Dati “personali” e dati “identificativi”: come distinguerli?
La raccolta dei dati e la loro adeguata conservazione al fine di far sì che la privacy o “diritto alla riservatezza delle informazioni personali e della propria vita” venga adeguatamente rispettata/o, è sicuramente un argomento che suscita elevato interesse al giorno d’oggi, facendo sì che l’attenzione delle autorità nazionali e comunitarie destinatarie di suddetto compito sia sempre alta.
Tale diritto riconosciuto nel nostro ordinamento a livello costituzionale, è stato infatti oggetto nel recente periodo di modifiche ad opera del nuovo regolamento emanato a tal proposito a livello comunitario, pur residuando ancora ambiti di non di facile e pronta soluzione.
Si è molto discusso ad esempio, sulla differente classificazione all’interno della quale ricondurre i dati così detti “personali” e quelli “identificativi”, che spesso erano stati confusi proprio a causa della somiglianza tra gli stessi, pur disciplinati in maniera distinta all’interno dell’articolo 4 del D.lgs 196/2003 (anche noto come codice della privacy).
La norma statuiva infatti che dovesse essere inquadrato e ricondotto nell’alveo dei dati personali “qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale” (ad esempio nome e cognome della persona, l’indirizzo o i numeri di telefono o di cellulare, codice fiscale e partita IVA)
Tale classificazione è stata confermata nel nuovo regolamento (UE) 2016/679 aggiornato nel maggio del 2018, all’interno del quale si può rinvenire all’interno dell’articolo 4,punto 1), la definizione di dato “personale”: “qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”.
Al contrario sempre all’interno dell’articolo 4 del d.lgs 196/2003, venivano definiti dati identificativi “i dati personali che permettono l’identificazione diretta dell’interessato” (come potrebbe essere ad esempio la fotografia dell’interessato).
Orbene, in tale individuato contesto si è inserita una massima della Corte Suprema di Cassazione, sez. II, ordinanza n.17665 depositata il 5 luglio 2018, con la quale una volta per tutte è stato possibile risolvere tale dubbio interpretativo e riuscire a tracciare il confine tra dati “personali” e identificativi”.
L’ordinanza de qua è stata resa al termine di un giudizio, dove il ricorrente in via principale lamentava con il secondo motivo di ricorso, la violazione ed errata/falsa applicazione della L. n.196 del 2003, e cioè la normativa di riferimento parimenti al Regolamento UE 2016/679. Secondo il ricorrente infatti il Tribunale nell’emissione del provvedimento impugnato, aveva omesso di valutare la distinzione tra dati personali e dati identificativi, ritenendo che i secondi non facessero parte di quei dati per i quali fosse necessario rendere l’informativa di cui all’articolo 13 del suddetto decreto legislativo.
Gli Ermellini ritenendo tale motivo infondato, rilevando come nel caso di specie i dati raccolti fossero senza ombra di dubbio appartenenti all’alveo dei dati personali, e quindi sanzionando l’omesso rilascio dell’informativa di cui all’articolo 13 del codice della privacy, hanno approfittato della proposizione di tale censura per chiarire come il dato identificativo fosse una species riconducibile al genus principale, e statuendo che non fosse corretto tenere distinti i due concetti.
Analizziamo meglio quello che è stato il percorso logico seguito dalla Suprema Corte che ha condotto a ritenere infondato il motivo di ricorso:
“2. Con il secondo motivo la ricorrente deduce la violazione ed errata/falsa applicazione della L. n. 196 del 2003, artt. 4, 13 e 16 (cd. Codice privacy), con riferimento all’art. 360 c.p.c., comma 1, nn. 3 e 5, per aver il Tribunale omesso di valutare la distinzione legale ra dati “personali” dati meramente “identificativi”, non tenendo conto, per l’effetto, che solo per i primi erano richiesti gli adempimenti previsti dall’art. 13.
2.1. Il motivo è infondato.
Premesso che la definizione di “dato personale” è molto ampia (contemplando qualsiasi informazione che consenta di identificare una persona fisica) e comprende senz’altro il nome, il cognome e l’indirizzo di posta elettronica, a ben vedere il concetto di “dato identificativo” non va tenuto distinto da quello di “dato personale”, rappresentando una species all’Interno del genus principale.
Invero, mentre il “dato personale” è quel dato che consente di identificare, anche indirettamente una determinata persona fisica, i “dati identificativi” sono dati personali che permettono tale identificazione direttamente.
In tale prospettiva si è infatti chiarito che (cfr. Cass. n. 1593/2013) ai sensi del D.Lgs. 30 giugno 2003, n. 196, art. 4, “dato personale”, oggetto di tutela, è “qualunque informazione” relativa a “persona fisica, giuridica, ente o associazione”, che siano “identificati o identificabili”, anche “indirettamente mediante riferimento a qualsiasi altra informazione”.
Nella nozione de qua sono stati fatti pacificamente rientrare dalla giurisprudenza di questa Corte (cfr. Cass. n. 17143/2016) anche i dati personali presenti nelle banche dati costituite sulla base degli elenchi telefonici pubblici, per la cui utilizzazione è prescritta la previa l’informativa di cui al D.Lgs. n. 196 del 2003, art. 13 (cd. “codice della privacy“) per l’acquisizione del consenso degli interessati all’utilizzazione dei dati di loro pertinenza (si veda anche Cass. n. 14326/2014, circa la necessità dell’informativa preventiva, per l’invio di un fax promozionale ad un numero estratto dagli elenchi telefonici).
Appare quindi confermata la riconduzione nel novero dei dati personali di cui all’art. 4 per i quali si impone la preventiva informativa di cui all’art. 13, anche del nome e del cognome dell’interessato nonchè dell’indirizzo di posta elettronica, dati raccolti appunto dalla ricorrente, sicchè risulta priva di fondamento la tesi sostenuta da parte ricorrente circa l’inapplicabilità alla fattispecie della previsione di cui all’art. 13 l. n. 196/2003”.
In conclusione, dirimendo ogni dubbio che possa sorgere su tale argomento, è possibile distinguere i “dati personali” dai “dati identificativi” basandosi sulla possibilità e capacità di identificare il soggetto da cui provengono tali dati:
- Dati personali, sono tutti quei dati che consentono di identificare la persona fisica sia in maniera diretta che in maniera indiretta
- Dati identificativi, sono tutti quei dati che consentono di identificare la persona fisica solamente in maniera diretta.
Dott. Alessandro Amato
Dati “personali” e dati “identificativi”: come distinguerli?
La raccolta dei dati e la loro adeguata conservazione al fine di far sì che la privacy o “diritto alla riservatezza delle informazioni personali e della propria vita” venga adeguatamente rispettata/o, è sicuramente un argomento che suscita elevato interesse al giorno d’oggi, facendo sì che l’attenzione delle autorità nazionali e comunitarie destinatarie di suddetto compito sia sempre alta.
Tale diritto riconosciuto nel nostro ordinamento a livello costituzionale, è stato infatti oggetto nel recente periodo di modifiche ad opera del nuovo regolamento emanato a tal proposito a livello comunitario, pur residuando ancora ambiti di non di facile e pronta soluzione.
Si è molto discusso ad esempio, sulla differente classificazione all’interno della quale ricondurre i dati così detti “personali” e quelli “identificativi”, che spesso erano stati confusi proprio a causa della somiglianza tra gli stessi, pur disciplinati in maniera distinta all’interno dell’articolo 4 del D.lgs 196/2003 (anche noto come codice della privacy).
La norma statuiva infatti che dovesse essere inquadrato e ricondotto nell’alveo dei dati personali “qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale” (ad esempio nome e cognome della persona, l’indirizzo o i numeri di telefono o di cellulare, codice fiscale e partita IVA)
Tale classificazione è stata confermata nel nuovo regolamento (UE) 2016/679 aggiornato nel maggio del 2018, all’interno del quale si può rinvenire all’interno dell’articolo 4,punto 1), la definizione di dato “personale”: “qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”.
Al contrario sempre all’interno dell’articolo 4 del d.lgs 196/2003, venivano definiti dati identificativi “i dati personali che permettono l’identificazione diretta dell’interessato” (come potrebbe essere ad esempio la fotografia dell’interessato).
Orbene, in tale individuato contesto si è inserita una massima della Corte Suprema di Cassazione, sez. II, ordinanza n.17665 depositata il 5 luglio 2018, con la quale una volta per tutte è stato possibile risolvere tale dubbio interpretativo e riuscire a tracciare il confine tra dati “personali” e identificativi”.
L’ordinanza de qua è stata resa al termine di un giudizio, dove il ricorrente in via principale lamentava con il secondo motivo di ricorso, la violazione ed errata/falsa applicazione della L. n.196 del 2003, e cioè la normativa di riferimento parimenti al Regolamento UE 2016/679. Secondo il ricorrente infatti il Tribunale nell’emissione del provvedimento impugnato, aveva omesso di valutare la distinzione tra dati personali e dati identificativi, ritenendo che i secondi non facessero parte di quei dati per i quali fosse necessario rendere l’informativa di cui all’articolo 13 del suddetto decreto legislativo.
Gli Ermellini ritenendo tale motivo infondato, rilevando come nel caso di specie i dati raccolti fossero senza ombra di dubbio appartenenti all’alveo dei dati personali, e quindi sanzionando l’omesso rilascio dell’informativa di cui all’articolo 13 del codice della privacy, hanno approfittato della proposizione di tale censura per chiarire come il dato identificativo fosse una species riconducibile al genus principale, e statuendo che non fosse corretto tenere distinti i due concetti.
Analizziamo meglio quello che è stato il percorso logico seguito dalla Suprema Corte che ha condotto a ritenere infondato il motivo di ricorso:
“2. Con il secondo motivo la ricorrente deduce la violazione ed errata/falsa applicazione della L. n. 196 del 2003, artt. 4, 13 e 16 (cd. Codice privacy), con riferimento all’art. 360 c.p.c., comma 1, nn. 3 e 5, per aver il Tribunale omesso di valutare la distinzione legale ra dati “personali” dati meramente “identificativi”, non tenendo conto, per l’effetto, che solo per i primi erano richiesti gli adempimenti previsti dall’art. 13.
2.1. Il motivo è infondato.
Premesso che la definizione di “dato personale” è molto ampia (contemplando qualsiasi informazione che consenta di identificare una persona fisica) e comprende senz’altro il nome, il cognome e l’indirizzo di posta elettronica, a ben vedere il concetto di “dato identificativo” non va tenuto distinto da quello di “dato personale”, rappresentando una species all’Interno del genus principale.
Invero, mentre il “dato personale” è quel dato che consente di identificare, anche indirettamente una determinata persona fisica, i “dati identificativi” sono dati personali che permettono tale identificazione direttamente.
In tale prospettiva si è infatti chiarito che (cfr. Cass. n. 1593/2013) ai sensi del D.Lgs. 30 giugno 2003, n. 196, art. 4, “dato personale”, oggetto di tutela, è “qualunque informazione” relativa a “persona fisica, giuridica, ente o associazione”, che siano “identificati o identificabili”, anche “indirettamente mediante riferimento a qualsiasi altra informazione”.
Nella nozione de qua sono stati fatti pacificamente rientrare dalla giurisprudenza di questa Corte (cfr. Cass. n. 17143/2016) anche i dati personali presenti nelle banche dati costituite sulla base degli elenchi telefonici pubblici, per la cui utilizzazione è prescritta la previa l’informativa di cui al D.Lgs. n. 196 del 2003, art. 13 (cd. “codice della privacy“) per l’acquisizione del consenso degli interessati all’utilizzazione dei dati di loro pertinenza (si veda anche Cass. n. 14326/2014, circa la necessità dell’informativa preventiva, per l’invio di un fax promozionale ad un numero estratto dagli elenchi telefonici).
Appare quindi confermata la riconduzione nel novero dei dati personali di cui all’art. 4 per i quali si impone la preventiva informativa di cui all’art. 13, anche del nome e del cognome dell’interessato nonchè dell’indirizzo di posta elettronica, dati raccolti appunto dalla ricorrente, sicchè risulta priva di fondamento la tesi sostenuta da parte ricorrente circa l’inapplicabilità alla fattispecie della previsione di cui all’art. 13 l. n. 196/2003”.
In conclusione, dirimendo ogni dubbio che possa sorgere su tale argomento, è possibile distinguere i “dati personali” dai “dati identificativi” basandosi sulla possibilità e capacità di identificare il soggetto da cui provengono tali dati:
- Dati personali, sono tutti quei dati che consentono di identificare la persona fisica sia in maniera diretta che in maniera indiretta
- Dati identificativi, sono tutti quei dati che consentono di identificare la persona fisica solamente in maniera diretta.
Dott. Alessandro Amato
Recent posts.
Ritardo di 40 minuti al lavoro, vigilante licenziato: per la Cassazione il provvedimento è legittimo
Un uomo impiegato in attività di sicurezza presso una banca ha impugnato in tribunale il suo licenziamento, avvenuto a causa di un ritardo di 40 minuti. Se in primo grado il suo ricorso era stato [...]
Nella pronuncia del 4 Novembre la Suprema Corte di Cassazione ha dichiarato illegittimo sottoporre il personale sanitario a eccessivi turni di reperibilità. Questo viene annunciato dal Codacons che riporta un’ordinanza della Corte di Cassazione riconoscendo [...]
Con la sentenza n. 30532/24 RG. n. 3103/2024, la Corte di Cassazione Sez III. Penale si è pronunciata sul ricorso avverso la sentenza emessa dalla Corte di Appello di Lecce in data 05/07/2023, annullando quest'ultima [...]
Recent posts.
Ritardo di 40 minuti al lavoro, vigilante licenziato: per la Cassazione il provvedimento è legittimo
Un uomo impiegato in attività di sicurezza presso una banca ha impugnato in tribunale il suo licenziamento, avvenuto a causa di un ritardo di 40 minuti. Se in primo grado il suo ricorso era stato [...]
Nella pronuncia del 4 Novembre la Suprema Corte di Cassazione ha dichiarato illegittimo sottoporre il personale sanitario a eccessivi turni di reperibilità. Questo viene annunciato dal Codacons che riporta un’ordinanza della Corte di Cassazione riconoscendo [...]