E’ uscita ieri una sentenza importante della Corte di Giustizia europea sulla “Tutela delle persone fisiche con riguardo al trattamento dei dati personali”.
Corte di giustizia europea e archivio dati personali
Un punto fondamentale, che credo possa passare inosservato, è che questa sentenza è la prima (della Corte di Giustizia) a chiarire cosa si debba intendere per ‘archivio’ di dati personali.
Si legge: “Archivio di dati personali” (“archivio”): qualsiasi insieme strutturato di dati personali accessibili, secondo criteri determinati, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o ripartito in modo funzionale o geografico”.
“L’articolo 2, lettera c), della direttiva 95/46 deve essere interpretato nel senso che la nozione di «archivio», di cui a tale disposizione, include l’insieme di dati personali raccolti nell’ambito di un’attività di predicazione porta a porta, contenente nomi, indirizzi e altre informazioni riguardanti le persone contattate porta a porta, allorché tali dati sono strutturati secondo criteri specifici che consentono, in pratica, di recuperarli facilmente per un successivo impiego. Affinché il suddetto insieme rientri in tale nozione, non è necessario che esso comprenda schedari, elenchi specifici o altri sistemi di ricerca”.
Si tratta di una nozione chiave del GDPR (vedi Art. 2), che delimita l’ambito di applicazione materiale del Regolamento in relazione ai trattamenti di dati non automatizzati (es. trattamenti di dati contenuti in archivi cartacei).
Si tratta inoltre di una nozione totalmente nuova da un punto di vista italiano, dato che il nostro codice privacy (al contrario della direttiva 95/46 e di altre normative nazionali in ambito privacy) non limitava il proprio ambito di applicazione rispetto ai trattamenti manuali facendo riferimento alla nozione di archivio.
È quindi un concetto che le aziende e gli operatori italiani non hanno ben chiaro, ma con cui dovranno acquisire familiarità.
Gdpr e dati personali
Certo, la sentenza va considerata come “pre-Gdpr”: riguarda la Direttiva 95/46 e non direttamente il GDPR, che pure nell’articolo 4 definisce il termine archivio. Si potrebbe quindi pensare che la vera definizione su cui basarsi sia quest’ultima e non quella data dalla sentenza.
Tuttavia, quella definizione nel Gdpr non è affatto chiarissima. Questo il testo: «archivio»: qualsiasi insieme strutturato di dati personali accessibili secondo criteri determinati, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o ripartito in modo funzionale o geografico.
I problemi interpretativi riguardano principalmente il riferimento ai ‘criteri determinati’ da utilizzare per accedere all’archivio. La definizione non specifica quali caratteristiche tali criteri debbano possedere, e in passato numerose corti europee (per esempio in Belgio e nel Regno Unito) hanno considerato ‘archivi’ solo quei sistemi di dati organizzati in maniera estremamente sofisticata (comparabili ad archivi digitali).
Nell’ultima sentenza, la Corte di Giustizia va nella direzione opposta. È quindi un chiarimento fondamentale, anche per il GDPR, visto che lo stesso riprende la nozione di archivio dalla Direttiva. Non a caso, l’Avvocato Generale ha fatto riferimento al Regolamento nella propria opinione che ha preceduto la sentenza (e che la Corte ha seguito nella sostanza).
In altre parole, il fatto che il GDPR definisca il termine ‘archivio’ non risolve proprio quei problemi interpretativi che sussistevano vigente la Direttiva.
