martedì, 23 ottobre 2018

W la Privacy

W la Privacy

Dlgs 101/2018, sotto tutela tutti i dati che consentono l’identificazione

10/10/2018

ROMA _ Il decreto di adeguamento al regolamento Gdpr (Dlgs 101/2018) recepisce in toto la nozione di "dato personale" in continuità con la precedente legislazione Ue. Pertanto, sono da ritenersi attuali le elaborazioni concettuali e le applicazioni maturate prima del Dlgs 101/2018 e del Gdpr, con riguardo all’opinione n. 4/2007 del "Gruppo di lavoro ex art. 29".

L’articolo 4, n. 1, del Gdpr definisce il dato personale come "qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”)". L’identificazione/identificabilità dell’interessato è un requisito essenziale: non basta l’astratto collegamento del dato con una persona, ma occorre che quest’ultima sia singolarmente identificata o almeno possa esserlo; altrimenti, l’informazione rimane anonima e, quindi, estranea alle tutele del Regolamento. Nonostante l’apparente chiarezza della norma, nella pratica quotidiana ci si interroga su cosa vada realmente considerato "dato personale" in un determinato contesto.

Per consolidata impostazione, non occorre arrivare a conoscere il nome della persona, ma è sufficiente che questa venga distinta dagli altri membri di un gruppo. Ne deriva l’equipollenza, quanto alla nozione di dato personale, tra nome anagrafico e qualsiasi altro elemento informativo o complesso di elementi informativi – anche se detenuti da titolari diversi – ugualmente dotati di attitudine distintiva (immagini, suoni, codice identificativo, descrizione, "l’uomo vestito di nero al semaforo"). Non rileva nemmeno che la persona sia individuabile da chiunque: ciò che determina l’applicazione delle tutele privacy e data protection è, invece, che essa possa essere distinta o riconosciuta con ragionevole probabilità almeno da qualcuno. Inoltre, dalla premessa che solo alcuni soggetti siano in grado di individuare l’interessato non deriva la conseguenza che una certa informazione sia "dato personale" solo rispetto a costoro, e non agli altri: questo implica che il titolare del trattamento potrebbe anche non conoscere l’identità dell’interessato, né avere modo di determinarla.

Nelle ipotesi più complesse, il collegamento tra identificativo e persona fisica non si configura in termini di certezza bensì di mera possibilità (ad esempio, l’immagine del volto di un soggetto non ancora identificato, ma che possa esserlo). Secondo l’articolo 4, n. 1, Gdpr "si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente", ossia, secondo l’interpretazione del Gruppo ex art. 29, attraverso un collegamento dell’identificativo rispetto alla persona fisica di tipo immediato (nome) o mediato (codice fiscale), il quale ultimo consente l’identificazione soltanto attraverso un’operazione ulteriore (confronto con specimen, registri o elenchi).

Il concetto di "ragionevole probabilità"

Ai fini della nozione di identificabilità è essenziale il criterio della "ragionevole probabilità", nel senso che non ha pregio qualsiasi identificazione possibile, bensì, secondo il Considerando n. 26 Gdpr, solo quella a cui si possa pervenire tenendo conto dei mezzi che è probabile verranno utilizzati dal titolare o da un terzo.

La "ragionevole probabilità" va intesa come probabilità "qualificata", ossia con un margine di verificazione apprezzabile. Il legislatore Ue fornisce parametri di riferimento alla stregua dei quali determinare se l’utilizzo dei mezzi di identificazione appaia o no ragionevolmente probabile: per il Considerando n. 26 occorre guardare all’insieme dei fattori obiettivi, tra cui i costi e il tempo necessario per l’identificazione, tenendo conto sia delle tecnologie disponibili, sia degli sviluppi tecnologici.

Nella valutazione del rischio, il Gruppo ex art. 29 suggerisce un approccio ex ante, integrato da verifiche periodiche, che tengano conto dello stato dell’arte e del mutamento dei contesti rilevanti: in particolare, per stabilire se le informazioni in suo possesso soggiacciono alla disciplina del Gdpr e della normativa interna, il titolare del trattamento deve valutare in ottica prognostica ogni fattore (tipologia dei dati trattati, finalità del trattamento, interessi di terzi a conoscerli ecc.) potenzialmente idoneo a incidere sulla ragionevole probabilità che altri pervengano all’identificazione dell’interessato. È il caso delle immagini della videosorveglianza, che vanno sempre considerate dati personali in quanto la finalità del trattamento è proprio quella di pervenire all’identificazione degli interessati laddove necessario; e ciò ancorché, nella pratica, non tutti i soggetti ripresi siano identificabili.

 


maggiori informazioni su:
www.federprivacy.org



pagina precedente

Una miniguida per aiutare a capire gli aspetti principali a muovere i primi passi nel mondo Privacy.

Acquistala ora a soli 8,00 Euro
Ethos Academy

Linea diretta con l'esperto di privacy

Per i professionisti della videosorveglianza

Vi sveliamo i segreti della privacy rispondendo alle vostre domande.
Videosorveglianza e Privacy: un tema scottante che alimenta dubbi e incertezze tra i professionisti della sicurezza.
Un servizio online come opportunità di ulteriore informazione, con espoerti che danno risposte complete su riferimenti normativi.

Scopri Helpdesk