Il Regolamento (UE) 2016/679, noto con l’acronimo inglese GDPR (General Data Protection Regulation), è entrato in vigore il 24 maggio 2016 ed è divenuto pienamente applicabile in tutti gli Stati membri dell’Unione Europea a partire dal 25 maggio 2018. Con la sua applicazione, il GDPR ha abrogato la precedente Direttiva 95/46/CE, con l’obiettivo primario di creare un quadro normativo armonizzato e uniforme in materia di protezione dei dati personali all’interno dell’Unione, eliminando le frammentazioni tra le diverse legislazioni nazionali.
L’articolo 1 del Regolamento ne delinea il duplice scopo: da un lato, stabilire norme per la protezione delle persone fisiche con riguardo al trattamento dei loro dati personali; dall’altro, definire le regole per la libera circolazione di tali dati all’interno dell’Unione. Il GDPR, quindi, non si limita a imporre vincoli, ma mira a bilanciare due esigenze fondamentali dell’era digitale:
- Proteggere i diritti e le libertà fondamentali delle persone fisiche, con un’enfasi particolare sul diritto alla protezione dei dati personali.
- Garantire la libera circolazione dei dati personali, riconoscendola come un elemento necessario per lo sviluppo economico e sociale nel mercato unico digitale.
In un contesto di rapido sviluppo tecnologico, che ha profondamente modificato l’economia e le relazioni sociali, il Regolamento ha istituito un sistema di regole volto a tutelare gli individui dagli effetti potenzialmente negativi derivanti da un uso incontrollato delle loro informazioni personali, senza tuttavia ostacolare il progresso e l’innovazione.
La Nozione di “Dato Personale”
Il fulcro della disciplina è la definizione di “dato personale”. L’articolo 4, paragrafo 1, n. 1) del GDPR lo definisce come:
«qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale».
Da questa definizione emergono alcuni elementi chiave:
- “Qualsiasi informazione”: Il legislatore ha adottato un approccio volutamente ampio. Non solo dati anagrafici, ma qualsiasi tipo di informazione può essere considerata un dato personale, a condizione che riguardi una persona fisica.
- “Persona fisica”: La tutela del GDPR si applica esclusivamente alle persone fisiche, non alle persone giuridiche (es. società, enti, associazioni).
- “Identificata o identificabile”: Questo è il criterio dirimente. Un’informazione costituisce un dato personale se permette di identificare una persona (identificazione diretta, es. tramite nome e cognome) o se, attraverso l’incrocio con altre informazioni o l’uso di mezzi ragionevolmente utilizzabili, consente di “individuare” una persona all’interno di un gruppo (identificazione indiretta). Non è necessario conoscere l’identità anagrafica di una persona per trattare i suoi dati personali; è sufficiente poterla distinguere da altre.
Esempi Concreti di Dati Personali
La casistica di dati personali è estremamente vasta e in continua evoluzione. Alcuni esempi includono:
- Dati comuni e anagrafici: Nome, cognome, indirizzo di residenza, numero di telefono.
- Identificativi numerici: Un numero di identificazione (es. codice fiscale), il numero di un documento, un numero d’ordine associato a un cliente.
- Dati economici: Coordinate bancarie (IBAN), dati relativi al reddito, storico degli acquisti.
- Identificativi online: Indirizzo IP, indirizzi e-mail, ID di un dispositivo, ID pubblicitari e altri cookie. La Corte di Giustizia ha confermato che anche una stringa di caratteri contenente le preferenze di un utente (come la Transparency and Consent String o TC String) costituisce un dato personale se, associata a un identificativo come l’indirizzo IP, consente di identificare l’interessato.
- Dati relativi all’ubicazione: Dati GPS o altre informazioni che localizzano un individuo.
- Elementi caratteristici dell’identità: Una registrazione vocale, un’immagine ripresa da un sistema di videosorveglianza, il colore degli occhi. La Corte di Giustizia ha altresì chiarito che la firma autografa di una persona fisica rientra nella nozione di “dato personale”.
È importante distinguere tra dati personali “comuni” e categorie particolari di dati personali (precedentemente noti come “dati sensibili”). Queste ultime, definite all’articolo 9 del GDPR, includono informazioni che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose, l’appartenenza sindacale, nonché dati genetici, dati biometrici (es. impronta digitale) e dati relativi alla salute o alla vita sessuale. Tali dati godono di una protezione rafforzata.
Caso Pratico: L’Indirizzo E-mail Aziendale è un Dato Personale?
La risposta dipende dalla capacità dell’indirizzo e-mail di rendere una persona fisica identificabile. Utilizziamo un esempio pratico:
- L’indirizzo e-mail generico
info@azienda.it o ufficio.commerciale@azienda.it
di norma non è un dato personale, in quanto si riferisce a una funzione aziendale o a un’entità nel suo complesso (la persona giuridica), e non a una persona fisica specifica.
- Al contrario, un indirizzo e-mail come
mario.rossi@azienda.it o m.rossi@azienda.it
è un dato personale. Anche se non contenesse il nome completo, permetterebbe di identificare, direttamente o indirettamente, una persona fisica specifica che lavora presso quell’azienda, rientrando pienamente nella definizione dell’articolo 4, n. 1) del GDPR.
Bibliografia e Riferimenti Normativi
- Parlamento Europeo e Consiglio dell’Unione Europea, Regolamento (UE) 2016/679 del 27 aprile 2016 (Regolamento Generale sulla Protezione dei Dati – GDPR). Articolo 1 ; Articolo 4; Articolo 99
- Corte di Giustizia dell’Unione Europea, Sentenza (Quarta Sezione) del 7 marzo 2024, Causa C-604/22, IAB Europe .
- Corte di Giustizia dell’Unione Europea, Sentenza (Prima Sezione) del 4 ottobre 2024, Causa C-490/23, Agentsia po vpisvaniyata .
- Garante per la protezione dei dati personali, Provvedimento del 17 settembre 2020.
- Garante per la protezione dei dati personali, Provvedimento dell’8 febbraio 2024.
- European Data Protection Board (EDPB), Linee guida 1/2022 sui diritti degli interessati – Diritto di accesso, 17 aprile 2023.
- European Data Protection Board (EDPB), Linee guida 06/2020 sull’interazione tra la seconda direttiva sui servizi di pagamento e il GDPR, 15 dicembre 2020
