Dati personali, anonimi, pseudonimizzati

A quali tipologie di dati si applicano i principi di protezione contenuti nel GDPR?

La risposta al quesito si trova nel Considerando 26, che spiega come il Regolamento detti prescrizioni in merito alla tutela delle informazioni relative a una persona fisica identificata o identificabile.

Il riferimento alle persone fisiche è fondamentale, poiché sgombra il campo da un primo, fondamentale dubbio, chiarendo come le tutele previste dal GDPR non riguardino le informazioni riguardanti aziende, associazioni, fondazioni o enti. Sono altresì esclusi quelli relativi alle persone decedute (seppur specifiche tutele siano contenute nel nuovo art. 2-terdecies del Codice Sulla Privacy – D.lgs 196/2003).

Il Considerando 26 specifica altresì che i dati devono essere collegati a un soggetto identificato o identificabile. Ciò significa che il collegamento tra informazione e interessato non deve necessariamente essere diretto (come nel caso di nome e cognome) ma può essere indiretto. (si pensi, ad esempio al numero della tessera di una palestra, il numero di matricola di uno studente, oppure quello di iscrizione all’ordine professionale per un avvocato).

Può capitare che il collegamento tra l’informazione e la persona alla quale questa si riferisce sia stato (temporaneamente) reciso a seguito dell’applicazione da parte del titolare della cd “pseudonimizzazione”. La pseudonimizzazione è una misura di sicurezza che può essere adottata per aumentare il livello di protezione dei dati e limitare il rischio di illecito trattamento. Essa è costituita da una speciale operazione a seguito della quale le informazioni personali non possono più essere ricollegate a uno specifico interessato, senza essere combinate con informazioni aggiuntive, conservate in un database separato protetto da specifiche misure tecniche e organizzative.

Stante la loro inidoneità a identificare un particolare soggetto, salvo il caso di combinazione con ulteriori dati, ci si è chiesto se i dati pseudonimizzati siano da considerarsi alla stregua di quelli anonimi. La risposta del GDPR è chiara: no.

I dati anonimi, infatti, sono caratterizzati dalla una assoluta inidoneità ad identificare l’interessato sin dal momento della loro raccolta, con la conseguenza che non permettono in alcun caso al titolare di risalire all’identità di chi li ha rilasciati (è il caso dei dati raccolti a fini statistici). Come visto sopra, quelli pseudonimizzati conservano invece questa idoneità, seppure in potenza, e per questa ragione sono assoggettati ai principi di tutela dettati dal GDPR.

In conclusione: il GDPR si applica sia ai dati personali ricollegabili direttamente o indirettamente ad un soggetto vivente, sia ai dati pseudonimizzati, mentre esulano dal suo campo d’azione quelli anonimi.