Se, come insegna la filosofia digitale, tutto è informazione, e se tutta l’informazione può considerarsi in un modo o nell’altro dato personale, allora la c.d. legge sulla privacy è la legge del tutto!
Il caso Nowak.
Il Sig. Peter Nowak, dopo aver tentato invano per quattro volte di superare un esame di Finanza Strategica e Contabilità Gestionale presso l’ordine professionale di categoria in Irlanda, contestava il risultato e presentava nel 2010 richiesta di accesso ai dati personali ai sensi della normativa sui dati personali.
Il caso è ora pendente innanzi alla Corte Suprema che ha rivolto alla Corte di Giustizia Europea una domanda di pronuncia pregiudiziale chiedendo sostanzialmente se una prova d’esame possa considerarsi dato personale e in che limiti si possa far ricorso alla normativa sulla privacy per l’accesso ad atti e documenti.
Il parere dell’Avvocato Generale Kokott.
Come da procedura, l’Avvocato Generale ha presentato le sue conclusioni alla Corte lo scorso 20 luglio sostenendo, contrariamente da tutte le autorità che finora si sono espresse sul caso, che;
«Una prova d’esame scritta a mano, attribuibile ad un candidato, incluse le eventuali correzioni degli esaminatori, costituisce dato personale ai sensi dell’articolo 2, lettera a), della direttiva 95/46/CE relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati».
Il ragionamento dell’A.G. è lineare: una prova d’esame non solo contiene informazioni sulla soluzione di una determinata prova, ma associa detta soluzione alla persona del candidato che redige l’elaborato. Il documento attesta la partecipazione della persona ad una particolare prova d’esame e il risultato che ha conseguito, ovvero il suo grado di preparazione nonché il fatto che in un dato giorno si trovava in un dato luogo. Ne consegue che una prova d’esame incorpora una serie di informazioni riferibili ad uno specifico candidato e, pertanto, costituisce senza dubbio un complesso di dati personali.
Peraltro, le risposte scritte a mano costituiscono altrettanti dai personali (biometrici) che forniscono indicazioni sull’identità dell’autore e che sono prova utilizzabile quantomeno potenzialmente come indizio in un momento successivo per verificare se un altro testo sia stato scritto dalla medesima persona.
Critica.
A mio avviso, l’A.G. ponendo sul medesimo piano i dati personali con il documento (l’elaborato d’esame) in esso contenuti, è pervenuto ad una conclusione errata.
In diritto d’autore la distinzione tra corpus misthicum (l’opera dell’ingegno) e corpus mechanicum (il supporto materiale su essa è fissata o riprodotta) è nota e parimenti può essere trasposta in ambito privacy.
Il diritto di accesso ai dati personali, sancito a favore dell’interessato dalla direttiva 95/46/CE, non equivale al diritto di accesso ai documenti contenenti i dati personali. Tale ultimo diritto è semmai perseguibile attraverso la specifica normativa sull’accesso agli atti, che ha presupposti diversi ed è a presidio dell’interesse alla trasparenza della PA e non certo al diritto personale della riservatezza e del trattamento dei propri dati.
In tale prospettiva, il documento è l’originale supporto su cui l’informazione è fissata ovvero copia fedele di tale supporto, ma non è in sé un dato personale. Anche la copia digitale di un documento cartaceo, altro non è che un’informazione dettagliata del documento stesso, qualcosa di più ampio, quindi, rispetto ai dati personali in esso eventualmente contenuti.
In altri termini, se in forza dell’art. 12 della direttiva l’interessato ha diritto di avere dal titolare conferma dell’esistenza di trattamenti che lo riguardano e di avere comunicazione «in forma intellegibile» dei dati oggetto di trattamento, allora vien da sé che l’obbligo del titolare non è di fornire all’interessato il documento originale o la copia su cui i dati personali sono contenuti (anche se questo sarà il modo sempre più agevole per riscontrare la richiesta dell’interessato), ma è piuttosto quello di fornire indicazione puntuale di quali sono questi dati, dove sono conservati, con quali logiche sono trattati, ecc.; la locuzione in forma intellegibile non può avere infatti altrimenti altro senso se non quello di sottolineare che oggetto del diritto esercitato dall’interessato sono i dati personali e non il documento.
Tutto è dato personale.
Alla luce di quanto precede, il Sig. Nowak ad avviso di chi scrive non può legittimamente pretendere la consegna dell’elaborato in sé, ma solo la comunicazione dei dati personali in esso contenuti. Tuttavia, la distinzione tra dato personale e documento, che di per sé sarebbe importantissima, lascia il tempo che trova se la nozione di dato personale si allarga fino a ricomprendere qualsiasi informazione che anche solo potenzialmente può ricondurre all’identità di un individuo specifico. Ed è questa l’impostazione dell’Avvocato Kokott (ma direi in generale del legislatore europeo), sicché la legge sulla privacy rischia di diventare un grimaldello adatto per tutte le serrature.
Occorre infatti considerare che un dato personale è «qualsiasi informazione concernente una persona fisica identificata o identificabile» (art. 3 della Direttiva, ma non diverso dal nuovo Regolamento europeo).
Ebbene, l’avvento del Big Data rende tale definizione amplissima. Un’informazione che non costituisce dato personale al momento della sua raccolta, può ciò nondimeno diventarlo in un momento successivo per effetto della semplice evoluzione della tecnica. L’incrocio su scala globale di una enorme mole di dati, peraltro in aumento esponenziale e di qualità sempre maggiore, consente a chiunque dotato di risorse sufficienti di estrapolare dati personali da qualsiasi altro pezzo di informazione; un processo, inarrestabile pare, noto come re-identification, ovvero identificazione personale con utilizzo di dati non (direttamente) personali. Se poi si guarda alle promesse della computazione quantica e dell’internet delle cose, non è azzardato sostenere che la legge sulla privacy diventerà ben presto la legge del tutto.
Peter Nowak c. Data Protection Commissioner (leggi le conclusioni dell’A.G. nella Causa C-434/16)
Francesco Rampone – f.rampone@lascalaw.com
© RIPRODUZIONE RISERVATA
08.04.2024
