Dati in che senso?¶
Accezione comune vs accezione giuridica¶
Il linguaggio di norma usato in campo informatico spesso induce a creare confusione sul reale significato di "dati". C'è infatti la tendenza a parlare in senso generico di "dati" in riferimento a tutto il materiale memorizzabile su un supporto di memoria, indipendentemente che si tratti di film, brani musicali, documenti, immagini, file di altro tipo. In senso ancora più ampio e neutro il vocabolario online Treccani fornisce una definizione alquanto efficace: "Ciò che è immediatamente presente alla conoscenza, prima di ogni forma di elaborazione"1.
Dal punto di vista del linguaggio giuridico "dati" ha una portata semantica più ristretta e si riferisce appunto solo alle singole e isolate informazioni, non organizzate e non elaborate dall'ingegno umano, dunque anche non sottoposte ad alcuna tutela e privativa diretta.
Concetto da tenere a sua volta distinto è quello di "banca dati" (con il suo equivalente inglese "database"); ne forniremo una più chiara definizione (in senso giuridico) nei paragrafi successivi.
Inoltre, se ci ricolleghiamo con quanto scritto nel paragrafo precedente, per non confondere i piani e non cadere in errori giuridico-concettuali è essenziale chiedersi sempre se abbiamo a che fare con dati personali o con dati non personali. Infatti, nel caso dei dati personali, dobbiamo tenere in considerazione e applicare anche la normativa in materia di privacy; nel caso dei dati non personali possiamo invece preoccuparci solo delle questioni in materia di proprietà intellettuale e diritto amministrativo.
Dati personali¶
Come già accennato, per capire se nell'ambito di un progetto open data è necessario tenere in considerazione anche le norme e i principi in materia di privacy, dobbiamo innanzitutto verificare se all'interno dei dataset raccolti, pubblicati o utilizzati vi siano dati qualificabili come dati personali, secondo la definizione fornita dalla legge.
Tale definizione si trova nell'articolo 4 (punto 1) del GDPR ed è una definizione davvero molto ampia. La riportiamo integralmente:
«È un dato personale qualsiasi informazione riguardante una persona fisica identificata o identificabile ("interessato"); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale».
A complicare non poco la questione è l'avverbio "indirettamente" che compare nella definizione; una parola che da sola riesce a stendere un velo di foschia sulla definizione, la rende molto ampia ed elastica e obbliga l'interprete a interrogarsi di volta in volta se i dati che sta trattando siano riconducibili anche solo in modo indiretto a una persona fisica.
Ci sono infatti molti casi in cui il dato, preso singolarmente, fuori dal suo contesto e osservato superficialmente, appare privo di collegamenti con una persona fisica; ma, nel momento in cui contestualizzo e metto in relazione quel dato con altri dati presenti nello stesso dataset o anche in altre fonti connesse, esso torna nell'alveo della menzionata definizione di "dato personale" e quindi è sottoposto a tutte le cautele previste dalla normativa privacy (per approfondire questo aspetto, si rimanda alla lettura del Considerando n. 26 del GDPR)2.
Dati non personali¶
Il concetto di dato non personale è deducibile "in negativo" da quello di dato personale. Tutti quei dati che non rientrano nella definizione di cui all'art. 4 del GDPR (e cioè non sono in alcun modo riconducibili a una persona fisica) sono considerati dati non personali e quindi liberi dai vincoli dettati dalla normativa privacy.
Benché, come abbiamo spiegato nel paragrafo precedente, possano esserci varie aree grigie in cui alcuni dati apparentemente non personali possono essere considerati personali poiché riconducibili indirettamente a una persona fisica, vi sono alcune categorie di dati che per loro natura sono indubbiamente non personali. Pensiamo ad esempio ai dati meteorologici, ai dati sismologici e geologici, ai dati relativi al traffico dei mezzi pubblici (orari, stazioni, aeroporti), ai dati relativi alla spesa pubblica, ai dati relativi all'andamento delle borse e delle valute.
-
Riportiamo un estratto del Considerando 26 del GDPR: «Per stabilire l'identificabilità di una persona è opportuno considerare tutti i mezzi, come l'individuazione, di cui il titolare del trattamento o un terzo può ragionevolmente avvalersi per identificare detta persona fisica direttamente o indirettamente. Per accertare la ragionevole probabilità di utilizzo dei mezzi per identificare la persona fisica, si dovrebbe prendere in considerazione l'insieme dei fattori obiettivi, tra cui i costi e il tempo necessario per l'identificazione, tenendo conto sia delle tecnologie disponibili al momento del trattamento, sia degli sviluppi tecnologici. I principi di protezione dei dati non dovrebbero pertanto applicarsi a informazioni anonime, vale a dire informazioni che non si riferiscono a una persona fisica identificata o identificabile o a dati personali resi sufficientemente anonimi da impedire o da non consentire più l'identificazione dell'interessato.» ↩