news

Quando i dati digitali diventano personali

Quando i dati digitali diventano personali

15/11/2017
Privacy

I nuovi diritti degli interessati nel GDPR.

 

Un dato digitale è un’informazione espressa in numeri sequenziali prodotti da un computer. Per sua natura, è considerato cifrato quindi non leggibile in assenza di una chiave di decodifica. Tuttavia, l’informazione, in funzione del suo trattamento può dare origine ad un dato personale e quindi leggibile.

Dal glossario del Garante per la Protezione dei Dati Personali, il dato personale è “qualsiasi informazione che riguardi persone fisiche identificate o che possono essere identificate anche attraverso altre informazioni, ad esempio, attraverso un numero o un codice identificativo. Sono, ad esempio, dati personali: il nome e cognome o la denominazione; l’indirizzo, il codice fiscale; ma anche un’immagine, la registrazione della voce di una persona, la sua impronta digitale, i dati sanitari, i dati bancari, retributivi ecc..”.

Un dato personale è classificabile anche come:

  • Sensibile, quando: “per la sua natura, richiede particolari cautele perché possono rivelare l’origine razziale ed etnica, le convinzioni religiose o di altra natura, le opinioni politiche, l’adesione a partiti, sindacati o associazioni, lo stato di salute e la vita sessuale delle persone”.
  • Giudiziario quando rivela “l’esistenza di determinati provvedimenti giudiziari soggetti ad iscrizione nel casellario giudiziale (quali, ad, i provvedimenti penali di condanna definitivi, la liberazione condizionale, il divieto od obbligo di soggiorno, le misure alternative alla detenzione).

Rientrano in questa categoria anche la qualità di imputato o di indagato.

Trattasi, quindi, di informazioni che si riferiscono ad un individuo ovvero alla sua vita privata, professionale e pubblica. Queste possono essere di natura elettronica, cartacea o cellulare (es. il tessuto umano con il suo DNA).

 

L’art. 4, cap. 1) del Regolamento UE 2016/679, è ancora più puntuale nella definizione: il “dato personale” è qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento ad un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online oppure ad uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.

 

Il confine fra un dato digitale, più o meno anonimo ed un dato “personale” non è semplice da definire, perché spesso, viene fornito dall’utente o reso disponibile in automatico, navigando sul WEB, senza che vi sia un’effettiva associazione tra il dato e l’utente, o senza che un dato minimo, ad esempio il nome utente, possa consentire profilazioni o altri utilizzi estesi.

 

Due sentenze hanno però stabilito che i dati relativi ad un soggetto acquisiscono lo status normativo di “dato personale” quando:

  • la possibilità di associare una quantità di dati idonea ad identificare un soggetto non richiede uno sforzo eccessivo e sproporzionato, giustificato dal concreto interesse all’identificazione stessa (Corte di cassazione, sezione III civile, sentenza n. 20615 del 22 dicembre 2015, depositata il 13 ottobre 2016);
  • il titolare del trattamento ha la possibilità giuridica di associare a dati dei quali è in possesso, quelli detenuti da altri soggetti (Corte di giustizia europea, decisione C-582/14 del 19 ottobre 2016).

 

Il concetto di identificabilità del dato è dunque relativo e deve essere ponderato in funzione dell’interesse dei singoli.

Pertanto, l’aggregazione di più dati riferiti ad una persona possono renderla identificabile, in particolare in un ambiente digitale.

 

Per esempio, l’IP (Internet Protocol) è un numero che identifica in modo univoco un dispositivo che si collega alla Rete. Es. PC, Tablet, Smartphone. Questo, è considerato un dato personale quando, chi lo tratta, ha la possibilità giuridica (in presenza di un contratto stipulato con il provider) di accedere ad informazioni aggiuntive che consentono di identificare una persona. L’associazione tra l’IP in questione con la persona fisica o con l’utenza che si collega può costituire un dato personale.

 

Il Garante per la Privacy ritiene che il numero IP sia sempre e comunque un dato personale. [doc. web n. 5408460]*

 

Quando più dati sono associati tra loro siamo in presenza di una identità.

 

L’identità può essere:

  • Personale, quando raggruppa più requisiti di una persona. Essa è autocostruita e proviene da un processo di identificazione con i modelli proposti dalla collettività in cui questa vive.
  • Digitale, questa è la rappresentazione di una persona che ha di sé in un ambiente di social network.

 

L’identità digitale può essere:

  • Progettata, ovvero creata dalla stessa persona ma non necessariamente corrispondente alla sua identità personale.
  • Imposta, derivante dalla proiezione sulla persona di dati aggregati da terzi (Es. aziende commerciali, agenzie governative)
  • Ibrida, quando è un mix tra identità creata dal web e dalle sue relazioni sociali. In questo caso, l’identità è costituita dalle informazioni personali, rese pubbliche volontariamente e da quelle derivate da quelle presenti nel web.

 

Il profilo digitale, può essere un’identità imposta. Esso è costruito automaticamente, basato su dati, correlazioni algoritmiche anche di tipo predittivo e riferiti ad una persona che non ha mai fornito dati per quello scopo.

Solitamente, ogni persona ha il controllo sulla rappresentazione pubblica della propria ‘identità personale‘, ma può non averlo sulla “identità digitale‘, perché, questa, spesso viene imposta automaticamente.

Il nuovo Regolamento Generale per la Protezione dei dati Personali ha lo scopo di proteggere i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali (Art. 1 comma 1).

 

 

 

Luigi Rendina

Consulente d’Impresa Socio Federprivacy

Comments are closed.