Tra le disposizioni più importanti del diritto derivato europeo in materia di privacy c’è l’articolo 4 del GDPR: cosa contiene?
La necessaria comprensione dell’articolo 4 del GDPR
L’analisi che segue è importante perché contiene tutte le definizioni su principi, soggetti, pratiche, figure professionali: è bene soffermarsi cioè sull’articolo 4 del GDPR.
Il GDPR, ripetiamolo, è l’acronimo che indica il Regolamento Generale sulla Protezione dei Dati. È uno dei regolamenti europei che ha avuto più impatto sulle legislazioni degli Stati membri dell’UE: è il regolamento sulla privacy che, con 99 articoli, fa spesso riferimento a precedenti regolamenti o direttive[1]. Bisogna così prendere in considerazione una nuova terminologia (date anche le evoluzioni tecnologiche ed informatiche).
Le definizioni presenti nel GDPR all’articolo 4
Passiamo quindi all’articolo 4 del GDPR. Esso contiene una lista di definizioni utili per comprendere la materia privacy.
Tra queste, non riporto le definizioni date di “impresa”[2], “gruppo di imprese”[3] e “organizzazione internazionale”[4] perché semplici, non perché inutili per la comprensione della materia.
Ai sensi dell’articolo 4 del GDPR riporto le definizioni presenti nello stesso ordine:
- “dato personale” (personal data): si tratta di quelle informazioni relative a una persona fisica identificata o identificabile[5], l’”interessato” (data subject);
- “trattamento” (processing): qualsiasi operazione o insieme di operazioni eseguite su dati personali o su insiemi di dati personali, anche con mezzi automatizzati, quali raccolta, registrazione, organizzazione, strutturazione, conservazione, adattamento o modifica, recupero, consultazione, utilizzo, divulgazione mediante trasmissione, diffusione o messa a disposizione in altro modo, allineamento o combinazione, restrizione, cancellazione o distruzione;
- “limitazione del trattamento” (restriction of processing): è il contrassegno dei dati personali archiviati allo scopo di limitarne il trattamento in futuro[6];
- “profilazione” (profiling): qualsiasi forma di trattamento automatizzato di dati personali consistente nell’uso di dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti le prestazioni di tale persona fisica sul lavoro, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, la posizione o i movimenti[7];
- “pseudonimizzazione” (pseudonymisation)[8]: è il trattamento dei dati personali in modo tale che i dati non possano più essere attribuiti a un determinato interessato senza l’uso di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e siano soggette a misure tecniche e organizzative per garantire che i dati personali non siano attribuiti a persona fisica identificata o identificabile;
- “sistema di archiviazione” (filing system): qualsiasi insieme strutturato di dati personali accessibili secondo criteri specifici, centralizzato, decentralizzato o disperso su base funzionale o geografica;
- “titolare” (controller): la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; qualora le finalità e i mezzi di tale trattamento siano determinati dal diritto dell’Unione o dello Stato membro, il titolare del trattamento o i criteri specifici per la sua nomina possono essere previsti dal diritto dell’Unione o dello Stato membro;
- “responsabile del trattamento” (processor): persona fisica o giuridica, autorità pubblica, agenzia o altro organismo che tratta dati personali per conto del titolare del trattamento;
- “destinatario” (recipient): una persona fisica o giuridica, un’autorità pubblica, un’agenzia o un altro organismo a cui sono comunicati i dati personali, che si tratti o meno di un terzo[9];
- “terzo” (third party): una persona fisica o giuridica, un’autorità pubblica, un’agenzia o un organismo diverso dall’interessato, dal titolare del trattamento, dal responsabile e dalle persone che, sotto la diretta autorità del titolare o del responsabile, sono autorizzate a trattare dati personali;
- “consenso dell’interessato” (consent): qualsiasi manifestazione di volontà liberamente data, specifica, informata e inequivocabile dell’interessato con la quale lo stesso, mediante una dichiarazione o un’azione affermativa inequivocabile, esprime il consenso al trattamento dei dati personali che lo riguardano o lei;
- “violazione dei dati personali” (personal data breach): è la violazione della sicurezza che porta alla distruzione, perdita, alterazione, divulgazione non autorizzata o all’accesso non autorizzati o illeciti a dati personali trasmessi, archiviati o altrimenti trattati;
- “dati genetici” (genetic data): i dati personali relativi alle caratteristiche genetiche ereditate o acquisite di una persona fisica che forniscono informazioni uniche sulla fisiologia o sulla salute di tale persona fisica e che risultano, in particolare, dall’analisi di un campione biologico della persona in questione;
- “dati biometrici” (biometric data): i dati personali risultanti da un trattamento tecnico specifico relativo alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica, che consentono o confermano l’identificazione univoca di tale persona fisica, come le immagini del volto o i dati dattiloscopici;
- “dati relativi alla salute” (data concerning health): sono i dati personali relativi alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni sul suo stato di salute;
- “stabilimento principale” (main establishment): per quanto riguarda un titolare del trattamento con sedi in più di uno Stato membro, la sede della sua amministrazione centrale nell’Unione, a meno che le decisioni sulle finalità e sui mezzi del trattamento di dati personali non siano prese in un altro stabilimento del titolare del trattamento nell’Unione e che quest’ultimo stabilimento abbia facoltà di ordinare l’esecuzione di tali decisioni, nel qual caso lo stabilimento che ha adottato tali decisioni deve essere considerato lo stabilimento principale; per quanto riguarda un responsabile del trattamento con sedi in più di uno Stato membro, il luogo della sua amministrazione centrale nell’Unione o, se il responsabile del trattamento non ha un’amministrazione centrale nell’Unione, lo stabilimento del responsabile del trattamento nell’Unione in cui sono condotte le principali attività di trattamento nel contesto delle attività di uno stabilimento del responsabile del trattamento nella misura in cui tale responsabile è soggetto a obblighi specifici ai sensi del presente regolamento;
- “rappresentante” (representative): una persona fisica o giuridica stabilita nell’Unione che, designata per iscritto dal titolare o dal responsabile del trattamento a norma dell’Articolo 27[10], rappresenta il titolare o il responsabile del trattamento in relazione ai rispettivi obblighi ai sensi del presente regolamento;
- “norme vincolanti d’impresa” (binding corporate laws): sono politiche di protezione dei dati personali a cui aderisce un titolare o responsabile del trattamento stabilito nel territorio di uno Stato membro per trasferimenti o un insieme di trasferimenti di dati personali a un titolare o responsabile del trattamento in uno o più paesi terzi all’interno di un gruppo di imprese, o gruppo di imprese che svolgono un’attività economica comune;
- “autorità di controllo” (supervisory authority): un’autorità pubblica indipendente istituita da uno Stato membro a norma dell’Articolo 51[11];
- “autorità di controllo interessata” (supervisory authority concerned): un’autorità di controllo interessata dal trattamento dei dati personali perché: il titolare o il responsabile del trattamento è stabilito nel territorio dello Stato membro di tale autorità di controllo; gli interessati residenti nello Stato membro di tale autorità di controllo sono sostanzialmente interessati o possono essere sostanzialmente interessati dal trattamento; o è stato presentato un reclamo a tale autorità di controllo;
- “trattamento transfrontaliero” (cross-border processing): significa trattamento di dati personali che ha luogo nell’ambito delle attività di stabilimenti in più di uno Stato Membro di un responsabile del trattamento o responsabile del trattamento nell’Unione in cui il responsabile del trattamento o responsabile del trattamento è stabilito in più di uno Stato membro; o trattamento di dati personali che ha luogo nel contesto delle attività di un unico stabilimento di un titolare del trattamento o responsabile del trattamento nell’Unione ma che incide o può incidere in modo sostanziale sugli interessati in più di uno Stato membro;
- “obiezione pertinente e motivata” (relevant and reasoned objection): un’obiezione al progetto di decisione sul fatto che vi sia o meno una violazione del presente regolamento, oppure che l’azione prevista in relazione al titolare del trattamento o responsabile del trattamento sia conforme al presente regolamento, la quale obiezione dimostra chiaramente la rilevanza dei rischi posti dal progetto di decisione riguardo ai diritti e alle libertà fondamentali degli interessati e, ove applicabile, alla libera circolazione dei dati personali all’interno dell’Unione;
- “servizio della società dell’informazione (information society service): si tratta di un servizio quale definito all’articolo 1, paragrafo 1, lettera b), della direttiva (UE) 2015/1535 del Parlamento europeo e del Consiglio[12].
Informazioni
General Data Protection Regulation – reperibile nella rete interconnessa
Direttiva EU 2015/1535 del Parlamento Europeo e del Consiglio – reperibile online. Link: https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32015L1535#d1e245-1-1
[1] Per un approfondimento sul GDPR rimando all’articolo più specifico che ho scritto per DirittoConsenso: http://www.dirittoconsenso.it/2021/11/26/il-gdpr/
[2] Termine che indica una persona fisica o giuridica che esercita un’attività economica, indipendentemente dalla sua forma giuridica, comprese le società di persone o le associazioni che esercitano regolarmente un’attività economica.
[3] Termine che indica un’impresa controllante e le sue controllate.
[4] Termine che indica un’organizzazione e gli suoi organi subordinati regolati dal diritto internazionale pubblico, o qualsiasi altro organismo istituito da o sulla base di un accordo tra due o più Stati.
[5] È persona fisica identificabile quella persona che può essere identificata, direttamente o indirettamente, in particolare facendo riferimento a un identificatore come un nome, un numero di identificazione, dati relativi all’ubicazione, un identificatore online o a uno o più fattori specifici del fisico, della fisiologia, dell’identità genetica, mentale, economica, culturale o sociale della persona fisica.
[6] Si rimanda più di preciso all’articolo 18 del GDPR.
[7] Il rischio del profiling delle persone è salito alla ribalta con la diffusione del Covid-19 e con le app di tracciamento. Per un approfondimento sull’argomento rimando all’articolo di Guido Casavecchia: http://www.dirittoconsenso.it/2020/06/14/contact-tracing-e-app/
[8] Attenzione a non confondere pseudonimizzazione con anonimizzazione. Sul punto è necessario citare il considerando 26 del GDPR. Questo recita: “È auspicabile applicare i principi di protezione dei dati a tutte le informazioni relative a una persona fisica identificata o identificabile. I dati personali sottoposti a pseudonimizzazione, i quali potrebbero essere attribuiti a una persona fisica mediante l’utilizzo di ulteriori informazioni, dovrebbero essere considerati informazioni su una persona fisica identificabile. Per stabilire l’identificabilità di una persona è opportuno considerare tutti i mezzi, come l’individuazione, di cui il titolare del trattamento o un terzo può ragionevolmente avvalersi per identificare detta persona fisica direttamente o indirettamente. Per accertare la ragionevole probabilità di utilizzo dei mezzi per identificare la persona fisica, si dovrebbe prendere in considerazione l’insieme dei fattori obiettivi, tra cui i costi e il tempo necessario per l’identificazione, tenendo conto sia delle tecnologie disponibili al momento del trattamento, sia degli sviluppi tecnologici. I principi di protezione dei dati non dovrebbero pertanto applicarsi a informazioni anonime, vale a dire informazioni che non si riferiscono a una persona fisica identificata o identificabile o a dati personali resi sufficientemente anonimi da impedire o da non consentire più l’identificazione dell’interessato. Il presente regolamento non si applica pertanto al trattamento di tali informazioni anonime, anche per finalità statistiche o di ricerca.”.
[9] Tuttavia, non sono considerate destinatari le autorità pubbliche che possono ricevere dati personali nell’ambito di una particolare indagine conformemente al diritto dell’Unione o degli Stati membri; il trattamento di tali dati da parte di tali autorità pubbliche deve essere conforme alle norme sulla protezione dei dati applicabili in base alle finalità del trattamento.
[10] Rubricato “Rappresentanti di titolari del trattamento o dei responsabili del trattamento non stabiliti nell’Unione”.
[11] Rubricato “Autorità di controllo”. Nel caso dell’Italia è il Garante per la Protezione dei Dati Personali (GPDP, noto anche come Garante Privacy).
[12] Testualmente, l’articolo recita “‘service’ means any Information Society service, that is to say, any service normally provided for remuneration, at a distance, by electronic means and at the individual request of a recipient of services.
For the purposes of this definition:
(i) ‘at a distance’ means that the service is provided without the parties being simultaneously present;
(ii) ‘by electronic means’ means that the service is sent initially and received at its destination by means of electronic equipment for the processing (including digital compression) and storage of data, and entirely transmitted, conveyed and received by wire, by radio, by optical means or by other electromagnetic means;
(iii) ‘at the individual request of a recipient of services’ means that the service is provided through the transmission of data on individual request”.

Lorenzo Venezia
Ciao, sono Lorenzo. Laureato in giurisprudenza presso l’Università degli Studi di Milano Bicocca con una tesi sul recupero dei beni culturali nel diritto internazionale e sul ruolo dell'INTERPOL e con il master "Cultural property protection in crisis response" all'Università degli Studi di Torino, sono interessato ai temi della tutela dei beni culturali nel diritto internazionale, del traffico illecito di beni culturali e dei fenomeni di criminalità organizzata e transnazionale.