x

x

Trattamento dati personali

di Stefania Calvello

 

Già nella Direttiva 95/46/CE “relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati” – adottata allo scopo di conseguire l’obiettivo dell’armonizzazione delle normative nazionali allora già esistenti in materia di protezione dei dati personali e di garantire un livello di protezione elevato in ambito comunitario - la definizione di “trattamento di dati personali” era stata formulata in maniera ampia, facendo riferimento a “qualsiasi operazione o insieme di operazioni compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali, come la raccolta, la registrazione, l’organizzazione, la conservazione, l’elaborazione o la modifica, l’estrazione, la consultazione, l’impiego, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, nonché il congelamento, la cancellazione o la distruzione”.

Il Regolamento (UE) 2016/679 “relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE” (“GDPR”) all’art. 4, n. 2 sostanzialmente ha replicato quella definizione, con qualche lieve variazione (si segnala, in particolare, l’aggiunta di operazioni di trattamento quali la strutturazione e la limitazione).

Va, in primo luogo, precisato che la definizione, già estesa, di “trattamento” incorpora un elenco di operazioni formulato a titolo esemplificativo ed è riferibile a “qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali”.

Questo giustifica alcuni interventi chiarificatori effettuati dalle autorità competenti in tema di data protection, in virtù dei quali è stato evidenziato che la mera raccolta, senza alcuna registrazione o conservazione, costituisce, di per sé, trattamento di dati personali (cfr. il documento del Gruppo di Lavoro art. 29  relativo all’utilizzo dei droni); analogamente, il Garante per la Protezione dei Dati Personali, nel proprio provvedimento in materia di videosorveglianza del 2010, ha considerato “trattamento di dati personali” l’attività di raccolta delle immagini, non seguita dalla registrazione.

Proprio per le implicazioni che possono derivare alle persone fisiche per effetto delle operazioni di trattamento, il GDPR prevede all’art. 5 un elenco di “principi applicabili al trattamento di dati personali”, stabilendo che (i) il trattamento sia svolto in modo lecito, corretto e trasparente, (ii) i dati siano raccolti per finalità determinate, esplicite e legittime e successivamente trattati in maniera compatibile con dette finalità, (iii) i dati siano esatti e aggiornati, (ii) i dati siano conservati per un periodo di tempo non superiore al conseguimento della finalità per cui sono trattati e (iv) sia garantita una adeguata sicurezza dei dati personali oggetto di trattamento.

Il GDPR si applica a qualsiasi modalità di trattamento, sia quello – parzialmente o interamente – automatizzato, che quello (manuale) non automatizzato di dati personali contenuti in un archivio.

Con riferimento al trattamento automatizzato di dati personali, va rilevato che tale tipologia di trattamento (posta in essere, ad esempio, facendo ricorso a strumenti automatizzati, quali tablet, personal computer etc.) è espressamente prevista nel GDPR (art. 4, n. 2 e art. 2, paragrafo 1).

Significativa, a questo riguardo, è una decisione della Corte di Giustizia del 13 maggio 2014 resa nel caso Google Spain, in cui la Corte ha statuito che le operazioni attraverso cui il gestore di un motore di ricerca raccoglie, estrae, registra e organizza successivamente nell’ambito dei suoi programmi di indicizzazione, conserva nei propri server e eventualmente comunica e mette a disposizione dei propri utenti sotto forma di elenchi dei risultati delle relative ricerche “devono essere qualificate come trattamento… senza che rilevi il fatto che il gestore del motore di ricerca applichi le medesime operazioni anche ad altri tipi di informazioni e non distingua tra queste e i dati personali”.

Per quanto concerne il trattamento manuale (non automatizzato), va considerato che anche tale tipologia di trattamento è espressamente contemplata dal GDPR: l’art. 2, paragrafo 1, quanto all’ambito di applicazione, include altresì il “trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi”. L’assoggettamento del trattamento manuale al GDPR è previsto – come si evince dal considerando 15 - per la ragione di evitare comportamenti elusivi.  

Per completezza, va evidenziato che il GDPR, in base a quanto previsto all’art. 2, paragrafo 2, lettera c) del GDPR, non si applica ai trattamenti di dati personali “effettuati da una persona fisica per l’esercizio di attività a carattere esclusivamente personale o domestico”. Tale disposizione è collegata a quanto indicato nel considerando 18, in cui è precisato che il GDPR “non si applica al trattamento di dati personali effettuato da una persona fisica nell’ambito di attività a carattere esclusivamente personale o domestico e quindi senza una connessione con un’attività commerciale o professionale. Le attività a carattere personale o domestico potrebbero comprendere la corrispondenza e gli indirizzari, o l’uso dei social network e attività online intraprese nel quadro di tali attività”.

Relativamente a tale fattispecie si segnala una recente comunicazione della Commissione per le petizioni del Parlamento Europeo, in cui, a fronte della richiesta di prevedere ulteriori restrizioni dell’ambito di applicazione del GDPR, integrando la disposizione contenuta nell’art. 2, paragrafo 2, lettera c) del GDPR con le espressioni “privato” e “non-commerciale”, è stato rilevato come già sulla base del considerando 18 risulti chiaro che un’attività a carattere esclusivamente personale o domestico “può essere esclusivamente un’attività privata, a carattere esclusivamente personale o esclusivamente domestico e, in particolare, senza alcuna connessione con un’attività commerciale o professionale”.