L'analisi dell'articolo 4, paragrafo 1, e del considerando 30 del GDPR stabilisce che gli identificativi online sono forme esplicite di dati personali quando consentono l'identificazione di una persona fisica. Il testo del regolamento osserva: “un identificativo potrebbe essere ‘un nome, un numero di identificazione, dati sulla posizione, un identificativo online’” (GDPR, art. 4, par. 1). Il considerando 30 chiarisce inoltre che questi includono dati “forniti da dispositivi, applicazioni, strumenti e protocolli, quali indirizzi di protocollo Internet, identificativi di cookie o altri identificativi quali i tag di identificazione a radiofrequenza” (GDPR, considerando 30).
I risultati indicano che gli identificativi online sono diventati sempre più significativi a causa della proliferazione delle tecnologie digitali. I principali risultati della letteratura empirica e degli orientamenti normativi includono:
- Indirizzo del protocollo Internet (IP): Gli indirizzi IP assegnati ai dispositivi sono ampiamente riconosciuti come dati personali ai sensi del GDPR, poiché possono identificare le persone direttamente o indirettamente.
- Cookie Internet: I cookie persistenti possono memorizzare valori unici legati all'attività dell'utente, consentendo la profilazione e il tracciamento. Il Gruppo di lavoro Articolo 29 per la protezione dei dati (WP29) conferma che i cookie sono identificativi online (WP29 Parere 02/2013).
- Beacon e pixel tag: Questi meccanismi raccolgono dati sulle visite al sito web e sulle interazioni degli utenti, spesso in combinazione con cookie o informazioni sul dispositivo.
- Identificatori pubblicitari per dispositivi mobili: Gli ID pubblicitari univoci sugli smartphone consentono il tracciamento degli utenti tra app e siti diversi.
- Impronte digitali del dispositivo (Device fingerprint): Metodi di aggregazione delle caratteristiche del browser e del dispositivo per identificare in modo univoco le configurazioni hardware/software.
- Tag RFID: Piccoli dispositivi elettronici che memorizzano dati che, se combinati con altre informazioni, possono consentire l'identificazione.
L'aggregazione di tali identificativi nel tempo, soprattutto se combinata con altri dati (ad es. credenziali dell'account, metadati del dispositivo), comporta un rischio significativo di re-identificazione, anche quando i singoli identificativi non rivelano, da soli, l'identità di una persona. Ciò è in linea con il criterio del “singling out” (individuazione) discusso nella causa Breyer della CGUE (C-582/14), che ha chiarito che gli indirizzi IP dinamici possono costituire dati personali in determinate circostanze.
In sintesi:
- Gli identificativi online ai sensi del GDPR comprendono un'ampia gamma di marcatori tecnici, inclusi, ma non solo, indirizzi IP, cookie, impronte digitali dei dispositivi e tag RFID.
- Questi identificativi sono classificati come dati personali quando possono portare direttamente o indirettamente al riconoscimento o all'individuazione di una persona.
- La combinazione di identificativi online con altri marcatori univoci aumenta la probabilità e il rischio di identificazione, rendendo necessarie solide strategie di conformità e di protezione della privacy.
