Art. 4 GDPR — Definizioni

Commento

Il ruolo sistematico dell'art. 4

L'art. 4 GDPR raccoglie il vocabolario tecnico-giuridico del Regolamento. Le 26 definizioni che vi compaiono non sono un mero glossario: ciascuna è una scelta sostanziale che orienta l'interpretazione dell'intero Regolamento e produce conseguenze immediate sul piano della responsabilità e della tutela. Una qualificazione corretta o errata di un soggetto come titolare, responsabile o destinatario; di un dato come personale o anonimo; di un'operazione come trattamento o come mera consultazione, determina interi blocchi applicativi del GDPR. Per questo l'art. 4 è la stella polare della consulenza privacy: prima di chiedersi cosa fare, occorre stabilire come qualificare i fatti.

La nozione di dato personale (n. 1)

Il dato personale è qualsiasi informazione concernente una persona fisica identificata o identificabile (n. 1). L'identificabilità è valutata in concreto: una persona è identificabile quando può esserlo, direttamente o indirettamente, mediante riferimento a un identificativo (nome, numero, dati di ubicazione, identificativo online) o a uno o più elementi caratteristici (fisici, fisiologici, genetici, psichici, economici, culturali, sociali). La giurisprudenza CGUE consolidata ha chiarito che un indirizzo IP, anche dinamico, è dato personale quando il titolare dispone di mezzi giuridici e tecnici per ricondurlo all'utente. La nozione è dunque relazionale e contestuale, e si estende a metadati, cookie ID, identificativi pubblicitari, dati biometrici e di geolocalizzazione.

Titolare, responsabile, destinatario (n. 7-9)

Le definizioni n. 7-9 sono cruciali per allocare la responsabilità. Il titolare (controller) determina finalità e mezzi del trattamento; il responsabile (processor) tratta per conto del titolare; il destinatario è la persona o l'organismo che riceve i dati, sia titolare autonomo sia responsabile. La distinzione titolare/responsabile non è formale ma sostanziale: dipende da chi decide veramente perché e come trattare. Le linee guida EDPB 7/2020 hanno fornito test pratici; il contitolare (art. 26) emerge quando due o più soggetti decidono congiuntamente. Sulla qualificazione poggia l'intera disciplina: contratti ex art. 28, RoPA ex art. 30, responsabilità ex art. 82, sanzioni ex art. 83.

Trattamento e profilazione (n. 2, 4)

Il n. 2 definisce trattamento come qualsiasi operazione o insieme di operazioni, effettuate o meno con processi automatizzati, applicate a dati personali. L'elenco è ampio e non esaustivo: raccolta, registrazione, organizzazione, strutturazione, conservazione, adattamento, modifica, estrazione, consultazione, uso, comunicazione, diffusione, allineamento, limitazione, cancellazione, distruzione. Anche la sola conservazione è trattamento, anche la sola consultazione lo è. Il n. 4 introduce la profilazione: trattamento automatizzato che valuta aspetti personali (rendimento professionale, situazione economica, salute, preferenze, affidabilità, comportamento, ubicazione). La profilazione attrae regole speciali, in particolare l'art. 22 sulle decisioni automatizzate.

Pseudonimizzazione e dati anonimi (n. 5)

Il n. 5 definisce la pseudonimizzazione come il trattamento dei dati personali in modo tale che i dati non possano più essere attribuiti a un interessato specifico senza l'uso di informazioni aggiuntive, conservate separatamente con misure tecniche e organizzative. È misura chiave del privacy-by-design (art. 25) e della sicurezza (art. 32). I dati pseudonimizzati restano personali. Diverso è il dato anonimo (considerando 26), che non è più riconducibile a persona identificabile: in quel caso il GDPR non si applica. La soglia di anonimizzazione effettiva è severa: l'EDPB richiede che siano azzerati i rischi di singling out, linkability e inference.

Il consenso (n. 11) e altre definizioni

Il n. 11 definisce il consenso come manifestazione di volontà libera, specifica, informata e inequivocabile dell'interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, al trattamento dei dati personali. Quattro requisiti cumulativi che vanno letti insieme all'art. 7. L'EDPB (linee guida 5/2020) ha precisato che opzioni di default, cookie wall, scroll-down e dark patterns sono incompatibili con il consenso. Per i minori serve l'art. 8. Altre definizioni cruciali: violazione dei dati personali (n. 12), categoria particolare (n. 13), dati biometrici (n. 14), dati genetici (n. 13), dati relativi alla salute (n. 15), impresa (n. 18), gruppo imprenditoriale (n. 19), autorità di controllo capofila (n. 23).

Regola pratica e checklist operativa

L'art. 4 è il primo riferimento di ogni progetto. La data mapping iniziale identifica per ciascun flusso: (i) la natura dei dati (personali/categorie particolari/anonimi); (ii) la qualificazione dei soggetti (titolare/contitolare/responsabile/sub-responsabile/destinatario); (iii) le operazioni di trattamento svolte; (iv) la presenza di profilazione o decisioni automatizzate; (v) le misure di pseudonimizzazione o anonimizzazione adottate. Errori di qualificazione si traducono in errori a cascata su informative, contratti, registri, DPIA, sicurezza, sanzioni. La consulenza privacy parte qui.

Accountability e documentazione

Tutti gli adempimenti relativi a questa disposizione devono essere documentati ai fini del principio di accountability di cui all'art. 5, par. 2 GDPR: integrazione nel registro dei trattamenti (art. 30), valutazione del rischio in DPIA quando applicabile (art. 35), formazione del personale autorizzato al trattamento (art. 29), audit periodici e tracciamento delle decisioni. Le sanzioni amministrative di cui all'art. 83 GDPR e la responsabilità civile dell'art. 82 presuppongono la dimostrazione, da parte del titolare, di aver adottato misure tecniche e organizzative adeguate. La consulenza del DPO, ove designato, è strumento prezioso per la corretta declinazione operativa.

Coordinamento con il Codice Privacy italiano

L'applicazione di questa disposizione in Italia avviene in coordinamento con il D.Lgs. 196/2003 (Codice in materia di protezione dei dati personali) come modificato dal D.Lgs. 101/2018 di adeguamento al GDPR. Il Codice integra il Regolamento europeo nelle materie specifiche lasciate alla discrezionalità degli Stati membri: lavoro (art. 88 D.Lgs. 196/2003), sanità (artt. 75 ss.), ricerca scientifica e statistica (artt. 99-110), giornalismo (art. 137), archivi (artt. 99-103), trattamento di categorie particolari (art. 2-septies), dati di condanne penali (art. 2-octies), limitazioni (art. 2-undecies). I provvedimenti generali e le regole deontologiche approvati dal Garante per la protezione dei dati personali hanno valore precettivo e devono essere considerati. La giurisprudenza della Cassazione e del Tribunale di Roma (competente per ricorsi ex art. 152 D.Lgs. 196/2003) ha consolidato la prassi interpretativa nazionale, coerente con la giurisprudenza CGUE. Per il consulente privacy, l'approccio sistematico richiede integrazione di GDPR, Codice Privacy e provvedimenti del Garante in un framework unitario di compliance.