02.06. Classificazione e qualificazione dei dati personali
Da precisare che i dati personali non hanno tutti la stessa “importanza” di trattamento (o, meglio “nel” trattamento) anche se, tuttavia, non esistono propriamente dati di “ serie A ” e di “ serie B ”, come in molti ancora credono o, addirittura, sbrigativamente spiegano.
Leggendo per la prima volta il GDPR potrebbe sembrare che lo stesso faccia una classifica tra dati “comuni” (meno importanti) e quelli riferibili a « categorie particolari di dati » (più importanti) esplicitate dall' art. 9 dello stesso, ed ancora oggi indicati come “ sensibili ” nota .
Articolo 9 - Trattamento di categorie particolari di dati personali 1. È vietato trattare dati personali che rivelino l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona. (C51) 2. Il paragrafo 1 non si applica se si verifica uno dei seguenti casi: (C51, C52) a) l'interessato ha prestato il proprio consenso esplicito al trattamento di tali dati personali per una o più finalità specifiche, salvo nei casi in cui il diritto dell'Unione o degli Stati membri dispone che l'interessato non possa revocare il divieto di cui al paragrafo 1; b) il trattamento è necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell'interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell'Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell'interessato; c) il trattamento è necessario per tutelare un interesse vitale dell'interessato o di un'altra persona fisica qualora l'interessato si trovi nell'incapacità fisica o giuridica di prestare il proprio consenso; d) il trattamento è effettuato, nell'ambito delle sue legittime attività e con adeguate garanzie, da una fondazione, associazione o altro organismo senza scopo di lucro che persegua finalità politiche, filosofiche, religiose o sindacali, a condizione che il trattamento riguardi unicamente i membri, gli ex membri o le persone che hanno regolari contatti con la fondazione, l'associazione o l'organismo a motivo delle sue finalità e che i dati personali non siano comunicati all'esterno senza il consenso dell'interessato; e) il trattamento riguarda dati personali resi manifestamente pubblici dall'interessato; f) il trattamento è necessario per accertare, esercitare o difendere un diritto in sede giudiziaria o ogniqualvolta le autorità giurisdizionali esercitino le loro funzioni giurisdizionali; g) il trattamento è necessario per motivi di interesse pubblico rilevante sulla base del diritto dell'Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l'essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell'interessato; (C55, C56) h) il trattamento è necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali sulla base del diritto dell'Unione o degli Stati membri o conformemente al contratto con un professionista della sanità, fatte salve le condizioni e le garanzie di cui al paragrafo 3; (C53) i) il trattamento è necessario per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell'assistenza sanitaria e dei medicinali e dei dispositivi medici, sulla base del diritto dell'Unione o degli Stati membri che prevede misure appropriate e specifiche per tutelare i diritti e le libertà dell'interessato, in particolare il segreto professionale; (C54) j) il trattamento è necessario a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici in conformità dell'articolo 89, paragrafo 1, sulla base del diritto dell'Unione o nazionale, che è proporzionato alla finalità perseguita, rispetta l'essenza del diritto alla protezione dei dati e prevede misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell'interessato. 3. I dati personali di cui al paragrafo 1 possono essere trattati per le finalità di cui al paragrafo 2, lettera h), se tali dati sono trattati da o sotto la responsabilità di un professionista soggetto al segreto professionale conformemente al diritto dell'Unione o degli Stati membri o alle norme stabilite dagli organismi nazionali competenti o da altra persona anch'essa soggetta all'obbligo di segretezza conformemente al diritto dell'Unione o degli Stati membri o alle norme stabilite dagli organismi nazionali competenti. (C53) 4. Gli Stati membri possono mantenere o introdurre ulteriori condizioni, comprese limitazioni, con riguardo al trattamento di dati genetici, dati biometrici o dati relativi alla salute. (C8, C10, C41, C45, C53). |
La distinzione tra dati personali è usualmente spiegata così: “ per i dati particolari, che sono i più delicati, sussiste il generale divieto di trattamento sancito dall' art. 9 che, però, in alcuni casi, non si applica. Per trattare i dati non particolari, meno importanti, deve invece sussistere una delle condizioni previste dall' art. 6 del medesimo GDPR ”.
Art. 6 Reg. UE - Liceità del trattamento (estratto) |
1. Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni: a) l'interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità; b) il trattamento è necessario all'esecuzione di un contratto di cui l'interessato è parte o all'esecuzione di misure precontrattuali adottate su richiesta dello stesso; c) il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento; d) il trattamento è necessario per la salvaguardia degli interessi vitali dell'interessato o di un'altra persona fisica; e) il trattamento è necessario per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento; f) il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell'interessato che richiedono la protezione dei dati personali, in particolare se l'interessato è un minore. La lettera f) del primo comma non si applica al trattamento di dati effettuato dalle autorità pubbliche nell'esecuzione dei loro compiti. |
Ma a ben vedere, queste due disposizioni di base (di cui ai predetti artt. 6 e 9 del GDPR), pongono un analogo paradigma ispirato dalla necessità di proteggere i dati personali, ossia le persone.
Perché, se è vero che l'art. 9 vieta in via di principio il trattamento dei dati “particolari”, l'art. 6 ‘‘non è da meno’’ nel disporre che il trattamento di quelli “non particolari” è lecito solo al ricorrere di determinate condizioni: se non ci sono tali condizioni anche quest'ultimo tipo di trattamento è illecito e, pertanto, da ritenersi vietato.
Art. 9 | dati particolari | divieto generale di trattamento | tranne nei casi stabiliti ex art. 9 |
Art. 6 | dati non particolari | trattamento in generale illecito | tranne alle condizioni ex art. 6 |
Sotto quest’ultimo profilo non c'è, quindi, grande differenza rispetto al generale divieto posto dal predetto art. 9 con riguardo alle categorie di dati particolari.
Casomai, tra le “due categorie” di dati (“non particolari” e “particolari”), cambia il modo applicativo ed il numero dei casi stabiliti e delle situazioni di trattamento previste in cui il divieto può venire meno, ovvero il trattamento sia da considerarsi lecito. “Tutto qui” ? Non proprio.
Vi sarebbe anche da specificare che, in base alla lettera del primo paragrafo dell’art. 9 del GDPR (spesso frettolosamente e malamente interpretata), occorrerebbe prestare particolare attenzione alla individuazione e, dunque, alla conseguente qualificazione dei dati di natura particolare in base alle espressioni inserite nella stessa disposizione quali ad, esempio, i sostantivi femminili « convinzione » o « opinione ».
Se, ad esempio, una persona frequentasse assiduamente una chiesa ortodossa ciò non significherebbe, necessariamente, che la stessa persona abbia una speculare convinzione religiosa . E, del pari, possedere la tessera di un club filosofico non significherebbe, per forza, che il soggetto tesserato abbia una convinzione filosofica , tanto meno quella che potrebbe in qualche modo caratterizzare il club in cui lo stesso è iscritto, magari per altri motivi, senza alcuna convinzione personale di sorta.
E peraltro, l’art. 9 del GDPR risulta di per sé piuttosto “enigmatico” anche ove lo stesso si riferisce ai « dati personali che rivelino l'origine razziale o etnica » ove, tuttavia, così come ad esempio ben indicato dal considerando n. 37 della Direttiva UE n. 680/2016, il diritto eurounitario rifugge dalle convinzioni che esistano razze, ovvero differenziazioni basate sulle etnie nota .
Ciò per spiegare che i dati di natura particolare , prima ancora di essere trattati in modo molto accurato e protetto, previa individuazione dell’esenzione dal divieto generale posto a presidio del loro buon trattamento, dovrebbero essere correttamente individuati e classificati in base al caso concreto poiché ad esempio, come vedremo nel prosieguo, non ogni fotografia di volto umano rappresenta un dato biometrico e, al pari, non ogni informazione personale attinente a luoghi ove si svolgono attività politiche, sindacali o religiose, frequentati da persone fisiche, si tramuta necessariamente nell’estrapolazione di una convinzione religiosa o politica imputabile alle stesse persone che li frequentano.
Oltretutto, e per contro, un dato “non particolare” (es. il nome di un individuo) potrebbe diventare “particolare” se rapportato o associato ad altre informazioni più sensibili . Si provi a pensare al nome e cognome di una persona a cui, successivamente, vengano associati dati attinenti alla salute della stessa: es. “ il Sig. M. Rossi di via Roma + che vede da un occhio solo ”; “ il Sig R. Bianchi di Monza + è orientale e risulta in cura presso l'ospedale Maggiore di Milano ”.
Pertanto, una distinzione di trattamento pensata e progettata come collegata al solo dato in sé, isolatamente considerato e valutato, non sempre funziona: anzi, non funziona quasi mai.
I dati ‘‘personali più particolari’’ di altri dati comunque sensibili
Da osservare, infine, che all’interno del genere dei dati di natura particolare di cui all’art. 9 del GDPR, se ne potrebbero considerare alcuni “ più particolari di altri ”, almeno sotto il profilo della loro possibile diffusione .
Invero, in tal senso, il paragrafo 4 del medesimo art. 9 , solo relativamente ai dati genetici , biometrici o relativi alla salute , precisa che gli stati membri possono mantenere, o introdurre, ulteriori condizioni , comprese delle limitazioni , con riguardo al loro trattamento (va precisato: condizioni e limitazioni e, quindi, non facilitazioni ).
E quale esempio di tale possibilità di limitazione, il codice italiano sulla protezione dei dati personali, di cui al Dlgs n. 196/2003, al comma 8 dell’ articolo 2 septies dello stesso (ivi richiamando il comma 1 della medesima norma), precisa che, appunto, i dati genetici , biometrici e relativi alla salute non possono essere diffusi : ossia, ad esempio, non potrebbero mai essere pubblicati su un sito web .
Ciò detto significa che, per converso, i dati afferenti all’origine razziale o etnica , o attinenti alle opinioni politiche , alle convinzioni religiose o filosofiche , ovvero ancora riguardanti l’appartenenza sindacale , o l' orientamento sessuale , sebbene anch’essi di natura particolare, “ben” potrebbero essere diffusi (ma, ovviamente, in presenza dei presupposti legittimanti e di adeguate misure tecniche ed organizzative di protezione per tale tipo di ipotizzabile, residuale e del tutto eccezionale trattamento).
Si tratta, quindi, di una differenza nient’affatto di scarso peso e che, in sostanza, crea due tipologie di dati all’interno della complessiva categoria di quelli di natura particolare o, più semplicemente, detti – ed ancora nominabili – “ sensibili ” nota .
