Quali dati sono personali e perché i cookie sono sempre personali, indipendentemente dai valori dei cookie, è oggetto di questo articolo. Un collegamento personale esiste più spesso di quanto molti credano. I dati personali tingono così altri dati e li rendono dati con un collegamento personale.
Introduzione
I dati personali sono quelli che fanno riferimento a una persona in particolare. Pertanto, ad esempio, il nome di una persona, unito all'indirizzo (strada, numero civico, CAP, città, paese, denominazione della galassia) è un valore dei dati personali. Nota che spesso si parla invece di data anziché di "valore dei dati". Data è il plurale di dati.
Il nome di una persona con la sua indirizzo rappresenta un rapporto diretto con la persona. Ma anche i dati che suggeriscono indirettamente una persona sono riferiti a persone. Ciò risulta evidente da Art. 4 No. 1 GDPR. La GDPR non parla di un rapporto diretto o indiretto con la persona, ma di persone identificate o identificabili.
Una persona è identificabile, non appena è oggettivamente possibile che si possa stabilire un collegamento con essa, anche aiutandosi da terzi. I terzi possono essere ad esempio operatori di telecommunicationi, servizi segreti o autorità. Non ha importanza se questi terzi siano attualmente in grado di chiedere i dati personali a lei. Basta la possibilità oggettivamente prevista. Ad esempio una tale possibilità può essere aperta dalla repressione della criminalità. Ciò era stato stabilito dal Corte di Giustizia dell'Unione Europea nel giudizio del 19.10.2016 – C-582/14("Breyer", gli indirizzi IP sono dati personali).
Contemporaneamente la Gruppo articolo 29 dell'UE ha stabilito che una persona è considerata identificabile anche quando può essere distinta da altre persone all'interno di un gruppo. Ciò è stato espresso nella cosiddetta Opinion 4/2007. Il Gruppo articolo 29 per la protezione dei dati è l'antenato del Comitato europeo per la protezione dei dati (EDSA) e addirittura citato in Articolo 94 GDPR. Ha quindi una rilevanza notevole.
Quando una persona è direttamente identificabile?
Sopra ho già dato l'esempio con il nome di una persona insieme all'indirizzo. Questa situazione dei dati consente un'identificazione completa e diretta di una persona. Tutti i dati che fanno riferimento direttamente a una persona la rendono identificabile in modo diretto.
Se in un gruppo di autoaiuto per gli alcolizzati una persona ha i capelli grigi e le altre non hanno capelli grigi, allora quella persona sarebbe distinguibile dalle altre attraverso il seguente valore dati: "La persona in questione è in questo gruppo e ha capelli grigi".
La persona potrebbe essere identificata in questo modo ma non necessariamente direttamente. Infatti, quando vedo qualcuno davanti a me, di solito non so chi sia questa persona, come si chiami e dove risieda.
Tuttavia potrebbe essere che una persona subisca un danno perché qualcuno abusa dei suoi dati senza che si sappia dove vive. In questo caso si pone la domanda se non basti avere la persona di fronte a sé per avere un collegamento diretto con essa. A questa domanda non entro più in dettaglio qui. Ciò richiederebbe una propria indagine, che forse potrebbe essere condotta meglio da un giurista.
Che cosa è un riferimento a persone indiretto?
Se quindi il collegamento diretto con la persona viene negato, spesso esiste un collegamento indiretto. Ciò è sempre da affermare quando esiste una possibilità oggettiva di identificare completamente la persona.
L'esempio di persona anziana nella gruppo di alcolisti anonimi citato sopra mostra che esiste almeno un collegamento indiretto con una persona. Infatti se la persona anziana commette un reato, all'interno dell'inchiesta penale si può stabilire chi esattamente è la persona anziana. Quindi il "datatum" "La persona nella foto è anziana" è un dato personale (naturalmente in quel contesto). Infatti esiste oggettivamente la possibilità che
- La persona anziana compirà un reato e
- Le possibilità di perseguire la giustizia in Germania consentono di identificare completamente la persona sulla base di un sospetto di aver commesso un reato.
Si potrebbe identificare la persona con i capelli grigi anche senza aver commesso un reato, ad esempio quando si è recata a un incontro di gruppo di auto-aiuto guidando un'auto su cui è registrata e che ha portato al luogo dell'incontro. Secondo l'ordinanza sulla circolazione stradale, un'auto deve avere un targa (forse ci sono automobili per le quali non si applica, ma di questo non si tratta qui). La targa è associata in modo univoco alla persona, cioè al suo nome e all'indirizzo. L'autorità competente conosce questa associazione. Se l'auto è coinvolta in un incidente, il proprietario può essere identificato. Un incidente è di solito una circostanza non penale. Potrebbe anche essere che la conducente anziana del gruppo di auto-aiuto non sia stata colpevole dell'incidente. L'autore dell'incidente deve comunque fornire i dati di contatto della persona con i capelli grigi per garantirne un trattamento adeguato. Anche il fuggitivo vorrebbe evitare e, nel dubbio, scrive la targa del danneggiato sul suo auto se non riesce a trovarlo.
Se qualcuno può essere coinvolto in un incidente teorico, allora ogni persona che si incontra è identificabile. Quindi ogni valore dati a una persona fisica vicina sarebbe un dato personale. In ogni caso ciò vale per le persone che navigano in Internet. Vedi il paragrafo "Cookies" più avanti. Se si telefona con qualcuno e quest'ultimo parla da casa o dal proprio smartphone, allora tutti i dati sul suo interlocutore sono personali. La GDPR è tuttavia applicabile solo se i dati vengono almeno archiviati o trattati in modo parzialmente automatizzato (vedi Articolo 2 comma 1 GDPR). A quanto mi risulta, la trasmissione dei segnali nei telefoni è comunque automatica.
Inoltre è probabile che sia possibile seguire una persona all'interno della legalità per scoprire dove si è recata, forse addirittura al suo domicilio. Solo a scopo di ispirazione.
Anche il luogo in cui si trova una persona potrebbe renderla identificabile. Basta pensare al segnale GPS del cellulare. Ho letto da qualche parte che un'agente di malaffare è stata smascherata perché i suoi dati Google sono stati analizzati. Nel mio cellulare il segnale GPS è quasi sempre spento (ma non, perché intendo commettere un reato, ma perché non mi piace l'idea che qualcuno sappia dove mi trovo o dove sono stato grazie a segnali elettronici).
Cookies
Direttiva ePrivacy non fa differenza se i cookie contengono dati personali o meno. La direttiva ePrivacy ha comunque efficacia. In Germania è soprattutto attraverso il § 25 TTDSG che viene realizzata. Il TTDSG è un speciale regolamento per la GDPR. Se il TTDSG è in vigore, esercita una sorta di blocco contro la GDPR. Solo quando l'indagine giuridica prevista dal § 25 TTDSG riguardo ai cookie e ad altri accessi alle configurazioni dei dispositivi è stata completata positivamente, viene verificato in base alla GDPR.
Aggiornamento maggio 2024: Il TTDSG si chiama ora TDDDG. Poiché molti lettori conoscono solo il TTDSG, qui viene utilizzata la denominazione originale.
La memorizzazione dei cookie nel tuo dispositivo (ad esempio nel tuo smartphone o desktop) e l'accesso ai cookie memorizzati nel tuo dispositivo è solo consentito, se i cookies sono assolutamente necessari. La maggior parte dei cookies non è assolutamente necessaria. In questo caso, non conta se i valori dei cookie siano personali o meno. Non importa quali valori vengano memorizzati nel cookie; il TTDSG si applica sempre in questo caso.
Nun si salva un cookie sul dispositivo e lo si legge nuovamente in seguito. Dopo di che si vuole lavorare sicuramente con il valore del cookie, altrimenti si sarebbe potuto semplicemente eliminarlo. Questa Lavorare con il valore del cookie rientra nelle norme della GDPR. La GDPR vale però solo per i dati personali, a cui appartengono anche i dati personenbezogen. Come sopra scritto, si tratta di tutti i dati che possono far pensare direttamente o indirettamente a una persona.
Che succede se il valore di un cookie non è personalizzato? Prendiamo ad esempio un valore come "xyz123". Anche in questo caso il valore del cookie è personalizzato. Alcuni non vogliono ammetterlo o affermano il contrario, perché sarebbe utile per i loro clienti. Per la mia spiegazione su cui sono motivato a dire che tutti i valori dei cookie siano sempre personalizzati, devo fare un po' di premessa.
Tutti i dati che compaiono in connessione con i dati personali sono riferibili a persone e quindi personali.
Vedi il post per i dettagli.
Le indirizzi IP sono dati personali. Ciò è stato stabilito dal Tribunale di Giustizia dell'Unione Europea e dalla Corte Suprema Tedesca nelle loro sentenze Breyer del 2016 e 2017 (vedere sopra per la citazione della sentenza). Anche gli indirizzi IP dinamici sono inclusi.
I cookie vengono inutilmente trasmessi sempre insieme all'indirizzo IP del visitatore di un sito web al sito stesso. L'indirizzo IP è personale, quindi anche ogni altro (potenzialmente carico di significato) valore dei dati che compare con l'indirizzo IP è personale.
I valori dei cookie sono quindi sempre personalizzati. Pertanto, la normativa sulla protezione dei dati (DSGVO) si applica sempre alla loro elaborazione, anche se alcuni vorrebbero discuterne e eliminarla.
Conclusione
I dati sono personali se si riferiscono direttamente o indirettamente a una persona. Secondo la definizione legale, i dati personalmente riferibili vengono equiparati ai dati personali.
Un valore di dati che compare insieme a un dato personale viene automaticamente reso personale e quindi personale. Ciò potrebbe valere solo se il valore dei dati non ha alcun significato, né oggettivo né soggettivo. Soggettivamente si intende che il valore dei dati stesso non ha alcun significato per tutti i possibili destinatari di dati. Tuttavia, in tal caso si pone la domanda, perché il valore dei dati esiste affatto? Forse ci sono esempi sensati; attualmente mi viene solo in mente nessuno.
È indifferente per quanto tempo un valore di dati X sia associato a un valore di dati personale, affinché il valore di dati X venga considerato personale. Anzi, anche la Commissione irlandese per la protezione dei dati, nota per la sua non severità , aveva stabilito questo punto nel procedimento contro WhatsApp.
È altrettanto indifferente che i dati vengano archiviati o meno, a condizione che siano trattati in modo parzialmente o completamente automatizzato. Se i dati sono personali al momento della loro esistenza, sono personali. La trattazione dei dati inizia già dall'oggettiva "voluta" possibilità di conoscenza, che viene indicata con raccolta di dati.
Altre cose, le IP sono per Google potenzialmente sempre identificabili a persona, probabilmente in tutto il mondo e indipendentemente dalle possibilità di repressione nel paese specifico. Infatti, se un utente utilizza un servizio Google come Gmail o ha uno smartphone Android, può essere identificato oggettivamente. Un telefono ha una numero di telefono, che è registrato su una persona (almeno in alcuni Paesi). In Germania deve essere così (almeno per i telefoni privati, e si tratta di persone private e non di aziende). Gmail è un servizio di posta elettronica. Ci sono persone che ricevono posta alla loro email con nome e indirizzo della persona che possiede l'email.
Questa domanda l'avevo già esaminata nel contesto delle Abbuffate Google Fonts, per dimostrare che anche in Austria l'indirizzo IP di Google ha sempre un collegamento con una persona.
In caso di dubbio, i dati dovrebbero essere considerati come riferiti a persone. Il dubbio nasce spesso solo perché manca l'immaginazione che un valore dei dati possa fare riferimento a una persona. Nelle applicazioni dell'intelligenza artificiale la domanda sul riferimento a persona di un valore dei dati non è comunque così facile da rispondere. Infatti, se per 100 punti di dati non esiste ancora il riferimento a persona, può essere molto diverso per 100 milioni di punti di dati.
In effetti non sempre si crea un problema o un caso per la GDPR quando si utilizzano dati personali. Se due persone si parlano sulla strada, il loro discorso non rientra nella GDPR, perché non viene elaborato automaticamente e non viene registrato in un sistema di file. Anche l'utilizzo di informazioni pubblicamente accessibili è spesso possibile nel quadro del diritto di interesse legittimo. Se mancano dati aggiuntivi, per cui i dati personali diventano dati su una persona, e a una certa persona X non è oggettivamente possibile ottenere questi dati aggiuntivi, allora per la persona X non si tratta di dati personali e quindi neanche di dati su una persona. Questo caso si verifica in particolare quando i dati aggiuntivi sono fuori dal proprio contesto, ad esempio presso aziende con cui la persona X non ha alcun legame e che forse le sono completamente sconosciute.
Messaggi chiave
I dati personali sono informazioni che possono essere utilizzate per identificare una persona, anche indirettamente.
Anche un semplice collegamento indiretto con una persona può comportare la rivelazione di dati personali, se esiste la possibilità di identificarla completamente.
Anche i dati non personali contenuti nei cookie possono essere considerati dati personali perché sono spesso collegati ad informazioni personali come l'indirizzo IP.
Se un dato è collegato a un dato personale, diventa automaticamente personale, indipendentemente dal suo significato o dal tempo trascorso.
Non sempre l'utilizzo di dati personali comporta un problema con il GDPR.
My name is Klaus Meffert. I have a doctorate in computer science and have been working professionally and practically with information technology for over 30 years. I also work as an expert in IT & data protection. I achieve my results by looking at technology and law. This seems absolutely essential to me when it comes to digital data protection. My company, IT Logic GmbH, also offers consulting and development of optimized and secure AI solutions.
