Art. 4 GDPR - Definizioni; Art. 2-terdecies D.lgs. 81/18 - Diritti riguardanti le persone decedute
