PRIVACY, N. 2 – TIPOLOGIE DI DATI.
Conoscerle una per una, poiché a dati diversi corrispondono regole distinte.
|
Nel precedente capitolo della guida abbiamo definito il concetto di “trattamento” e quello di “dati personali”. Abbiamo inoltre visto quando il trattamento di tali informazioni ricade nell’ambito di applicazione della disciplina in commento (in particolare, del c.d. GDPR) e quando no.
Perciò, adesso occorre fornire qualche precisazione in più in merito ai diversi tipi di informazioni oggetto di trattamento: come vedremo, a tipologie diverse corrispondono infatti discipline differenti.
I DATI SENSIBILI.
– Più ci mettono a nudo, più servono cautele –
Si tratta di una categoria di dati il cui trattamento viene disciplinato imponendo elevate cautele, stante il carattere particolarmente delicato dell’informazione veicolata e visto il rischio intrinseco di recare pregiudizio all’interessato ove questa sia inappropriatamente diffusa al di fuori del contesto voluto.
La migliore spiegazione l’ha forse fornita Stefano Rodotà quando ha detto che è proprio nel tutelare la riservatezza, in particolare in merito ad alcune informazioni personali che potrebbero esporre a discriminazioni e stigmatizzazioni, che le persone possono liberamente stabilire le une con le altre legami sociali intensi e strutturati. In questo senso, a differenza di quanto si potrebbe pensare, la riservatezza non favorisce l’isolamento, ma è invece condizione necessaria per la socialità (rendo noto che la calzante segnalazione di questa ottima riflessione mi viene dall’autore Pellino E., a pag. 69 del manuale citato nell’indice della guida).
– Quali sono –
Ciò premesso, sono considerati “sensibili” i dati personali:
1) idonei a rivelare origine razziale e/o etnica. Ovviamente ciò non implica l’adesione del Legislatore alla teoria dell’esistenza di diverse “razze” tra gli esseri umani, essendo anzi il fine della previsione solamente quello di tutela dell’interessato. Si tratta piuttosto in generale di ogni informazione che possa rivelare la provenienza geografica, la discendenza da determinato gruppo umano e così via, elementi sulla cui base potrebbero fondarsi (come la storia insegna) odiose discriminazioni;
2) idonei a rivelare opinioni/convinzioni politiche, religiose, filosofiche e/o l’appartenenza a formazioni sociali che le promuovano (ad es., associazioni, comitati, partiti politici) o che tutelino diritti e prerogative di una determinata categoria di soggetti (in particolare, i sindacati);
3) “genetici”, ossia estratti da un campione biologico e che possano condurre a rivelare caratteristiche genetiche o ereditarie o acquisite;
4) “biometrici”, cioè quei dati estratti con particolari metodi di misurazione ed analisi matematica da tratti fisici/somatici o caratteristiche fisiologiche/comportamentali tali da poter identificare univocamente o addirittura autenticare l’identità della persona. Esempio tipico sono le impronte digitali informatizzate, come avviene già in molti smartphone. Tuttavia, con l’avanzamento tecnologico, sempre più tipologie di dati potrebbero diventarlo come ad esempio la misurazione della voce, delle movenze, di certi ritmi dell’organismo, eccetera;
5) relativi alla salute, fisica o mentale, passata, presente o futura (prognosi). Si tratta di una definizione ampia che copre qualsiasi dato possa svelare, contenere o implicare informazioni pertinenti al tema. Ad esempio, l’acquisto di un farmaco implica che potrei essere affetto dalla patologia che si cura prevalentemente con esso, oppure richiedere un taxi con posto per carrozzella implica una probabile disabilità, eccetera;
6) relativi alla vita sessuale e/o all’orientamento sessuale (sotto ogni aspetto, come ad esempio anche l’identità e l’esistenza di partners).
– Dati indirettamente sensibili –
Occorre notare che un dato apparentemente normale potrebbe diventare “sensibile” alla luce di ciò che solo implicitamente rivela. Un esempio tipico è quello delle scelte nelle modalità del servizio effettuate da parte dell’utente che possono rivelare la sua appartenenza religiosa. Per capirci, se l’hotel registra nel proprio database che il cliente Tizio ha chiesto di non vedersi servire carne di suino è verosimile che sia di religione islamica. Se Caio ha espressamente chiesto un menu kosher è quasi certo che sia di religione ebraica. Se il paziente Sempronio nega preventivamente il consenso a emotrasfusioni prima del ricovero ospedaliero è molto probabile che appartenga ai Testimoni di Geova, eccetera.
– Conseguenze sul trattamento –
Definiti i dati “sensibili”, occorre notare che ne è di norma vietato il trattamento. Tuttavia, il trattamento è eccezionalmente possibile se:
A) l’interessato ha espressamente (non implicitamente) prestato il consenso al trattamento del dato sensibile (in quanto tale) per uno o più fini specifici (quindi non per una generalità di potenziali indeterminati futuri utilizzi);
B) è necessario per rispettare la normativa in materia di diritto del lavoro, sicurezza sociale e protezione sociale e/o per il funzionamento del sistema della medicina del lavoro e della Sanità (il tutto, ovviamente, nel rispetto delle garanzie previste dalle rispettive norme) o per altri interessi pubblici da parte dell’Autorità;
C) è necessario per salvaguardare un interesse vitale di una persona (anche differente) ma l’interessato non ha la capacità fisica (ad esempio è incoscente) o giuridica (ad esempio è stato interdetto da un Tribunale) per prestare il consenso. E’ molto dibattuto quanto e se rilevi un’eventuale negazione del consenso prima di perdere la capacità. Pare comunque giusto tenerne conto quando si tratti di un interesse vitale dell’interessato stesso, ad esempio colui che non vuole essere curato e pertanto non vuole nemmeno si trattino i suoi dati sensibili necessari. Pare invece legittimo non tenerne conto quando si finisca per esporre al grave pregiudizio un’altra persona, ad esesempio se per condizioni di emergenza è necessario ricoverare più pazienti in un’unica sala ma uno è gravemente immunodepresso ed è essenziale sapere se gli altri presenti potrebbero infettarlo;
D) è effettuato da una onlus per conseguire i suoi legittimi fini, con adeguate garanzie, relativamente a dati personali di un membro, ex membro o persona che con la onlus intrattiene stretti contatti. Comunque, è possibile la comunicazione all’esterno solo dietro consenso dell’interessato.
E) si tratta di dati personali resi manifestamente pubblici dall’interessato. Quindi, in teoria, se un dato personale sensibile è stato chiaramente e volontariamente reso di pubblico dominio lo si dovrebbe poter trattare liberamente. Però, in realtà, gli interpreti ritengono comunque necessario un bilanciamento tra contesto/ragione della loro diffusione da parte dell’interessato ed effetti di un utilizzo da parte di chi quei dati ha rinvenuto. Ad esempio, una persona potrebbe aver rivelato informazioni relative al proprio stato di salute su un “forum/gruppo di aiuto” leggibile da parte di qualsiasi utente del web, ma ritenendo che le avrebbero lette solo altre persone che si trovano affette dalla stessa patologia. Se cercando in rete il nome del candidato un addetto alla gestione delle risorse umane reperisce tali informazioni ed “aggiorna” di conseguenza il profilo schedato, magari in modo sostanzialmente peggiorativo per le aspirazioni di carriera di quel soggetto, verosimilmente si spinge oltre la ratio della norma. Comunque sia, questa disposizione ci deve spingere a riflettere e stare attenti, come interessati di possibili trattamenti, quando pubblichiamo e diffondiamo dati sensibili sul web.
F) è necessario per tutelare propri interessi/diritti in sede giurisdizionale o comunque viene trattato nell’ambito delle funzioni dell’autorità giurisdizionale. In realtà, si ritiene compresa anche l’attività amministrativa e stragiudiziale. Quindi, ad esempio, quando un coniuge rivela all’avvocato divorzista dati personali sensibili sul/sulla partner, utili nella soluzione della controversia (ad esempio: “Tizio mi tradiva con Caia”), e l’avvocato registra tutto nella propria pratica per poi farlo confluire nel processo si tratta di un trattamento di dati sensibili lecito.
G) avviene, ed è necessario, nell’ambito di attività di archiviazione/statistica o di ricerca storica/scientifica. Ciò, chiaramente, non in ogni caso e con valutazione arbitraria del singolo che intraprenda il trattamento (ad es., il privato che decida di iniziare una statistica personale sulla diffusione di una determinata malattia sulla popolazione), bensì solo se risulta opportuno a seguito di un bilanciamento tra il pubblico interesse e la riservatezza del singolo. Ad esempio, è ragionevole che certe Istituzioni raccolgano dati personali anche sensibili per trarne utili indicazioni volte ad orientare scelte politiche ed amministrative (ipotizziamo il caso della ASL che voglia sapere in che percentuale di casi la propria equipe ha compiuto un determinato errore medico). Come operare concretamente tale bilanciamento (ad esempio, imponendo la c.d. pseudonimizzazione) è stabilito dalla più specifica disciplina di ciascun caso.
I DATI GIUDIZIARI.
– Dubbio se assimilabili ai dati sensibili –
Altra categoria di rilievo è quella dei dati giudiziari. Si tratta dei dati personali relativi “alle condanne penali e ai reati o a connesse misure di sicurezza“. Sono disciplinati da un articolo diverso da quello dedicato ai dati sensibili e con espresso richiamo alla disciplina del trattamento dei dati comuni (art. 6, par. 1), tuttavia il considerando n. 75 in qualche modo li accomuna. E’ dubbio quindi quanto possano valere analoghe considerazioni rispetto a quanto detto sul trattamento dei dati sensibili.
– Chi può trattarli –
Ad ogni modo, i dati giudiziari, al di là delle regole (di cui si dirà) riguardanti il trattamento degli altri tipi di dati, possono essere trattati solo:
1) da parte dell’Autorità pubblica;
2) oppure, se autorizzato da norme specifiche, anche da altri soggetti ma nel rispetto delle modalità e cautele ivi previste;
In nessun caso, invece, è possibile per soggetto diverso dall’Autorità pubblica (o suo incaricato) costruirsi e tenere un registro completo delle condanne penali di una o più persone.
Quindi, ad esempio, i forum/gruppi online con cui i vicini di casa, i genitori di un quartiere, eccetera registrano e si segnalano a vicenda l’identità e magari l’aspetto o l’indirizzo di un pregiudicato sono a forte rischio di illegittimità. Ad ulteriore esempio, pure il datore di lavoro pare non potersi tenere una “fedina penale” dei propri dipendenti se non nei limiti di specifiche norme di legge.
DATI ANONIMI O PSEUDONIMIZZATI.
Più che tipologie di dati personali si tratta proprio di informazioni a cui è venuta meno (o si è fortemente attenuata) una delle caratteristiche che li renderebbe dati personali: la riferibilità ad una persona.
– Se è anonimo non ci sono problemi –
Il dato anonimo o reso tale in maniera irreversibile, a seconda dei casi, non entra oppure esce definitivamente dall’ambito di applicazione delle norme sulla privacy. Con “anonimo” intendiamo il dato che non è ragionevolmente probabile permetta di risalire all’interessato. Ad esempio, se l’informazione è stata scollegata dal soggetto cui si riferisce a seguito di una procedura tecnica che solo tre hacker al mondo dotati di calcolatori potentissimi saprebbero ribaltare, verosimilmente l’informazione è da ritenersi “anonima”.
Dunque, ad esempio, se archivio foto nelle quali il volto ed ogni possibile altro modo di identificare i soggetti ritratti (e di trarre ulteriori informazioni rilevanti per la normativa) sono stati oscurati/cancellati non devo pormi il problema del rispetto delle norme sulla privacy. Potrebbero al limite essere applicabili norme differenti di altri settori del diritto. Comunque bisogna sempre stare attenti: ad esesempio, è famoso il caso del motore di ricerca AOL che nel 2006 riteneva di aver reso anonime le ricerche degli utenti e le aveva rese di pubblico dominio, ma invece ci si accorse che era rimasto possibile risalire all’identità dell’autore di ciascuna ricerca!
– Se è pseudonimizzato va comunque tutelato –
Il dato pseudonimizzato è poi quello che di per sè non permette di risalire allo specifico interessato, essendo necessario a tal fine l’incrocio con informazioni aggiuntive fruibili solo da chi effettua il trattamento (e dai suoi stretti collaboratori). Però, essendo un dato non totalmente anonimo e cioè risultando comunque riferibile all’interessato, questo tipo di dato rimane soggetto alle norme del Regolamento in commento in materia di privacy (e quindi a tutte le conseguenti norme di cautela, condotta, eccetera).
Ad esempio, si ha un dato pseudonimizzato se in una graduatoria resa pubblica tutti i candidati sono identificati con un numero assegnato casualmente e solo il sistema può ricollegarlo all’identità di una specifica persona. Quindi è un modo per mantenere possibile l’identificazione, ma non da parte di chiunque, rendendo dunque più sicuro (e, secondo senso comune, “rispettoso” della privacy) il trattamento. Del resto è evidente che il meccanismo funziona solo se il dato pseudonomizzato e la “chiave” per risalire all’identità sono conservati separatamente e proteggendo la seconda con adegute cautele e misure tecniche di sicurezza, come infatti la normativa espressamente impone.
– Big Data, Data Mining e analisi di dati massivi –
Il tema si lega con quello dei c.d. Big Data, del c.d. data mining ed in generale delle “analisi generali” (così il Regolamento) su dati massivi (ad esempio, l’insieme enorme di dati di varia natura che un social network raccoglie dai propri utenti circa preferenze, gusti, stili di vita e così via al fine di trarne informazioni coerenti e commercializzabili in particolare a chi intenda vendere prodotti e servizi in modo mirato). Infatti, per i dati pseudonimizzati oggetto di tali operazioni analitiche diventano ancora più forti le esigenze di protezione, rendendosi obbligatorie misure tecniche ed organizzative quali la c.d. data protection by default e by design (di cui si dirà più avanti); inoltre, si rende più pressante l’esigenza di creare diversi livelli di “autorizzazioni” in capo alle varie persone che partecipano al trattamento nel poter accedere a quelle informazioni che consentono di ricollegare il dato pseudonimizzato all’interessato.
– Differenza pratica tra dati anonimi e pseudonimizzati –
A questo punto può sorgere un dubbio: qual è in concreto la differenza pratica tra anonimizzazione e pseudonimizzazione per chi effettua e per chi subisce il trattamento dei dati?
In estrema sintesi potremmo dire che il dato anonimo espone chi effettua il trattamento a rischi estremamente ridotti e comporta ben pochi oneri (fuoriuscendo dall’ambito applicativo della normativa in commento), mentre quello pseudonimizzato fa restare applicabili tutte le norme di condotta, sicurezza, procedura ed i divieti del Regolamento. D’altro canto, il dato pseudonimizzato è spesso molto più utile rispetto a quello anonimo (ad esempio, invece che scattare una “fotografia” delle preferenze dell’utente in un dato momento trasformandole in dato anonimo il social network potrebbe preferire seguirne l’evoluzione mantenendo il dato soltanto pseudonimizzato). Comunque, al di là di quello che suggerisce l’intuito, a tutelare maggiormente l’utente talvolta è proprio il dato pseudonimizzato: per esso è sempre individuabile un “responsabile” col compito di proteggere l’identità dell’interessato nei confronti del singolo utente (ancora identificabile); per il dato anonimo invece è ormai impossibile capire a chi si riferisse e può quindi essere più complesso risalire al responsabile verso un danneggiato (non identificabile) di un eventuale data breach.
Appreso a grandi linee quali tipi di dati esistono e quali regole vi si applicano, possiamo ora addentrarci nel fulcro della normativa in materia di privacy e scoprire principi, presupposti e regole del trattamento dei dati personali.
– TORNA ALL’INDICE DELLA GUIDA
-> PRECEDENTE CAPITOLO: “PRIVACY N. 1 – A chi si applicano le norme?”
-> PROSSIMO CAPITOLO: “PRIVACY N. 3 – Trattamento e suoi principi”
Lascia un commento