Cosa si intende per dati personali ai sensi del GDPR?

L'analisi della definizione del GDPR dimostra che i dati personali comprendono “qualsiasi informazione riguardante una persona fisica identificata o identificabile” (Articolo 4(1), GDPR). L'ampia portata del termine è confermata dalla Corte di Giustizia dell'Unione Europea, che interpreta “identificabile” come includente sia l'identificazione diretta che indiretta tramite identificatori o caratteristiche.

I risultati principali rivelano:

• Identificatori diretti:
  Nome, cognome, numero di telefono, indirizzo, email e numeri di identificazione personale (es. SSN, passaporto, patente di guida).
• Identificatori indiretti:
  Indirizzo IP, ID dei cookie, identificatori pubblicitari, ID dei dispositivi.
• Dati sulla posizione:
  Indirizzo di casa, geolocalizzazione in tempo reale e modelli di viaggio.
• Dati biometrici:
  Impronte digitali, immagini/geometria del volto, scansioni della retina.
• Caratteristiche personali:
  Immagini fotografiche (incluse foto del volto), registrazioni vocali.
• Informazioni finanziarie:
  Numeri di conto bancario o di carta di credito.

Il Gruppo di Lavoro Articolo 29 sottolinea un approccio contestuale: l'informazione diventa personale se può individuare, contattare o rintracciare un individuo, anche se combinata con altri dati [Linee guida WP29, 2017].

La giurisprudenza conferma che gli “identificatori online” come indirizzi IP, ID dei dispositivi e cookie costituiscono dati personali quando collegati ad altri elementi che ne consentono l'identificazione.

Il GDPR estende ulteriormente la protezione alle categorie particolari di dati (Articolo 9), inclusi i dati biometrici e sanitari, rafforzando l'ampia copertura del regolamento. Questa interpretazione è in linea con la dottrina che identifica il GDPR come uno dei quadri normativi sulla privacy più severi a livello globale.

Riepilogo:

• La definizione del GDPR è deliberatamente ampia.
• Sono protetti sia gli identificatori diretti che quelli indiretti.
• Il contesto determina l'identificabilità.
• Particolare attenzione è data ai dati biometrici e sensibili.