Regulamentul General privind Protecția Datelor (GDPR) adoptă o abordare cuprinzătoare a definiției datelor cu caracter personal. Conform Articolului 4(1), „date cu caracter personal înseamnă orice informații privind o persoană fizică identificată sau identificabilă („persoana vizată”); o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect” (GDPR, 2016). Această definiție are câteva implicații cheie, detaliate mai jos:
- Identificatori direcți: Regulamentul include în mod explicit date precum numele, adresa, numărul de telefon, numerele de identificare și alte date care pot identifica fără echivoc o persoană.
- Identificatori indirecți: Domeniul de aplicare se extinde la informațiile care, atunci când sunt combinate cu alte date, pot identifica o persoană. Exemplele includ data nașterii, datele de localizare, ocupația și chiar elemente de identitate specifice, fizice, fiziologice, genetice, psihice, economice, culturale sau sociale.
- Identificatori online: GDPR recunoaște în mod specific că informațiile digitale—cum ar fi adresele IP, modulele cookie, identificatorii de dispozitive și metadatele de localizare—constituie date cu caracter personal dacă pot fi asociate cu o persoană.
- Categorii speciale: Datele considerate deosebit de sensibile—inclusiv originea rasială sau etnică, opiniile politice, convingerile religioase sau filozofice, apartenența la sindicate, datele genetice, datele biometrice în scopul identificării, datele privind sănătatea—sunt clasificate drept „categorii speciale” și sunt supuse unor măsuri de protecție mai stricte.
Rezultatele orientărilor de reglementare recente și ale deciziilor judecătorești consolidează interpretarea largă. De exemplu:
- Curtea de Justiție a Uniunii Europene (CJUE) a decis că până și adresele IP dinamice pot constitui date cu caracter personal dacă operatorul dispune de mijloace legale pentru a identifica persoana vizată prin intermediul unor informații suplimentare.
- Datele pseudonimizate rămân în sfera definiției datelor cu caracter personal atâta timp cât există posibilitatea reidentificării prin mijloace rezonabile.
În concluzie, în conformitate cu GDPR, orice informație care poate fi legată—direct sau indirect—de o persoană fizică în viață intră în domeniul de aplicare. Accentul pus de regulament pe identificabilitate înseamnă că chiar și informațiile care nu numesc în mod direct o persoană pot fi totuși protejate dacă reidentificarea este fezabilă cu ajutorul datelor disponibile sau accesibile. Această abordare extinsă asigură un nivel ridicat de protecție a vieții private, dar necesită o evaluare atentă din partea organizațiilor care prelucrează orice date referitoare la persoane fizice.
