|
Focus
|
I Garanti UE approvano documento sul concetto di "dato personale"
Venerdì 27 Luglio 2007
autore: Redazione InterTraders Il volto di un cliente filmato da una telecamera di sorveglianza, il disegno di
un bambino che ritrae episodi di vita familiare in un caso di maltrattamenti, i
graffiti metropolitani "firmati" dai writers: in tutti questi casi c'è di mezzo
un dato "personale" perché, in maniera diversa, tutte le informazioni sono
riferite ad una persona fisica identificata o identificabile.
Sono solo alcuni degli esempi citati nel documento che i Garanti europei hanno
recentemente approvato a Bruxelles (WP136: Parere 4/2007 sul concetto di dato
personale, presto pubblicato sul sito https://ec.europa.eu/...htm). L'intento è
quello di chiarire meglio l'ambito della nozione di "dato personale" fornendo
alcune indicazioni concrete che possano facilitare l'applicazione delle
disposizioni della direttiva 95/46 ai trattamenti effettuati con le nuove
tecnologie (quali l'Rfid) o in contesti altamente tecnologici (e-Government,
cartelle cliniche elettroniche, ecc.).
Il punto di partenza è, naturalmente, la definizione di dato personale
contenuta nella direttiva ("qualsiasi informazione concernente una persona
fisica identificata o identificabile"), che è stata analizzata con l'ausilio di
esempi tratti dai casi affrontati nei vari Paesi UE dalle Autorità di
protezione dei dati. Quali sono i punti fermi emersi dall'analisi? Innanzitutto,
il fatto che nell'intenzione del legislatore comunitario l'ambito del concetto
di dato personale è assai ampio ("qualsiasi informazione"), pur con i
correttivi che la direttiva stessa prevede. Questa è la posizione sostenuta
anche dalla Corte europea dei diritti umani e dalla Corte europea di giustizia
ogniqualvolta hanno affrontato casi concernenti possibili violazioni del diritto
alla vita privata. Dunque, se da un lato non si deve dare un'interpretazione
eccessivamente estensiva delle norme in materia di protezione dati, dall'altro
non si devono neppure introdurre troppi limiti nell'interpretazione del concetto
di "dato personale". Qui giocano un ruolo importante le Autorità di protezione
dati: che devono essere attente a cogliere tutte le "zone d'ombra" nel
trattamento dei dati personali, ma anche effettuare un bilanciamento adeguato
dei diritti che sono in gioco caso per caso. E la direttiva offre già gli
strumenti più idonei a raggiungere questo obiettivo.
In secondo luogo, proprio l'analisi delle centinaia di esempi selezionati dalle
Autorità di protezione dati – spesso particolarmente "scottanti" o
controversi – consente di tracciare una strada interpretativa equilibrata che
garantisca i diritti delle persone. Così, partendo dagli elementi costitutivi
della definizione di dato personale contenuta nella direttiva, "qualsiasi
informazione" significa, ad esempio, che le istruzioni impartite dal cliente
alla propria banca e registrate su nastro sono un dato personale, ma lo sono
anche le immagini filmate da un impianto di videosorveglianza nella misura in
cui i singoli individui siano riconoscibili. Un dato biometrico (l'impronta
digitale) è un dato personale perché identifica una persona, ma i campioni di
tessuto (o il dito) dai quali si estraggono i dati biometrici non sono dati
personali di per sé – tuttavia, le operazioni effettuate per estrarre tali
informazioni biometriche configurano un trattamento di dati personali (e in
realtà sono state previste norme apposite per tali trattamenti).
Peraltro, un'informazione può "riguardare" una persona fisica identificata o
identificabile sotto vari aspetti: perché l'oggetto dell'informazione è
chiaramente una persona fisica (è il caso più semplice: i risultati di un
esame medico "riguardano" il paziente che si è sottoposto all'esame); oppure
perché la finalità del dato raccolto è, alla luce delle circostanze
specifiche, quella di "incidere" in qualche modo su una persona specifica (si
pensi ad un elenco delle chiamate effettuate da una postazione telefonica in un
ufficio; oppure, infine, perché l'informazione, se trattata, è suscettibile di
generare risultati specifici sui diritti e gli interessi di una determinata
persona (come nel caso del trattamento di dati di localizzazione effettuato da
una società di taxi per migliorare la qualità del servizio, che però ha
conseguenze importanti sui singoli tassisti in quanto il loro comportamento
finisce per essere monitorabile).
Quanto all' "identificabilità", questa può essere "diretta" o "indiretta",
secondo la direttiva; per capire se una persona sia "indirettamente
identificabile", occorre valutare tutte le circostanze del caso specifico:
così, notizie di stampa su un vecchio procedimento penale che aveva avuto
grande risonanza possono costituire un dato personale poiché è possibile
ricostruire l'identità della persona di cui si parla andando a consultare
vecchi numeri del giornale; informazioni apparentemente frammentarie e prive di
riferimenti diretti all'identità di una persona (il nome) costituiscono dato
personale nella misura in cui il titolare le ha raccolte con l'intento di
utilizzarle per identificare una determinata persona e possiede presumibilmente
i mezzi per ricostruire tale identità (si pensi alla videosorveglianza, il cui
scopo è esattamente quello di favorire l'eventuale identificazione di
determinati soggetti, o agli indirizzi IP raccolti per individuare presunte
violazioni del copyright, come in casi recenti relativi al fenomeno del
"peer-to-peer").
Infine, la direttiva parla di informazioni concernenti una "persona fisica":
ciò deve intendersi come una persona fisica vivente, perché la personalità
giuridica ha inizio con la nascita e termina con la morte dell'individuo.
Tuttavia, il trattamento di dati relativi a defunti può essere un trattamento
di dati personali in determinate circostanze: perché la legge nazionale lo
ammette, oppure perché esistono interessi legittimi del defunto (onore,
immagine) che continuano a necessitare tutela anche dopo la morte. E anche le
persone giuridiche possono godere della stessa tutela: la Corte europea di
giustizia ha chiarito che "nulla impedisce che uno Stato membro estenda la
portata della normativa nazionale di attuazione della direttiva 95/46 a settori
non compresi nell'ambito di applicazione di quest'ultima, purché non vi osti
alcun'altra disposizione del diritto comunitario". Così hanno fatto, ad
esempio, Italia, Austria e Lussemburgo, dove la tutela offerta dalla legge alle
persone fisiche è stata estesa anche al trattamento di dati concernenti persone
giuridiche. Il criterio-guida, come ricordato più volte dai Garanti, è la
necessità di assicurare la tutela di diritti fondamentali quali il diritto al
rispetto della vita privata, che viene affermato anche dall'articolo 8 della
Convenzione europea dei diritti umani.
Redazione InterTraders
Hai bisogno di assistenza legale specifica su questa tematica o su argomenti simili legati a Internet?
Se sì, ti invitiamo a consultare le seguenti sezioni direttamente sul sito dello Studio Legale Massa:
In alternativa, puoi contattare direttamente lo Studio ai recapiti indicati nell'apposita sezione "CONTATTACI" (l'assistenza prestata non è gratuita).
|
|
|
|
Domenica 24 Novembre 2024
