Dati personali, dati anonimi e “accountability”

È incontrovertibile che nell’ultima decade la fruizione di servizi presenti sulla rete ha determinato un aumento della quantità di informazioni, personali e non, ricavabili dall’utilizzo (rectius, trattamento) di dati.

È altresì evidente che la crescita di domanda (e relativo consumo) di tali servizi non è fenomeno di cui ci si è accorti nell’ultimo periodo, essendo invero una tendenza che è andata aumentando e che si è intensificata a tal punto da determinare, dal suo canto, la nascita di moltissime abitudini che risultavano, se non sconosciute, senza dubbio non così diffuse. Questo aspetto risulta ancora più evidente se guardiamo all’attuale contesto pandemico dove, per ovvie ragioni, si è costretti a dover gestire ed organizzare la propria vita (affetti, lavoro ed istruzione) prevalentemente attraverso servizi e piattaforme presenti sul web.

Tale situazione, sul versante dell’interesse giuridico, ha riguardato (e tutt’ora riguarda) diversi settori: si pensi alle ripercussioni in ambito concorrenziale in considerazione della rilevanza che talune aziende hanno assunto nei nuovi mercati digitali e, di conseguenza, alla necessità di inquadrare correttamente le dinamiche interne ad essi per essere in grado di prevenire (e, se del caso, combattere) eventuali pratiche lesive della concorrenza[1]. Si rifletta inoltre sulle problematiche emergenti (ed emerse) in ambito di tutela dati personali con riferimento, principalmente, alla diffusione e al trattamento di questi ultimi come “corrispettivo” per l’accesso all’ampia gamma di servizi fruibili in rete[2].

Il dato, infatti, sia esso personale o anonimo, è oggi risorsa fondamentale.

Tuttavia, non essendo il tema di questo articolo quello della rilevanza dei dati in generale (nell’ambito cioè di quel vasto fenomeno chiamato “Big Data”, per il quale si rimanda ad altri articoli presenti sulla rivista), il punto di partenza risiede nella definizione di che cos’è, realmente, il dato personale e cosa lo distingue dal dato c.d. “anonimo”, per poi analizzare alcune tematiche in fatto di accountability.

Ai sensi dell’art. 4 del, n. 1, del Regolamento UE n. 679/2016 (di seguito, il “Regolamento” o “GDPR”), dato personale è “qualsiasi informazione riguardante una persona fisica identificata o identificabile (“personal data” means any information relating to an identified or identifiable natural person (‘data subject’); an identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person😉”[3].

Muovendo, dunque, dalla definizione di dato personale si può desumere (prima facie) che cosa si intende quando, all’opposto, si parla di dato anonimo (o comunque non personale), ossia quello che non consente di risalire, fin dall’origine o a seguito di trattamento, ad un determinato individuo. Elemento centrale ai fini della distinzione in esame risulta essere la c.d. collegabilità, che altro non è se non la possibilità di ricondurre ad una determinata informazione, ottenuta a partire dall’attività di estrazione compiuta sul dato, uno specifico individuo.[4]

In tale ottica, il requisito della collegabilità, se ad un primo sguardo può apparire univoco, a ben vedere risulta variabile in funzione alla presenza di ulteriori elementi. Tra questi: il soggetto che opera il collegamento, il contesto nel quale esso opera nonché, altrettanto importante, il dominio di conoscenze disponibili[5].

È dunque per questo che, più in profondità, l’anonimità risulta essere una caratteristica alquanto relativa e, come anticipato, variabile. Da questo ne consegue un importante corollario, in quanto ai fini della corretta individuazione del trattamento che concretamente andrà operato bisognerà guardare non soltanto in superficie, bensì sarà necessario un attento scrutinio circa la dinamicità della relazione intercorrente tra “dato personale e non personale” e solo dopo aver svolto approfonditamente tale analisi si potrà procedere all’individuazione corretta del regime normativo applicabile e del relativo trattamento.

Tale attenzione, da collocarsi dunque in fase di esatta identificazione del trattamento da porre in essere, assume particolare importanza in quanto, ben al di là della dicotomia dato personale/non personale, potrà poi risultare oggetto di accertamento (ed eventualmente di responsabilità) in sede di valutazione circa il comportamento accountable (o meno) del titolare del trattamento stesso.

Tuttavia, è il caso di porsi alcune domande: quando il titolare del trattamento dei dati personali può dirsi “accountable”? Ma soprattutto, che cosa si intende con il termine “accountability”?

Ebbene, il principio di accountability, sancito all’art. 24 del GDPR, è un elemento presente nell’intero corpus normativo del Regolamento a protezione dei dati personali. Volendo trovare un’espressione che ci consenta di tradurlo in italiano si potrebbe suggerire la formula, da più parti ormai consolidata e condivisa, “principio di responsabilizzazione”[6].

Infatti, se anteriormente all’entrata in vigore del Regolamento la tecnica normativa utilizzata per tutelare il dato personale avverso trattamenti non conformi a quanto prescritto risultava essere caratterizzata da obblighi precisi e stabiliti ex ante, con l’entrata in vigore del GDPR abbiamo assistito ad una scelta diversa da parte del legislatore comunitario, consistente nella volontà di responsabilizzare il titolare del trattamento sul presupposto di una costante e necessaria (oltre che necessitata) gestione del rischio[7].

Questo ha comportato l’affermarsi di un importante cambio di paradigma nella gestione dei dati personali sottoposti a trattamento da parte del titolare, in quanto la valutazione circa l’adeguatezza e la correttezza della predetta gestione, d’ora in avanti, passerà inevitabilmente ad un esame successivo che avrà ad oggetto quanto concretamente posto in essere in sede di trattamento.

A ben vedere, tale soluzione, per quanto “disruptive” rispetto al precedente quadro normativo di riferimento[8], risulta in linea con il complesso contesto nel quale oggi viene operato il trattamento dei dati (personali e non) a causa dell’enorme quantità di aziende che svolgono attività per le quali il relativo core business è rappresentato proprio dalla possibilità di accedere ad una quantità sterminata e ampia di dati (tra i quali quelli personali sono senza dubbio una componente assai rilevante, per non dire quanto già esposto in fatto di malleabilità della definizione di anonimità dei dati)[9].

Invero, considerando il mutamento dello scenario relativo al trattamento dei dati personali, non risulta inconcepibile che il legislatore abbia preferito introdurre modifiche rilevanti dal punto di vista dell’approccio (con riferimento cioè agli obblighi che gravano sul titolare del trattamento) in quanto, se in passato risultava anche possibile delineare preventivamente una disciplina prescrittiva valevole per tutti, attualmente non è ipotizzabile prevedere ex ante tutte le criticità che potrebbero sorgere a seguito del trattamento dei dati suddetti, e ciò a causa della eterogeneità di finalità sottesa all’accesso a tali informazioni.

Di conseguenza, appare evidente l’importanza di “responsabilizzare” gli operatori che trattano i dati personali degli utenti in quanto solamente così, riconoscendo cioè un obbligo di responsabilizzazione (e rendicontazione) in capo a chi svolge tale attività, si può sperare di individuare il corretto approccio da plasmare caso per caso.

Venendo ora ai profili attinenti alle procedure che un determinato soggetto deve porre in essere, avuto riguardo al trattamento compiuto, si possono distinguere due piani: il primo, vincolante per tutti i titolari, riguardante il dovere di predisporre misure di sicurezza nonché di conservazione della relativa prova; il secondo, di natura volontaria, correlato invece a scelte dipendenti dal caso di specie e dunque alla gestione dei rischi legati alla fattispecie concreta (una specie di compliance legata al trattamento di dati personali)[10].

Sul punto, molto importante risulta essere quanto previsto dall’art. 32 del Regolamento, ossia l’attività di “valutazione d’impatto” (nota altresì come DPIA, “Data Protection Impact Assessment”) necessaria al fine di individuare tutti i rischi insiti al trattamento da operare. Tale attività, con tutta evidenza, non potrà che essere preventiva rispetto alle misure di sicurezza che il titolare deciderà di applicare ai fini della protezione dei dati degli utenti[11].

In conclusione, l’attività che verrà posta in essere dal titolare del trattamento risulterà particolarmente complessa: non basterà, infatti, guardare il contenuto del GDPR per ivi individuare ciò che è necessario porre in essere al fine di una corretta gestione del trattamento legittimo, bensì risulterà fondamentale compiere uno “screening” capillare che, partendo dai principi enunciati nel Regolamento, abbraccerà al suo interno moltissime attività tra le quali quelle di valutazione, predisposizione di strumenti di policy interna nonché, per ovvie ragioni, di monitoraggio continuo[12].

 

[1] Rispetto al tema si guardi ad altri contributi presenti su “Ius in itinere”, tra i quali https://www.iusinitinere.it/il-valore-dei-dati-prospettive-e-caratteristiche-dei-big-data-35418, a cura del sottoscritto, e anche “I Big data e la rivoluzione digitale del diritto”, a cura di Lucrezia Berto, https://www.iusinitinere.it/big-data-la-rivoluzione-digitale-del-diritto-7624

[2] Sul valore di dati personali come corrispettivo economico per la fruizione di servizi presenti sulla rete rimando all’articolo di S. Giancone, relativo al caso che ha coinvolto il noto gigante del digitale Facebook e l’AGCM, “Il Caso Facebook c. AGCM: i dati personali sono controprestazioni contrattuali”, https://www.iusinitinere.it/il-caso-facebook-c-agcm-i-dati-personali-sono-controprestazioni-contrattuali-28610

[3] Art. 4, n.1, Regolamento Generale sulla Protezione dei dati (GDPR), 2016/679.

[4] G. Finocchiaro, “Intelligenza artificiale e protezione dei dati personali”, in “Intelligenza artificiale e diritto” a cura di    U. Ruffolo e E. Gabrielli, rivista online “Dottrina e attualità giuridiche” pag. 1670 e ss.

[5] G. Finocchiaro, op. citata, vd. nota 2.

[6] “Tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate a garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento” (Art. 24, GDPR, Reg. UE n. 679/2016). Altri parlano di principio di “rendicontazione”, ma si può sostenere che non sia solamente una la definizione corretta per tradurre questa formula ampia in quanto, oltre a finalità di responsabilizzazione, con i relativi obblighi in capo ai titolari di adottare talune misure, vi sono anche quelle di rendicontazione, ossia di dare prova che sono state adottate misure idonee a prevenire i rischi insiti nella gestione dei dati personali.

[7] G. Finocchiaro, “GDPR tra novità e discontinuità: il principio di accountability”, in “Pluris – Giurisprudenza italiana”, 2021, Wolters Kluwer editore

[8] Si veda l’abrogata Direttiva 95/46/CE nonché il “Disciplinare tecnico in materia di misure minime di sicurezza” contenuto nel D.Lgs n. 196/2003, anch’esso abrogato.

[9] Si pensi a quei colossi, noti come veri e propri “Gatekeepers”, rientranti nell’acronimo “G.A.F.A.M”: Google, Apple, Facebook, Amazon e Microsoft,

[10] Sul tema della compliance aziendale, e nello specifico quella antitrust, rimando a quanto spiegato da M. Cerciello nel suo contributo presente sulla rivista “Ius in itinere”, “Compliance antitrust: tra rispetto della concorrenza e prevenzione degli illeciti”, https://www.iusinitinere.it/compliance-antitrust-tra-rispetto-della-concorrenza-e-prevenzione-degli-illeciti-35948

[11] A tal proposito, utile l’indicazione contenuta nel Considerando 75 del GDPR che chiarisce: “I rischi per i diritti e le libertà delle persone fisiche, aventi probabilità e gravità diverse, possono derivare da trattamenti di dati personali suscettibili di cagionare un danno fisico, materiale o immateriale (…)”.

[12] Sotto certi aspetti, come suggerito da G. Finocchiaro, ciò di cui sarà gravato il titolare del trattamento non appare dissimile a ciò cui è tenuto qualsiasi imprenditore quando si trova a dover individuare quali modelli organizzativi applicare in virtù del D.lgs n. 231 del 2001, vd. opera citata alla nota 5.