2/10 Quali dati personali riguarda e come vengono distinti?

Quando si affronta il tema dei dati personali viene alla mente la raffigurazione di una piramide ad ampia base, che racchiude tutte le ipotesi che consentono di qualificare un’informazione, come personale, ai fini dell’applicabilità della normativa data protection. Le parti alte della figura sono occupate da quelle categorie speciali di dati a più alto tasso di sensibilità riguardo ai diritti ed alle libertà degli interessati e, conseguentemente, a più elevato rischio; in Italia, siamo abituati a indicarle come dati sensibili o giudiziari.

Da ultimo, il vertice della figura è occupato dall’informazione più intima tra tutte: un multi-dato spesso ignoto allo stesso interessato, quello genetico.

La scala dei valori sul dato personale viene ribadita nel Gdpr, con poche novità. A beneficio di altri contesti nazionali, dove il dibattito sulla qualificazione dell’informazione come dato personale era stato più incerto, diversamente che da noi, il legislatore comunitario rende inequivoca l’attrazione nella cerchia di dato personale di qualsiasi identificativo - incluso lo pseudonimo - che sia in grado di individuare, anche in via indiretta, l’interessato.

Rimangono fuori dall’ambito solo i dati anonimi, cioè quelli non riconducibili in alcun modo ad un individuo determinato, insieme a quelli per i quali il processo di re-identificazione possa considerarsi ragionevolmente improbabile a causa della necessità di avvalersi per lo scopo di mezzi eccessivi, prendendo in considerazione l’insieme dei fattori obiettivi, tra cui i costi, il tempo necessario per l’identificazione e le tecnologie disponibili al momento.

Per i dati sensibili e giudiziari sono previste maggiori salvaguardie e garanzie volte a ridurre il pericolo di violazioni a danno degli interessati: maggiore è l’obbligo di trasparenza, il consenso deve essere esplicito e non solo inequivocabile, i processi decisionali automatizzati sono di regola vietati, in presenza di tali speciali categorie di dati l’obbligo di tenuta del registro dei trattamenti permane anche per le piccole e medie imprese e, infine, se essi sono presenti su larga scala presuppongono la valutazione d’impatto (Dpia) e la designazione del Dpo.

In cima alla piramide, i dati genetici includono il campione biologico della persona fisica dalla cui analisi possono essere desunti, così come dati genetici e campioni biologici possono essere fonte di dati riguardanti lo stato di salute fisica o mentale dell’interessato. Il Gdpr, in applicazione del principio di sussidiarietà, riconosce la libertà degli Stati membri di introdurre ulteriori condizioni o limitazioni riguardo al trattamento di dati genetici, biometrici o relativi alla salute che il legislatore nostrano si appresta a precisare nel decreto di adeguamento della normativa nazionale.

© Riproduzione riservata