Privacy, sotto tutela tutti i dati che consentono l’identificazione

Il decreto di adeguamento al regolamento Gdpr (Dlgs 101/2018) recepisce in toto la nozione di «dato personale» in continuità con la precedente legislazione Ue.

Pertanto, sono da ritenersi attuali le elaborazioni concettuali e le applicazioni maturate prima del Dlgs 101/2018 e del Gdpr, con riguardo all’opinione n. 4/2007 del «Gruppo di lavoro ex art. 29».

L’articolo 4, n. 1, del Gdpr definisce il dato personale come «qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”)». L’identificazione/identificabilità dell’interessato è un requisito essenziale: non basta l’astratto collegamento del dato con una persona, ma occorre che quest’ultima sia singolarmente identificata o almeno possa esserlo; altrimenti, l’informazione rimane anonima e, quindi, estranea alle tutele del Regolamento. Malgrado l’apparente chiarezza della norma, nella pratica quotidiana ci si interroga su cosa vada realmente considerato «dato personale» in un determinato contesto.

Per consolidata impostazione, non occorre arrivare a conoscere il nome della persona, ma è sufficiente che questa venga distinta dagli altri membri di un gruppo. Ne deriva l’equipollenza, quanto alla nozione di dato personale, tra nome anagrafico e qualsiasi altro elemento informativo o complesso di elementi informativi – anche se detenuti da titolari diversi – ugualmente dotati di attitudine distintiva (immagini, suoni, codice identificativo, descrizione, «l’uomo vestito di nero al semaforo»).