ABC Legale: Dato Personale
Il concetto di dato personale costituisce il fulcro intorno al quale ruota l’interna struttura del Regolamento Generale sulla protezione dei dati (ossia il GDPR).
Pertanto comprenderne compiutamente il significato costituisce un’operazione essenziale ai fini di una corretta interpretazione ed applicazione normativa.
La definizione di dato personale
Secondo la definizione contenuta nell’art. 4 del GDPR si considera dato personale “qualsiasi informazione riguardante una persona fisica identificata o identificabile”.
Questa formulazione deve essere esaminata con particolare attenzione in quanto ogni termine utilizzato assume uno specifico significato che caratterizza il concetto stesso di dato personale.
Analizziamoli più da vicino.
“Qualsiasi informazione”
Il primo termine in cui ci imbattiamo è quello di qualsiasi informazione.
L’aggettivo utilizzato dal legislatore non lascia margini ad interpretazioni riduttive che limitino la sua estensione. Pertanto ai fini della qualificazione del concetto di dato personale sono irrilevanti ad esempio la natura dell’informazione, il suo contenuto, il suo formato od il supporto che viene usato.
“Riguardante”
L’altro elemento fondamentale che emerge dalla formulazione dell’articolo 4 è quello del collegamento che deve sussistere tra l’informazione ed il soggetto. L’informazione deve, infatti, riguardare una persona fisica almeno identificabile.
Laddove questo collegamento non vi fosse ab origine o si dovesse interrompere definitivamente si “uscirebbe” fuori dal concetto di dato personale e si entrerebbe rispettivamente nella definizione di dato anonimo o anonimizzato.
“Persona fisica”
Particolare rilevanza assume poi il concetto di persona fisica. Anche in questo caso la specificazione operata dal legislatore è determinante in quanto porta ad escludere dal novero dei dati personali quelle informazioni che riguardano ad esempio le persone giuridiche
“Identificazione ed identificabilità”
Infine, non meno importante è il carattere dell’’identificazione e/o l’identificabilità della persona fisica.
In termini essenziali, per poter qualificare una data informazione come dato personale è necessario (e sufficiente) che la stessa identifichi direttamente o indirettamente un soggetto.
Per fare un esempio. Una fotografia raffigurante una persona è un’informazione che consente una identificazione immediata di un soggetto. Diversamente i dati di contatto di un individuo possono permettere solo una identificazione indiretta.
Categorie di dati personali
Come si è visto la definizione di dato personale è particolarmente ampia ed omnicomprensiva.
Tuttavia all’interno di questo contenitore è possibile individuare tipologie di dati che, proprio in ragione del loro contenuto e delle loro caratteristiche, sono assoggettati ad un regime rafforzato di tutele ed obblighi.
Si pensi in questo senso alle categorie particolari di dati personali previste dall’art. 9 del GDPR e cioè ai dati che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, i dati genetici e biometrici, i dati relativi alla salute, alla vita o all’orientamento sessuale.
Roberto Scarchini