Regolamento - 27/04/2016 - n. 679 art. 2 - Ambito di applicazione materiale

Origine storica

L'applicazione di uno speciale regime normativo ai trattamenti automatizzati rimonta storicamente almeno all'epoca della Convenzione n. 108/1981 (versione originaria). Allora assumeva infatti rilevanza il supporto tecnologico utilizzato per il trattamento, posto che l'impiego di dispositivi elettronici consentiva appunto un livello di strutturazione, di collegamento e di circolazione delle informazioni in precedenza sconosciuto. Allo stesso modo, e per ragioni analoghe, sul versante dei trattamenti non elettronici, era enucleata la nozione di “archivio”, quale raccolta organizzata, attratta ugualmente entro l'area tutelata. Le preoccupazioni cui si voleva dare risposta normativa erano allora dominate dalla sussistenza di strumenti di raccolta e organizzazione di informazioni quali schedature e dossier pubblici e privati. La maturazione della sensibilità dell'interprete era ancora concentrata sul contesto materiale della raccolta, sui file (schede, fascicoli), e non ancora del tutto transitata a un maggiore livello di astrazione e fluidità, ossia a considerare da una parte i dati personali in sé, a prescindere dal supporto materiale della loro raccolta, e dall'altro a sviluppare il concetto di trattamento come processo, a prescindere cioè, anche in tal caso, dal contesto materiale. Tuttavia, il passaggio a una fase più matura della tutela, nella quale fosse determinante non tanto il contenitore (raccoglitore, dossier, banca dati, archivio) quanto il processo e i suoi elementi informativi minimi, ossia i dati personali, cominciava ad affacciarsi già, limitatamente alle informazioni di carattere “sensibile”, con l'art. 6 della Convenzione 108 originaria. Si avvertiva infatti in tale tipologia di dati l'esistenza di un rischio intrinseco, cfr. relazione alla Convenzione 108, p. 9, § 43: «Mentre il rischio che il trattamento di dati sia pregiudizievole alle persone dipende in generale non dal contenuto dei dati ma dal contesto in cui sono usati, ci sono casi eccezionali in cui il trattamento di alcune categorie di dati è probabile che conduca a violazioni dei diritti personali e degli interessi» [trad. ns., n.d.a.].

Successivamente alla Convenzione, con la dir. n. 95/46/CE si è espansa notevolmente l'area di applicazione materiale, estendendo il divieto di trattamento – anche parzialmente automatizzato – a ogni tipologia di dato, non ai soli dati sensibili, salva l'espressione del consenso o l'esistenza di altra base giuridica. Era con ciò ridotta l'area esclusa dall'ambito normato alle sole ipotesi di trattamento unicamente manuale di dati non organizzati in archivi. Si è inoltre ulteriormente ristretto l'ambito applicativo, includendo nella disciplina anche i dati personali non presenti in un archivio ma destinati comunque a confluirvi (cfr. considerando 15 dir. n. 95/46/CE). Il Regolamento mantiene la medesima impostazione della dir. n. 95/46/CE, cfr. anche, ivi, considerando 27 e art. 2. lett. c), dunque sul punto non innova rispetto al pregresso assetto europeo.

Casi di applicazione

Il trattamento automatizzato è il trattamento svolto attraverso strumenti elettronici. Ai fini dell'applicazione del Regolamento è sufficiente che anche solo una porzione del trattamento sia automatizzata (trattamento parzialmente automatizzato), perfino qualora tale porzione non sia ancora attuale ma individuabile in termini di destinazione futura. I trattamenti di dati personali che fuoriescono dall'alveo applicativo materiale del Regolamento devono presentare perciò le seguenti condizioni: devono essere manuali, non strutturati né destinati a diventare strutturati o automatizzati e non combinati nemmeno in parte con un trattamento automatizzato. Non rientrano ad esempio nella deroga in commento (sono cioè dati personali) le informazioni contenute in stampe cartacee di documenti in formato elettronico. Per le stesse ragioni dovrebbero considerarsi esclusi dalla deroga anche i contenuti di documenti all'origine puramente cartacei ma acquisiti successivamente anche in copia scansionata/fotografica o destinati ad esserlo. Quanto ai trattamenti completamente manuali ma strutturati, ossia in definitiva alla nozione di “archivio”, appare verosimilmente possibile considerare strutturato un fascicolo cartaceo risalente a un periodo pre-informatico contenente gli atti di un procedimento, purché possano ravvisarsi al suo interno criteri di organizzazione e quindi di reperimento delle informazioni; analogo ragionamento deve ritenersi valido, per fare altri esempi, a proposito di curricula redatti manualmente o di note informative redatte manualmente in merito a una persona, nelle quali sia riportato un resoconto ordinato delle sue attività, spostamenti, contatti.

“Se un datore di lavoro tiene un archivio cartaceo, in ordine alfabetico, dal titolo ‘congedi dipendenti', contenente tutti i dettagli dei congedi di cui il personale ha fruito nell'anno precedente, tale fascicolo costituirà un archivio manuale soggetto alle norme dell'UE in materia di protezione dei dati” (CoE-FRA-EDPS, Manuale cit., § 2.2.3).

Esempi di applicazione ex lege della deroga

La deroga si applica ex lege a fascicoli («file») o serie di fascicoli, non strutturati al loro interno secondo criteri specifici, e alle rispettive copertine, cfr. considerando 15 GDPR.

Discontinuità con il Codice privacy ante riforma

Per il contesto italiano, l'eccezione in commento costituisce un (minimo) regresso di tutela poiché nella l. n. 675/1996 e poi nel cod. privacy precedente al Regolamento la scriminante per attività esclusivamente manuale era completamente scomparsa e non si dubitava del pieno assorbimento di qualsiasi dato personale, comunque trattato, all'interno della normativa di settore.

Cfr. GPDP, 25 giugno 2002 [29856]: «Assume il ruolo di “titolare” qualunque soggetto che operi il trattamento di dati personali, a prescindere dalla circostanza di disporre di archivi strutturati (cartacei o automatizzati). A detto trattamento si applica la normativa sulla protezione dei dati personali». Si trattava tutto sommato dell'anticipazione del principio della neutralità degli strumenti utilizzati per il trattamento espresso oggi nel considerando 15 GDPR, primo periodo: «Al fine di evitare l'insorgere di gravi rischi di elusione, la protezione delle persone fisiche dovrebbe essere neutrale sotto il profilo tecnologico e non dovrebbe dipendere dalle tecniche impiegate», nonostante poi lo stesso considerando introduca la deroga per trattamento esclusivamente manuale non contenuto in un archivio o destinato a figurarvi.