Aziende, professionisti, enti ovvero tutti i titolari del trattamento, per poter effettuare un trattamento di dati devono porsi alcune domande preliminari (ad esempio):
- che categorie di dati tratto?
- tratto dati personali o particolari?
- è un trattamento necessario o posso farne a meno?
- è un trattamento lecito o illecito?
Sappiamo infatti che se quello da trattare rientra nella definizione di dato particolare, allora occorrerà disporre di tutele maggiori, rispetto al semplice dato personale. Fino a qui, niente di nuovo, in linea generale si tratta di prassi ormai piuttosto consolidate. Non è così comune, invece, che le stesse cautele vengano mantenute anche per i dati particolari “dedotti”. Vi sono informazioni, infatti, (non necessariamente sensibili) che, una volta elaborate, permettono di arrivare a conoscere un dato particolare.
Per fare un semplice esempio: in una azienda l’informazione che il collega Marco non prova mai la bistecca di maiale combinata con altre informazioni potrebbe farmi capire le convinzioni religiose di Marco. Questa è un’informazione sensibile. Le convenzioni religiose come vedremo rientrano infatti nella categoria dei c.d dati particolari.
Come riconoscere questi dati? La prassi e la giurisprudenza ci forniscono alcuni spunti interessanti.
Indice
I dati particolari secondo la normativa privacy
Già nel d.lgs 196/2003, si riteneva che alcune informazioni personali fossero più delicate di altre, pertanto, dovessero essere trattate con maggiore attenzione e in alcuni casi da non trattare affatto.
Il Codice Privacy li chiamava dati sensibili, e potevano essere trattati solo con il consenso scritto dell’interessato. In questa categoria ricadevano quelle informazioni in grado di rivelare (espressione che già allora poneva non pochi problemi interpretativi):
- l’origine razziale ed etnica di un individuo
- le sue convinzioni e adesioni religiose, politiche e filosofiche
- lo stato di salute e la vita sessuale
Con il GDPR cos’è cambiato?
Il Regolamento non parla più di dati sensibili bensì di dati particolari. E considera appartenenti a questa categoria, oltre a quelli menzionati dalla d.lgs 196/2003, anche dati genetici, dati biometrici e quelli relativi all’orientamento sessuale (sui dati biometrici vedi anche il nostro approfondimento “Riconoscimento delle persone con la biometria: i falsi miti da conoscere”).
La norma inoltre prevede che possano essere trattati solo se ricadono in una delle ipotesi previste dall’art 9 paragrafo 2 del GDPR, in testa a tutte, ancora una volta, il consenso esplicito dell’interessato.
Rispetto al Codice Privacy, quindi, sembra cambiata più la forma che la sostanza.
Quello che invece determina una maggiore dinamicità della definizione, sono i cambiamenti avvenuti nel mondo: la quantità di informazioni che circolano, la varietà di dati che vengono elaborati, la sofisticatezza dei sistemi e delle modalità di trattarli, l’evoluzione tecnologica nel suo complesso. Il dato, soprattutto quello particolare, come confermato anche dalla prassi e dalla giurisprudenza, è diventato più complesso da definire.
Le interpretazioni giurisprudenziali sul concetto di “informazione sensibile”
Sono molteplici i casi in cui i giudici sono arrivati a interpretazioni differenti riguardo al concetto di informazione sensibile, ovvero quelle informazioni che se processate permettono di dedurre un dato particolare.
Per fare qualche esempio, il Tribunale di Roma in una sentenza del 2018 rigettava la richiesta di cancellazione e anonimizzazione di alcuni dati personali contenuti in un articolo online, avanzata dalla moglie il cui marito defunto e la causa della sua morte erano oggetto di notizia. Il quotidiano riportava che il marito era deceduto a causa del “morbo della mucca pazza”. La ricorrente sosteneva che questa informazione, peraltro errata, aveva portato a conseguenze pregiudizievoli soprattutto per la sua famiglia. Il giudice rispingeva la domanda della ricorrente ritendendo che oltre alla mancanza di un interesse ad agire “un’informazione errata sulla causa della decesso non può essere ritenuta un dato sensibile”.
Più recentemente il Tribunale di Ravenna ha annullato l’ordinanza di ingiunzione emessa dal Garante Privacy nei confronti dell’Azienda Romagna USL ritendo che: “Non rileva una violazione del principio di correttezza del Reg. EU la telefonata dell’infermiera dell’ospedale al marito di una paziente dimessa a seguito di un intervento di interruzione di gravidanza, qualora vengano riferiti solo alcune informazioni che non consentano di comprendere nello specifico il tipo di trattamento effettuato”. Secondo il Giudice informazioni quali il reparto dal quale proviene la telefonata, la terapia medica che deve svolgere il paziente non configurano di per sé una comunicazione contenente dati relativi alla salute giuridicamente rilevanti come quelle indicate nel considerando 35 del Reg. EU.
A confondere ulteriormente il dibattito giurisprudenziale, la recente sentenza della Corte di Giustizia Europea, la Corte ritiene espressamente che “i dati dedotti, ove possano rivelare informazioni circa l’orientamento sessuale di una persona fisica debbano essere tutelati ai sensi di quanto previsto dall’art 9 GDPR”.
Il 1° agosto 2022 la Corte di giustizia dell’Unione europea (CGUE) ha emesso la sentenza C‑184/20, OT c. Vyriausioji tarnybinės etikos komisija il caso era sorto in Lituania riguardava un direttore di un ente percettore di fondi pubblici che ometteva di presentare una “dichiarazione di interessi privati” da rendersi sulla base di una legge lituana sull’anticorruzione. Tale dichiarazione comprendeva tra le altre informazioni che riguardavano non solo la persona interessata ma anche i suoi familiari. In particolare, informazioni sul coniuge o il proprio partner, che avrebbe portato alla rivelazione dell’orientamento sessuale dell’interessato. Il contenuto delle dichiarazioni come previsto dalla prassi sarebbe stato poi pubblicato on-line consentendo la visione dell’informazioni ad un pubblico indeterminato. La questione arriva infine all’attenzione della Corte di giustizia dell’Unione europea. La Corte nello specifico è stata chiamata a pronunciarsi sulla questione della divulgazione di informazioni che di per sé non sono da considerare direttamente sensibili, ma che allo stesso tempo permettono di dedurre indirettamente dati sensibili. La Corte di giustizia risolve la questione, affermando che deve essere considerato un trattamento di dati particolari: “il trattamento di dati non solo intrinsecamente sensibili, ma anche di dati che rivelano indirettamente, al termine di un’operazione intellettuale di deduzione o di verifica incrociata, informazioni di tale natura”.
Si tratta di uno scenario complesso, la difficoltà maggiore è comprendere quali possano essere i potenziali rischi e le conseguenze di un trattamento di dati personali (specie se comporta una loro diffusione, pubblicazione o la comunicazione a terzi) in molti casi è difficile.
Cosa comporta per gli attori digitali l’interpretazione “estesa” effettuata dalla CGUE?
Tutti i dati che consentono una deduzione più o meno precisa di informazioni sensibili potrebbero, alla luce di questa sentenza, essere soggetti agli stessi rigorosi obblighi relativi al trattamento di questo tipo di dati. Vale a dire, nella maggior parte dei casi, a un consenso esplicito e distinto degli interessati.
Questa decisione potrebbe avere un impatto considerevole soprattutto per le piattaforme digitali VLOPs (Very Large Online Platforms), che fondano gran parte del proprio business sul monitoraggio e la profilazione degli utenti per la targettizzazione degli ads o per l’alimentazione dei motori di “raccomandazione” che hanno lo scopo di suggerire contenuti in linea con le preferenze già espresse dall’utente sulla piattaforma.
Ne consegue che si renderà necessaria un’evoluzione dei sistemi pubblicitari digitali verso soluzioni che diano maggior risalto alla privacy e alla tutela anche di tutti quei dati che vengono acquisiti indirettamente dal trattamento di altre categorie di informazioni.
La rilevanza della tutela di detti dati, soprattutto da parte delle grandi piattaforme, è espressa anche dal Digital service act (Ved. Approfondimento “L’evoluzione delle regole del mercato digitale”).
Il regolamento, infatti, include una disposizione secondo cui i VLOPs che utilizzano algoritmi per determinare il contenuto che gli utenti vedono dovranno fornire almeno un’opzione di raccomandazione che non sia basata sulla profilazione, con implicito riconoscimento dell’esistenza di un sottoinsieme di piattaforme che potranno offrire agli utenti modi alternativi di usufruire dei servizi senza che ciò comporti necessariamente un monitoraggio massivo dei propri comportamenti e un trattamento, conseguentemente, di grandi categorie di dati “inferenti”.
Ma non solo, probabilmente questo requisito verrà esteso anche a tutte le piattaforme che non si qualificano come VLOPs, fintanto che raccolgano dati sufficienti a far sì che gli algoritmi siano in grado di inferire informazioni sensibili meritevoli di una maggiore tutela.
Ma nella pratica?
Al di là del caso specifico dei VLOPs, l’orientamento della Corte di Giustizia consegna a tutti i titolari del trattamento (quindi aziende di qualsiasi dimensioni) almeno due insegnamenti.
Il primo riguarda l’evoluzione del contesto in cui si trattano i dati. Il mondo digitale ha oltremodo innalzato il rischio per i dati e le informazioni. Pertanto, nell’utilizzo di piattaforme digitali si dovranno valutare con maggiore severità la pubblicazione di qualsivoglia informazione, in quanto il contesto di per sé comporta dei rischi sempre maggiori alla riservatezza.
Il secondo è sulla valutazione del dato che si intende trattare. Il principio che la Corte ha voluto in qualche modo ribadire è che la definizione di dato particolare va intesa come dinamica, non statica, dai contorni sempre più sfumati e in continua evoluzione. Con questa premessa, è preferibile che, nella mappatura dei trattamenti dati che un’azienda realizza, si mantenga una visione allargata per non rischiare di trattare un dato erroneamente, qualificandolo come personale e non particolare. Ricordando, analogamente, di non sottovalutare di mettere in atto tutti i necessari adempimenti connessi a quelle informazioni che possano, in qualche modo, essere dedotte a partire da dati apparentemente “innocui”.