Dati personali e procedimenti penali
Utilizzabilità di dati a fini di indagini di PG, di procedimenti penali nonché la comunicazione a organi di polizia dell’esito di procedimento penale.
dati personali
I dati personali vengono definiti dal GDPR come qualsiasi informazione riguardante una persona fisica identificata o identificabile. Tale “persona fisica” è a sua volta definita come interessato.
Non esiste un catalogo preciso di quale informazione debba considerarsi o meno dato personale, poiché tutto dipende dall’identificabilità di una persona fisica tramite l’informazione esaminata, eventualmente anche combinandola con altre informazioni.
Il GDPR offre solamente alcuni esempi di quale informazione possa considerarsi “dato personale”. Queste ultime sono il nome, il cognome, un numero di identificazione (è il caso della partita IVA o dell’IBAN), dati di ubicazione (si pensi alle coordinate di geolocalizzazione) e dati sull’identità fisica, biologica, psichica, economica, culturale e sociale (un esempio per tutti può essere quello delle impronte digitali o del DNA).
Come specifica la pagina informativa della Commissione Europea, un’informazione deve essere considerata un dato personale anche se è deidentificata, ovverosia se è stata cifrata o pseudonomizzata. Un esempio di informazione pseudonomizzata può essere quello dell’attribuzione di un codice in sostituzione del nominativo per la partecipazione ad un concorso pubblico. Il codice è un’informazione diversa dal nome del candidato, che non lo identifica direttamente, ma resta comunque un dato personale poiché può essere utilizzato per identificare indirettamente una persona precisa. Altro esempio più comune di dato pseudonimizzato è la targa della macchina.
Non rientrano invece nella definizione di dati personali i dati resi anonimi, poiché queste informazioni non permettono di identificare (nemmeno indirettamente) l’interessato. Anche in questo caso, non esiste un catalogo dei dati anonimi o delle tecniche di anonimizzazione che garantiscano con certezza che il dato è stato reso anonimo. Sarà necessario effettuare una valutazione casistica, che tenga conto delle circostanze specifiche del trattamento considerato. Ad esempio, possono essere considerati anonimi i dati contenuti in questionari non nominativi compilati da 50 persone mentre non potranno essere considerati tali i dati riportati nella stessa tipologia di questionario se viene somministrato solo a due persone. Nel primo caso, l’attribuzione del dato agli interessati dovrebbe essere impossibile mentre nel secondo caso questo rischio ha una probabilità molto più alta.
I dati sono considerati personali solo se si riferiscono a persone fisiche. Di conseguenza, non possono considerarsi dati personali tutte le informazioni che si riferiscono solamente a persone giuridiche (ad esempio società) ma, anche per questo aspetto, bisogna considerare tutti gli aspetti circostanziali. Ad esempio, alcune autorità garanti europee hanno sottolineato come la ditta individuale di una società di persone, pur essendo un’informazione che contraddistingue una persona giuridica, debba essere considerata un dato personale in quanto contenente l’identificativo (nome e cognome) di uno o più soci.
I dati non sono definibili come “dati personali” se si riferiscono ad una persona defunta. Ciononostante, il GDPR ha lasciato agli Stati membri la possibilità di adottare delle disposizioni nazionali che regolino la materia dei dati relativi ai defunti. Il legislatore italiano è quindi intervenuto introducendo un apposito articolo nel Nuovo Codice Privacy, il quale riconosce la possibilità di esercitare i diritti privacy riferiti ai dati personali di quest’ultimo a chi (i) abbia un interesse proprio, (ii) agisca a tutela del defunto come mandatario, o (iii) vanti ragioni familiari meritevoli di protezione. Un esempio per tutti può essere quello del figlio che esercita il diritto all’oblio su un articolo web relativo al padre o chiunque eserciti un’istanza di accesso sui dati sanitari di un paziente. Quest’ultimo è un caso sul quale ha emesso un parere il Garante nel 2019.
Come ricorda la pagina informativa del Garante, sono dati personali anche tutti quei dati che si riferiscono alle comunicazioni elettroniche. È il caso dei cookies, degli indirizzi IP, dei dati di traffico e localizzazione dei dispositivi ecc. Questi dati personali non devono tenere conto solo della disciplina prevista dal GDPR ma anche da quella dettata dalla direttiva e-privacy (2002/58/CE).
Di seguito, indichiamo gli articoli correlati. Art. 4 GDPR - Definizioni; Art. 2-terdecies D.lgs. 81/18 - Diritti riguardanti le persone decedute
Catalogo delle single: illegittima la vendita dei dati
Il Tribunale di Lecco ha condannato per trattamento illecito di dati personali il creatore di un catalogo delle single realizzato sfruttando i dati di Facebook.
Tabulati telefonici e processo penale
Si esclude la inutilizzabilità dei tabulati alla luce della natura non concretamente vincolante della sentenza della Corte di giustizia dell'UE.
I dati personali tra GDPR e regole nazionali. Meglio la convergenza?
I dati costituiscono l’unità elementare della strategia digitale: il Regolamento 2016/679 marca l’ambito ed il peso dei diritti nel loro scambio.
Green pass: è pericoloso mettere sui social il Qr-Code
Il Garante per la Protezione del Dati Personali avverte circa il pericolo che può derivare dalla diffusione sui social del QR-code.
Diritto all’oblio: come esercitare il diritto alla cancellazione dei propri dati inseriti e richiamati negli atti parlamentari
Come esercitare il diritto alla cancellazione dei propri dati inseriti e richiamati negli atti parlamentari? Un approfondimento a riguardo.
Novità privacy. WhatsApp e Apple: la privacy diventa “arma” contro Governi e app
Il report settimanale in materia di privacy: dall’Italia e dal mondo.
Novità privacy - La settimana del Cloud: tra codici di condotta e strategie nazionali nello spettro di Schrems II
Il report settimanale in materia di privacy: dall'Italia e dal mondo.
Novità privacy: Nuove sanzioni milionarie e vecchi problemi da Covid-19
Ultime sulla privacy dall'Italia e dal mondo.
BLOCKCHAIN e PUBBLICI REGISTRI
La blockchain come risoluzione alla gestione dei pubblici registri: un falso mito?
Vaccino obbligatorio e green pass: secondo il Garante per la protezione dei dati personali il Governo viola la privacy
Gravi criticità su "certificazioni verdi" e vaccini. Il Governo era tenuto (per legge) a chiedere un parere al Garante privacy.
Coded Bias: il parere negativo del Garante sull’archivio Sari per il riconoscimento facciale
Sari: parere negativo su un sistema di riconoscimento facciale. Esame delle premesse da cui si muove la vicenda.