Home
Data Governance: quando il dato è (anche) personale

21 Settembre 2020

Data Governance: quando il dato è (anche) personale

di

Quando si parla di governance dei dati l’immaginario collettivo quasi in automatico e all’istante fa un collegamento con il concetto di privacy; come se i dati fossero solo personali e non potessero invece esistere dati non personali.

La definizione di dato personale fornita dalla legge

Per capire bene quando nell’attività di gestione dei dati debbano essere considerate anche le norme sulla tutela dei dati personali, partiamo proprio dalla definizione di dato personale, e nello specifico da quella contenuta nel GDPR all’articolo 4:

[per dato personale si intende] qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.

Dunque il concetto di dato personale riguarda solo le persone fisiche, cioè gli individui, gli esseri umani. Sono escluse dal campo d’azione delle norme sulla privacy le persone giuridiche, ma rimangono comprese le cosiddette “partite IVA” individuali, cioè quei soggetti imprenditoriali o professionali che, pur svolgendo attività commerciali, lo fanno come persone fisiche.

Acquisti di beni immateriali, dati sensibili… quali diritti regolano il software e la gestione dei dati? Simone Aliprandi risponde alle tue domande e presenta il suo nuovo libro Software Licensing e Data Governance. Venerdì 25 settembre alle 11:30 per un’ora. Gratis, online su Zoom. Iscriviti per partecipare!

Il frequente equivoco sul concetto di titolare del dato

Nell’ambito della governance di dati, si usa spesso l’espressione titolare del dato, foriera di numerosi equivoci per il semplice fatto che non trova riscontro in nessuna norma giuridica vigente.

È quindi consigliabile non usare mai quell’espressione. Quando parliamo di titolarità è importante distinguere il piano privacy e il piano proprietà intellettuale.

Se siamo sul piano privacy l’espressione più corretta è titolare del trattamento. Riportando la definizione fornita dal GDPR, sempre all’articolo 4:

[per titolare del trattamento si intende] la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali.

Il titolare del trattamento è dunque colui che tratta i dati senza ricevere istruzioni da altri, colui che decide perché e come devono essere trattati i dati. Non è tanto chi gestisce concretamente i dati, quanto chi decide il motivo e le modalità del trattamento.

Non bisogna poi confondere il titolare del trattamento con il responsabile del trattamento; figura distinta che viene definita dal GDPR come il soggetto che tratta dati personali per conto del titolare del trattamento (nella versione inglese data processor, cioè letteralmente colui che elabora i dati).

Fin qui il piano privacy, che già comporta non poche complicazioni terminologiche. Se invece passiamo al piano proprietà intellettuale, è più corretto parlare di titolare dei diritti sulla banca dati; e più nello specifico di autore della banca dati in caso di banca dati con carattere creativo, oppure di costitutore di banca dati in caso di banca dati senza carattere creativo. Come abbiamo già spiegato, infatti, non c’è alcuna titolarità, nessuna proprietà, sul singolo dato crudo, ma possono esistere dei diritti di privativa solo su un insieme organizzato di dati, appunto la banca dati.

Iscriviti alla nostra newsletter

L’equivoco tra dato pubblico e dato liberamente utilizzabile

Un altro equivoco molto diffuso quanto pericoloso è pensare che un dato reso pubblico sia anche liberamente utilizzabile da chiunque.

Il fatto che un dato sia stato reso pubblico e sia liberamente accessibile da parte di tutti non equivale affatto a una liberatoria generalizzata e illimitata al suo utilizzo da parte di chiunque e per qualsivoglia finalità.

Un esempio abbastanza classico sono gli indirizzi PEC (posta elettronica certificata) dei professionisti iscritti agli albi professionali. Per esigenze di pubblicità e di trasparenza, gli ordini professionali sono tenuti per legge a esporre un elenco aggiornato degli indirizzi PEC dei professionisti, che tra l’altro vengono associati ad altri dati personali come per esempio al codice fiscale e in alcuni casi alla data di nascita.

Come detto, i professionisti sono persone fisiche, dunque, anche se agiscono come soggetti professionali dotati di partita IVA e anche se alcuni dei loro dati sono resi liberamente accessibili attraverso pubblici registri, sono comunque coperti dalla normativa sulla privacy. Non è quindi lecito prelevare i dati da tali elenchi pubblici e poi utilizzarli per inviare ai professionisti proposte commerciali; ma è necessario che vi sia un esplicito consenso da parte degli interessati.

I dati indirettamente personali

A complicare non poco la questione è l’avverbio indirettamente che compare nella definizione di dato personale (sia in quella riportata qui sopra tratta dall’articolo 4 del GDPR, sia in quella della direttiva privacy del 1995, sia nel nostro Codice Privacy del 2003); una parola che da sola riesce a stendere un velo di foschia sulla definizione, la rende molto ampia ed elastica e obbliga l’interprete a interrogarsi di volta in volta se i dati che sta trattando siano riconducibili anche solo in modo indiretto a una persona fisica.

Ci sono infatti molti casi in cui il dato, preso singolarmente, fuori dal suo contesto e osservato superficialmente, appare privo di collegamenti con una persona fisica; ma, nel momento in cui lo contestualizzo e lo metto in relazione ad altri dati presenti nello stesso dataset o in altre fonti, lo stesso dato diventa personale e quindi sottoposto a tutte le cautele previste dalla normativa privacy.

Il Considerando 26 del GDPR approfondisce così il tema dell’identificabilità anche indiretta di una persona:

I dati personali sottoposti a pseudonimizzazione, i quali potrebbero essere attribuiti a una persona fisica mediante l’utilizzo di ulteriori informazioni, dovrebbero essere considerati informazioni su una persona fisica identificabile. Per stabilire l’identificabilità di una persona è opportuno considerare tutti i mezzi, come l’individuazione, di cui il titolare del trattamento o un terzo può ragionevolmente avvalersi per identificare detta persona fisica direttamente o indirettamente. Per accertare la ragionevole probabilità di utilizzo dei mezzi per identificare la persona fisica, si dovrebbe prendere in considerazione l’insieme dei fattori obiettivi, tra cui i costi e il tempo necessario per l’identificazione, tenendo conto sia delle tecnologie disponibili al momento del trattamento, sia degli sviluppi tecnologici.

Facciamo qualche esempio concreto di dati in apparenza non personali che tuttavia, ad alcune condizioni, possono essere considerati indirettamente personali.

I dati territoriali a fini statistici

Nella raccolta di dati territoriali di qualsiasi tipo su un’area abitata vi è sempre il rischio che l’informazione fornita possa essere ricondotta a un gruppo di persone o addirittura a una persona specifica. Ciò dipende molto dal livello di precisione e – potremmo dire – di risoluzione del dato; più il dato raccolto ha riferimenti geografici precisi, più c’è il rischio che esso violi la privacy.

I dati meteorologici

Dati come la pressione atmosferica, il tasso di umidità, la temperatura esterna hanno davvero molto poco di personale. Tuttavia esistono progetti web che permettono di raccogliere e monitorare questi dati attraverso delle centraline a basso costo acquistabili da utenti privati. Succede quindi che un privato cittadino acquista una di queste centraline, la mette sul balcone o sul tetto della sua abitazione, la connette alla rete Internet e permette alla centralina di caricare periodicamente i dati su una piattaforma web. Quasi tutte queste centraline hanno un rilevatore GPS e dunque, tra i vari dati che possono raccogliere e comunicare al server, vi è anche la geolocalizzazione, che in questo caso corrisponde alla posizione geografica precisa dell’abitazione privata di una persona fisica. A ciò aggiungiamo che per caricare i dati il proprietario della centralina deve creare un suo account nella piattaforma web.

I dati sui rifugi di montagna

Ipotizziamo di essere una startup che vuole realizzare un sito web che permetta agli escursionisti di mettersi in contatto con più facilità con i rifugi di montagna. La tentazione che potrebbe venire è utilizzare gli elenchi pubblici che le regioni e le comunità montane compilano ed espongono con i recapiti dei rifugi di montagna ed estrarre i dati da lì.

Entriamo qui nel campo del problema già segnalato della distinzione tra persone giuridiche (non rilevanti per la privacy) e persone fisiche (rilevanti per la privacy). Infatti una buona fetta dei rifugi è gestita da persone fisiche, a volte nemmeno dotate di una partita IVA, per le quali il rifugio rappresenta anche la propria residenza privata. Benché negli elenchi pubblici non vi sia questa distinzione (perché, ai fini della compilazione dell’elenco pubblico, le regioni e le comunità montane non sono interessate alla distinzione), se siamo una startup che invece svolge quest’attività a scopo di lucro (legittimamente) dobbiamo preoccuparci di fare una distinzione a posteriori dei casi in cui il rifugio è gestito da una persona giuridica e dei casi in cui invece è gestito da una persona fisica. Noi per le persone fisiche dovremo attivarci per ottenere il consenso al trattamento del dato, essendo il consenso l’unica base giuridica utilizzabile in questo caso; mentre, al contrario, le regioni e le comunità montane possono sfruttare un’altra base giuridica legata alla funzione pubblico-istituzionale di quegli elenchi.

Anonimizzazione e pseudonimizzazione

Nonostante il GDPR all’articolo 4 fornisca una serie molto completa e dettagliata di definizioni necessarie a comprendere e applicare le norme successive, non si trova una definizione di dato anonimo o di anonimizzazione.

Possiamo però dedurre qualche utile chiarimento dalla lettura del Considerando 26, nel quale si fa presente che i principi di protezione dei dati non dovrebbero applicarsi a informazioni anonime, vale a dire informazioni che non si riferiscono a una persona fisica identificata o identificabile o a dati personali resi sufficientemente anonimi da impedire o da non consentire più l’identificazione dell’interessato. Il presente regolamento non si applica pertanto al trattamento di tali informazioni anonime, anche per finalità statistiche o di ricerca.

In compenso, l’articolo 4 GDPR ci fornisce una definizione ben chiara di un altro concetto parallelo ma in sostanza diverso: il concetto di pseudonimizzazione.

[per pseudonimizzazione si intende] il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile.

A differenza di un dato anonimo, un dato pseudonimizzato può essere ricostruito a posteriori e portare comunque a un’identificazione indiretta dell’interessato.

Il caso delicato delle sentenze

Un esempio che di solito emerge in tema di anonimizzazione e pseudonimizzazione è quello delle sentenze e in generale dei provvedimenti giudiziari (ordinanze, decreti, verbali, determine). Come è noto, le sentenze di tribunali e corti vengono emesse in nome del popolo italiano e sono senza dubbio un atto pubblico. Una sentenza, nonostante sia a tutti gli effetti un’opera dell’ingegno che richiede un tangibile sforzo intellettuale per la sua stesura, risulta fuori dal campo d’azione del diritto d’autore in virtù dell’articolo 5 LDA e dunque è un documento in pubblico dominio e liberamente utilizzabile da chiunque senza vincoli di copyright.

Tuttavia, anche se il diritto d’autore si fa da parte, non viene meno il diritto della privacy che agisce sui (molti) dati personali che una sentenza di norma riporta; d’altronde la sentenza è sì un atto pubblico, ma è comunque un atto che tratta vicende private riconducibili a persone fisiche. E attenzione: non si tratta solo dei classici dati anagrafici che compaiono nell’incipit della sentenza; ma anche delle vicende e dei fatti narrati all’interno del documento, che spesso non riguardano solo le parti in causa bensì anche soggetti esterni alla vicenda (come i testimoni o membri nel nucleo famigliare che vengono menzionati nella ricostruzione delle dinamiche processuali).

L’immagine di una persona come dato personale

L’immagine di una persona è soggetta a una tutela multipla da parte dell’ordinamento giuridico. Secondo il diritto della proprietà intellettuale i cosiddetti diritti d’immagine (denominati in modo più corretto diritti relativi al ritratto) sono tutelati con un diritto esclusivo in capo alla persona fisica che presta la sua immagine affinché sia ritratta e riprodotta anche a scopi commerciali (il caso delle fotomodelle e dei testimonial della pubblicità).

Quando però l’immagine non riguarda un personaggio famoso che volontariamente o comunque in virtù della sua notorietà espone la sua immagine al pubblico, l’immagine deve essere trattata anche come dato personale e dunque è necessario applicare le cautele previste dalle norme sulla privacy. In effetti, la definizione di dato personale fornita dall’articolo 4 del GDPR che abbiamo già riportato poco sopra menziona espressamente gli elementi caratteristici della […] identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale [di una persona] e una fotografia può rientrare nella categoria dei cosiddetti dati biometrici.

Internet come grande oceano di dati in cui pescare?

Senza dubbio la disponibilità massiva di dati via Internet apre una nuova era dell’informazione ispirata proprio alla raccolta, scambio, rielaborazione di grandi masse di dati dalle quali è possibile estrarre un valore economico non indifferente: sono i cosiddetti Big Data, appunto definiti da alcuni come il nuovo petrolio dell’era dell’informazione che stiamo vivendo. La disponibilità di tecnologie sempre più performanti e a basso costo per l’estrazione e la rielaborazione di dati da Internet (software di scraping e parsing) nonché la disponibilità di competenze per utilizzarle permette a molti soggetti di spingere la raccolta e il riutilizzo di dati verso nuove frontiere.

Tuttavia, se da un lato può esserci la tentazione di vedere Internet come un grande oceano di dati da cui pescare liberamente, dall’altro lato dobbiamo appunto ricordarci che è necessario conoscere e rispettare i limiti imposti dalla proprietà intellettuale e dalla data protection. Proprio a proposito del concetto di Big Data, Fernanda Faini rileva che:

i dati provengono da fonti diverse e sono di tipologia eterogenea: nei big data convergono dati non personali, ma anche dati personali […]. Trattandosi di dati, anche nel caso dei big data come per gli open data, i profili maggiormente problematici si individuano proprio nella relazione con la normativa in materia di protezione dei dati personali. […] In specifico, a causa delle esaminate caratteristiche che connotano il fenomeno, relative in particolare al volume e alla varietà delle fonti, l’utilizzo dei big data, laddove siano presenti dati personali, rende particolarmente problematico il rispetto dei principi di limitazione della finalità [del trattamento], minimizzazione dei dati ed esattezza, previsti dalla normativa (Fernanda Faini, Data society. Governo dei dati e tutela dei diritti nell’era digitale, Giuffrè, Milano, 2019, pp. 191-192).

In altre parole i Big Data rispondono all’esigenza, o potremmo dire alla seducente tentazione, di raccogliere attraverso la Rete e attraverso le app per dispositivi mobili grandi masse di dati, su cui però solo ex post si metteranno le mani per estrarne valore e informazione, creando così un cortocircuito con il principio di cui all’articolo 5 GDPR secondo cui le finalità di una raccolta di dati personali devono essere chiare e definite ex ante e con il principio secondo cui i dati raccolti devono essere adeguati, pertinenti e limitati a quanto necessario rispetto a tali finalità.

Immagine di apertura di ThisisEngineering RAEng su Unsplash

Questo articolo richiama contenuti dal capitolo 7 di Software Licensing & Data Governance.

L'autore

  • Simone Aliprandi
    Simone Aliprandi è un avvocato che si occupa di consulenza, ricerca e formazione nel campo del diritto d’autore e più in generale del diritto dell’ICT. Responsabile del progetto copyleft-italia.it, è membro del network Array e collabora come docente con alcuni istituti universitari. Ha pubblicato articoli e libri sul mondo delle tecnologie open e della cultura libera, rilasciando tutte le sue opere con licenze di tipo copyleft.

Iscriviti alla newsletter

Novità, promozioni e approfondimenti per imparare sempre qualcosa di nuovo

Gli argomenti che mi interessano:
Iscrivendomi dichiaro di aver preso visione dell’Informativa fornita ai sensi dell'art. 13 e 14 del Regolamento Europeo EU 679/2016.

Corsi che potrebbero interessarti

Tutti i corsi
corso-data-governance Simone Aliprandi Corso Online

Data governance: diritti, licenze e privacy

con Simone Aliprandi

I dati sono ovunque intorno a noi ma per poterli utilizzare in sicurezza bisogna confrontarsi con temi complessi che riguardano licenze, proprietà intellettuale e privacy. Se non ti senti sicuro o hai paura di prendere la decisione sbagliata, il corso di Simone Aliprandi fa per te.

big-_data_executive-home Corso Online

Big Data Executive: business e strategie

con Andrea De Mauro

Vuoi capire se e come la tua azienda può ottenere un vantaggio di business investendo in una strategia di creazione e analisi di Big Data? Il corso di Andrea De Mauro è quello che ti serve.

Strategie_e_modelli_contrattuali_per_cedere_e_acquisire_software-simone-aliprandi-cover Corso Online

Strategie e modelli contrattuali per cedere e acquisire software

con Simone Aliprandi

Il tuo lavoro è sviluppare software, oppure hai deciso di affidarti a qualcuno per il software che ti serve? È arrivato il momento di preparare un preventivo o di firmare un contratto, ma non sai come comportarti? Il corso di Simone Aliprandi ti viene in aiuto.


Libri che potrebbero interessarti

Tutti i libri

Software Licensing & Data Governance

Tutelare e gestire le creazioni tecnologiche

22,40

29,89€ -25%

18,91

19,90€ -5%

9,99

di Simone Aliprandi

Data Science

Guida ai principi e alle tecniche base della scienza dei dati

41,25

59,99€ -31%

33,25

35,00€ -5%

24,99

di Sinan Ozdemir

Big Data Analytics

Analizzare e interpretare dati con il machine learning

19,99

di Andrea De Mauro


Articoli che potrebbero interessarti

Tutti gli articoli