Il Regolamento Generale sulla Protezione dei Dati (GDPR) adotta un approccio onnicomprensivo alla definizione di dati personali. Secondo l'articolo 4, paragrafo 1, “«dati personali» si intende qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente” (GDPR, 2016). Questa definizione ha diverse implicazioni chiave, come descritto di seguito:
- Identificatori diretti: Il regolamento include esplicitamente dati come nome, indirizzo, numero di telefono, numeri di identificazione e altri dati che possono identificare in modo inequivocabile un individuo.
- Identificatori indiretti: L'ambito si estende a informazioni che, se combinate con altri dati, possono identificare un individuo. Gli esempi includono data di nascita, dati sulla posizione, professione e persino elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.
- Identificatori online: Il GDPR riconosce specificamente che le informazioni digitali, come indirizzi IP, cookie, identificatori di dispositivi e metadati di localizzazione, costituiscono dati personali se possono essere collegate a un individuo.
- Categorie particolari di dati: I dati considerati particolarmente sensibili, tra cui l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, nonché dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute, sono classificati come ‘categorie particolari di dati’ e sono soggetti a misure di protezione più severe.
I risultati delle recenti linee guida normative e delle decisioni dei tribunali rafforzano l'interpretazione estensiva. Ad esempio:
- La Corte di Giustizia dell'Unione Europea (CGUE) ha stabilito che anche gli indirizzi IP dinamici possono costituire dati personali se il titolare del trattamento dispone di mezzi legali per identificare l'interessato tramite informazioni aggiuntive.
- I dati pseudonimizzati rientrano nella definizione di dati personali finché esiste la possibilità di re-identificazione con mezzi ragionevoli.
In sintesi, ai sensi del GDPR, qualsiasi informazione che possa essere collegata, direttamente o indirettamente, a una persona fisica vivente rientra nel suo ambito di applicazione. L'enfasi del regolamento sull'identificabilità significa che anche le informazioni che non nominano direttamente una persona possono essere comunque protette se la re-identificazione è fattibile con dati disponibili o accessibili. Questo approccio estensivo garantisce un elevato livello di protezione della privacy, ma richiede un'attenta valutazione da parte delle organizzazioni che trattano qualsiasi dato relativo a persone fisiche.
