Regolamento - 27/04/2016 - n. 679 art. 4 - DefinizioniDefinizioni Ai fini del presente regolamento s'intende per: 1) «dato personale»: qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale; 2) «trattamento»: qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione; 3) «limitazione di trattamento»: il contrassegno dei dati personali conservati con l'obiettivo di limitarne il trattamento in futuro; 4) «profilazione»: qualsiasi forma di trattamento automatizzato di dati personali consistente nell'utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l'affidabilità, il comportamento, l'ubicazione o gli spostamenti di detta persona fisica; 5) «pseudonimizzazione»: il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l'utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile; 6) «archivio»: qualsiasi insieme strutturato di dati personali accessibili secondo criteri determinati, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o ripartito in modo funzionale o geografico; 7) «titolare del trattamento»: la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell'Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell'Unione o degli Stati membri; 8) «responsabile del trattamento»: la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento; 9) «destinatario»: la persona fisica o giuridica, l'autorità pubblica, il servizio o un altro organismo che riceve comunicazione di dati personali, che si tratti o meno di terzi. Tuttavia, le autorità pubbliche che possono ricevere comunicazione di dati personali nell'ambito di una specifica indagine conformemente al diritto dell'Unione o degli Stati membri non sono considerate destinatari; il trattamento di tali dati da parte di dette autorità pubbliche è conforme alle norme applicabili in materia di protezione dei dati secondo le finalità del trattamento; 10) «terzo»: la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che non sia l'interessato, il titolare del trattamento, il responsabile del trattamento e le persone autorizzate al trattamento dei dati personali sotto l'autorità diretta del titolare o del responsabile; 11) «consenso dell'interessato»: qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell'interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento; 12) «violazione dei dati personali»: la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati; 13) «dati genetici»: i dati personali relativi alle caratteristiche genetiche ereditarie o acquisite di una persona fisica che forniscono informazioni univoche sulla fisiologia o sulla salute di detta persona fisica, e che risultano in particolare dall'analisi di un campione biologico della persona fisica in questione; 14) «dati biometrici»: i dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l'identificazione univoca, quali l'immagine facciale o i dati dattiloscopici; 15) «dati relativi alla salute»: i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute; 16) «stabilimento principale»: a) per quanto riguarda un titolare del trattamento con stabilimenti in più di uno Stato membro, il luogo della sua amministrazione centrale nell'Unione, salvo che le decisioni sulle finalità e i mezzi del trattamento di dati personali siano adottate in un altro stabilimento del titolare del trattamento nell'Unione e che quest'ultimo stabilimento abbia facoltà di ordinare l'esecuzione di tali decisioni, nel qual caso lo stabilimento che ha adottato siffatte decisioni è considerato essere lo stabilimento principale; b) con riferimento a un responsabile del trattamento con stabilimenti in più di uno Stato membro, il luogo in cui ha sede la sua amministrazione centrale nell'Unione o, se il responsabile del trattamento non ha un'amministrazione centrale nell'Unione, lo stabilimento del responsabile del trattamento nell'Unione in cui sono condotte le principali attività di trattamento nel contesto delle attività di uno stabilimento del responsabile del trattamento nella misura in cui tale responsabile è soggetto a obblighi specifici ai sensi del presente regolamento; 17) «rappresentante»: la persona fisica o giuridica stabilita nell'Unione che, designata dal titolare del trattamento o dal responsabile del trattamento per iscritto ai sensi dell'articolo 27, li rappresenta per quanto riguarda gli obblighi rispettivi a norma del presente regolamento; 18) «impresa»: la persona fisica o giuridica, indipendentemente dalla forma giuridica rivestita, che eserciti un'attività economica, comprendente le società di persone o le associazioni che esercitano regolarmente un'attività economica; 19) «gruppo imprenditoriale»: un gruppo costituito da un'impresa controllante e dalle imprese da questa controllate; 20) «norme vincolanti d'impresa»: le politiche in materia di protezione dei dati personali applicate da un titolare del trattamento o responsabile del trattamento stabilito nel territorio di uno Stato membro al trasferimento o al complesso di trasferimenti di dati personali a un titolare del trattamento o responsabile del trattamento in uno o più paesi terzi, nell'ambito di un gruppo imprenditoriale o di un gruppo di imprese che svolge un'attività economica comune; 21) «autorità di controllo»: l'autorità pubblica indipendente istituita da uno Stato membro ai sensi dell'articolo 51; 22) «autorità di controllo interessata»: un'autorità di controllo interessata dal trattamento di dati personali in quanto: a) il titolare del trattamento o il responsabile del trattamento è stabilito sul territorio dello Stato membro di tale autorità di controllo; b) gli interessati che risiedono nello Stato membro dell'autorità di controllo sono o sono probabilmente influenzati in modo sostanziale dal trattamento; oppure c) un reclamo è stato proposto a tale autorità di controllo; 23) «trattamento transfrontaliero»: a) trattamento di dati personali che ha luogo nell'ambito delle attività di stabilimenti in più di uno Stato membro di un titolare del trattamento o responsabile del trattamento nell'Unione ove il titolare del trattamento o il responsabile del trattamento siano stabiliti in più di uno Stato membro; oppure b) trattamento di dati personali che ha luogo nell'ambito delle attività di un unico stabilimento di un titolare del trattamento o responsabile del trattamento nell'Unione, ma che incide o probabilmente incide in modo sostanziale su interessati in più di uno Stato membro; 24) «obiezione pertinente e motivata»: un'obiezione al progetto di decisione sul fatto che vi sia o meno una violazione del presente regolamento, oppure che l'azione prevista in relazione al titolare del trattamento o responsabile del trattamento sia conforme al presente regolamento, la quale obiezione dimostra chiaramente la rilevanza dei rischi posti dal progetto di decisione riguardo ai diritti e alle libertà fondamentali degli interessati e, ove applicabile, alla libera circolazione dei dati personali all'interno dell'Unione; 25) «servizio della società dell'informazione»: il servizio definito all'articolo 1, paragrafo 1, lettera b), della direttiva (UE) 2015/1535 del Parlamento europeo e del Consiglio; 26) «organizzazione internazionale»: un'organizzazione e gli organismi di diritto internazionale pubblico a essa subordinati o qualsiasi altro organismo istituito da o sulla base di un accordo tra due o più Stati. InquadramentoStando alla definizione contenuta nell'art. 4 punto 14 del Regolamento, per “dati biometrici” si dovrebbero intendere i dati relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l'identificazione univoca, ma solo se ottenuti a valle di un trattamento tecnico specifico. Questo, pertanto, significa che non qualsiasi dato potenzialmente suscettibile di lettura biometrica vada considerato come “biometrico” ai sensi del Regolamento: infatti, il dato personale diviene “biometrico” solo se subisce un “trattamento tecnico specifico” che generi informazioni che consentano o confermino l'identificazione univoca dell'interessato. È chiaro, in tal senso, il considerando 51 del Regolamento, laddove specifica che il trattamento di fotografie non dovrebbe costituire sistematicamente un trattamento di categorie particolari di dati personali, poiché «esse rientrano nella definizione di dati biometrici soltanto quando saranno trattate attraverso un dispositivo tecnico specifico che consente l'identificazione univoca o l'autenticazione di una persona fisica». Giova richiamare di seguito le definizioni fornite dallo standard internazionale ISO/IEC 2382-37 “Information technology – Vocabulary – Part 37: Biometrics”, a cui si riferisce l'Allegato A del Provvedimento generale prescrittivo del Garante per la protezione dei dati personali in tema di biometria – GPDP 12 novembre 2014, n. 513 [doc. web n. 3556992]: caratteristica biometrica: caratteristica biologica o comportamentale di un individuo da cui possono essere estratti in modo ripetibile dei tratti biometrici (biometric features) distintivi e idonei al riconoscimento biometrico; riconoscimento biometrico: si intende il riconoscimento di individui basato su loro caratteristiche biologiche o comportamentali, includendo in tale accezione le nozioni di verifica biometrica e di identificazione biometrica; verifica biometrica: confronto tra un modello biometrico acquisito nel momento in cui l'interessato interagisce con il sistema biometrico e un modello biometrico previamente memorizzato e (presuntivamente) a lui corrispondente; questo tipo di verifica è detta confronto uno a uno (one-to-one comparison); enrolment: iscrizione in un sistema, nel caso in oggetto, in un sistema biometrico. La fase di enrolment va dall'acquisizione del campione biometrico alla sua memorizzazione, all'estrazione dei tratti fino alla generazione del riferimento biometrico da archiviare per i confronti successivi; identificazione biometrica: ricerca in un archivio, per confronto biometrico, di uno o più modelli biometrici corrispondenti al dato acquisito. Questo tipo di operazione è detta anche confronto uno a molti (one-to-many comparison) e non prevede una fase assertiva; tratto biometrico (biometric feature): informazione estratta da un campione biometrico a fini di confronto; campione biometrico (biometric sample): rappresentazione analogica o digitale di una caratteristica biometrica ottenuta al termine del processo di acquisizione (biometric capture e biometric acquisition) costituita, per esempio, dalla riproduzione dell'immagine di un polpastrello; confronto biometrico (biometric comparison): confronto, usualmente basato su metodi statistici e metriche tipiche del contesto tecnologico e del sistema biometrico prescelto, fra dati biometrici con l'obiettivo di stabilirne il grado di somiglianza o di dissomiglianza; modello biometrico (biometric template): insieme di tratti biometrici memorizzati informaticamente e direttamente confrontabile con altri modelli biometrici; istanza biometrica (biometric probe): modello biometrico generato ogni volta che l'interessato interagisce con il sistema biometrico; riferimento biometrico (biometric reference): modello biometrico utilizzato come termine di confronto e registrato in modo persistente e invariabile nel tempo (a meno di aggiornamenti resi necessari dalle variazioni anche naturali della caratteristica biometrica da cui è estratto). Il considerando 91 del Regolamento indica come opportuno lo svolgimento di una valutazione d'impatto sulla protezione dei dati nei casi in cui i dati personali sono trattati per adottare decisioni riguardanti determinate persone fisiche in seguito al trattamento, tra gli altri, di dati biometrici. Nel menzionato Provvedimento generale prescrittivo del GPDP 12 novembre 2014, n. 513 [doc. web n. 3556992], in tema di biometria, l'Autorità elencava una serie di trattamenti di dati per i quali non era richiesta la verifica preliminare ex art. 17 cod. privacy (oggi abrogato). A parere di chi scrive, tali casistiche tipizzate illo tempore dal Garante possono restare validi riferimenti al fine di orientare la valutazione d'impatto sulla protezione dei dati e, se del caso, per motivare la ricorrenza del legittimo interesse come base di legittimità ex art. 6.1.f) GDPR, comunque da congiungere anche con una deroga al divieto di cui all'art. 9.2 GDPR, stante la natura sensibile dei dati biometrici. L'art. 2-septies cod. privacy, al comma 7, ammette, nel rispetto dei principi in materia di protezione dei dati personali, con riferimento agli obblighi di cui all'art. 32 GDPR, nonché delle misure di garanzia emanate dal Garante per la protezione dei dati personali ai sensi del medesimo art. 2-septies, l'utilizzo dei dati biometrici con riguardo alle procedure di accesso fisico e logico ai dati da parte dei soggetti autorizzati. Sul concetto di dati biometrici, può essere interessante richiamare la recente Cass. Civ. Sez. I, Ord. 13 maggio 2024, n. 12967, con la quale la Corte di Cassazione ha cassato la sentenza del Tribunale di Milano che aveva parzialmente accolto il ricorso proposto dalla Università commerciale Luigi Bocconi di Milano avverso il provvedimento n. 317 del 16 settembre 2021. Nella pronuncia citata, è stato in particolare affermato che ricorre un trattamento di dati biometrici quando i dati personali siano ottenuti mediante un trattamento tecnico automatizzato specifico, realizzato con un software che, sulla base di riprese e analisi delle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica, le elabora, evidenziando comportamenti o elementi anomali, e che perviene a un esito conclusivo, costituito da una elaborato video/foto che consente (o che conferma) l'identificazione univoca della persona fisica, restando irrilevante la circostanza che l'esito finale del trattamento sia successivamente sottoposto alla verifica finale di una persona fisica. Quale la natura dei dati sulle “human characteristics” nel Metaverso (realtà aumentata, virtuale, mista)?Se è vero che non è possibile concepire il Metaverso senza informazioni e dati personali, è ancor più vero e corretto affermare che, nello specifico, sono le human characteristics che ne rappresentano l'elemento più intrinseco, connaturato e distintivo. L'elaborazione dei dati concernenti le human characteristics, intese come quel complesso di connotati fisici, fisiologici e comportamentali – azioni, gestualità, movenze e sussulti, anche tra i più involontari e istintivi – che contraddistinguono ogni uomo nella sua unicità, consentirà probabilmente di pervenire alla identificazione univoca di un individuo. Inoltre, le human characteristics rappresentano la riserva inesauribile di energia cui il Metaverso attingerà per funzionare effettivamente e vibrare, così, di vitalità. A questo punto, è necessario chiedersi se, in virtù delle loro caratteristiche strutturali, le human characteristics costituiscano semplicemente dati personali cc.dd. “comuni” – cioè un insieme di dati personali normalmente non connotati da una particolare sensibilità, come, ad esempio, i dati di contatto individuali – ovvero appartengano ad un'altra categoria di dati personali, come quella dei dati biometrici di cui agli artt. 4, n. 14) e 9 del GDPR. I dati biometrici sono definiti dal citato art. 4, n. 14) del GDPR come “dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l'identificazione univoca”; ne sono esempi l'immagine facciale e i dati dattiloscopici. Un ulteriore riferimento ai dati biometrici si rinviene poi nell'art. 9, par. 1, del GDPR, il quale include i dati biometrici nelle “categorie particolari di dati personali” laddove gli stessi vengano utilizzati allo scopo di “identificare in modo univoco una persona fisica”. Più nel dettaglio, alla luce delle indicazioni del Comitato europeo per la protezione dei dati (EDPB) contenute nelle Linee guida 3/2019 sul trattamento dei dati personali attraverso dispositivi video, che includono anche un'interessante e generale digressione sui dati biometrici, può affermarsi che i dati biometrici, quali dati appartenenti alle categorie particolari di cui all'art. 9 del GDPR, risultano concettualmente dalla combinazione di tre diversi elementi: 1) “natura dei dati”: deve trattarsi di informazioni concernenti le caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica; 2) “mezzi e modalità del trattamento”: i dati devono costituire il prodotto di un trattamento tecnico specifico, quel che lo stesso EDPB descrive come una “misurazione” delle suddette caratteristiche; 3) “finalità del trattamento”: i dati devono essere utilizzati al fine di identificare in modo univoco una persona fisica, quale specifica direzione finalistica del trattamento che riecheggia il tenore dell'art. 9, par. 1, del GDPR sopra citato (“intesi a identificare in modo univoco una persona fisica”). Tutto ciò premesso, occorre in primo luogo chiedersi se l'art. 4 e l'art. 9 del GDPR debbano essere letti separatamente o, piuttosto, congiuntamente. A nostro avviso, un articolo alimenta e chiarisce l'altro e viceversa. Nelle sue linee guida, anche l'EDPB sembrerebbe contemplare espressamente una lettura congiunta dell'art. 4 e dell'art. 9. La scelta normativa di distinguere una categoria di dati come i dati biometrici, così facendone una sorta di “sottocategoria” separata, sembrerebbe avere senso solo laddove la regolamentazione di questa categoria debba essere effettivamente differente da quella cui soggiacciono le categorie particolari di cui all'art. 9 del GDPR. In altre parole, si ritiene che i dati biometrici necessitino di una definizione specifica solo nella misura in cui sono disciplinati diversamente dalle altre categorie di dati personali e, nello specifico, dalle categorie dei dati comuni o dei dati particolari di cui all'art. 9 del GDPR. Peraltro, come noto, il GDPR costituisce un regolamento tecnologicamente neutrale e non propone una classificazione dei dati per tipo di tecnologia applicata ma, diversamente, per livello di sensibilità dei dati; solo apparentemente, nel caso dei dati biometrici, sembrerebbe operare una classificazione dei dati sulla base del criterio delle finalità perseguite. In secondo luogo, i tre criteri elaborati dall'EDPB e sopra menzionati costituiscono criteri cumulativi che si applicano tanto alla questione della regolamentazione dei dati biometrici quanto alla loro definizione e categorizzazione. L'analisi di tali criteri, che chiariscono per un verso la definizione di dati biometrici ai sensi dell'art. 4 e per altro verso l'applicabilità dell'art. 9, conduce l'interprete a ritenere che i dati biometrici siano sempre da definirsi e classificarsi come categorie particolari di dati. A questo proposito e in terzo luogo, il secondo criterio indicato dall'EDPB – quello relativo al trattamento tecnico specifico – dovrebbe essere inteso come relativo a quella tecnologia specificamente sviluppata per consentire tecnicamente l'identificazione univoca di una persona fisica e, cioè, al mezzo che risulta strettamente necessario per conseguire tale scopo, anziché, genericamente, ad un mezzo qualsiasi da valutare indipendentemente dallo scopo specifico perseguito. In questa prospettiva, il secondo e il terzo criterio proposti dall'EDPB appaiono intrinsecamente interconnessi. Le tecnologie di misurazione applicate ai dati personali, che non siano sviluppate nell'ottica della specifica direzione finalistica dell'identificazione univoca, dovrebbero pertanto considerarsi estranee all'ambito applicativo del secondo criterio sopra menzionato e quindi irrilevanti ai fini della definizione dei dati biometrici e della loro classificazione come categorie particolari di dati. Ne consegue che qualsiasi tecnologia di misurazione applicata ai dati fisici, fisiologici o comportamentali diviene rilevante ai sensi dell'art. 4, n. 14) del GDPR solo nella misura in cui è diretta a conseguire lo scopo specifico di identificare in modo univoco un individuo. Pare quindi possibile concludere che, quando i dati personali non sono tecnicamente trattati per portare specificamente all'identificazione univoca di un individuo, essi non devono essere considerati come dati biometrici definiti dall'art. 4, n. 14) e/o regolati dall'art. 9, par. 1 del GDPR. Ebbene, le human characteristics, pur configurandosi sostanzialmente come caratteristiche fisiche, fisiologiche o comportamentali riferibili ad una persona fisica, non saranno trattate sistematicamente con strumenti tecnici specifici, come le misurazioni, al fine di consentire o confermare l'identificazione univoca di una persona fisica; non saranno, cioè, intese ad identificare univocamente una persona fisica. Nella logica del GDPR, identificare in modo univoco significa garantire con certezza l'identità di un soggetto, almeno come individuazione certa (singling out), distinguendolo dalla massa degli individui in virtù di sue caratteristiche che sono state trattate proprio per confermare in modo inequivocabile che il suddetto soggetto è davvero lui o lei; l'identificazione univoca si consuma, cioè, quando si determina con assoluta certezza che il soggetto non si identifica con nessun altro essere umano. In linea di principio, quindi, le human characteristics non sarebbero e non dovrebbero essere definite e classificate come dati biometrici e/o categorie particolari di dati ai sensi del GDPR. Benché, infatti, le human characteristics possano riflettere la nostra unicità, al contempo le stesse non sono necessariamente utilizzate per confermarla in modo univoco. La lettura che si è proposta in queste pagine ha anche il pregio di prevenire interpretazioni divergenti tra gli interessati, le autorità e tutte le altre parti coinvolte. Si rivelerebbe piuttosto complesso, in effetti, distinguere i dati biometrici solo sulla base di alcuni riferimenti normativi che possono, o non possono, indicare chiaramente come dovrebbero essere intese quelle informazioni a seconda delle circostanze. La soluzione interpretativa più ragionevole parrebbe, in definitiva, essere quella di considerare dati biometrici quelle sole informazioni che soddisfano congiuntamente i tre i criteri di cui sopra, con la conseguenza che qualsiasi altra caratteristica umana che non li soddisfi dovrà essere considerata alla stregua di un dato personale “comune”. Seguendo tale ragionamento, nel Metaverso, l'intelligenza artificiale che alimenterà gli scenari metaversali sarà limitata alla cattura e all'elaborazione delle human characteristics allo scopo principale di permettere il funzionamento concreto del Metaverso, cioè le interazioni tra soggetti e tra soggetti e oggetti. Tali human characteristics, pur essendo generalmente in grado di cogliere i tratti essenziali del nostro aspetto, del nostro essere e delle nostre azioni, non saranno normalmente utilizzate per identificarci in modo univoco. Esse rappresenteranno, come detto sopra, la mera premessa indispensabile del funzionamento del Metaverso (da intendersi come combinazione tra VR, AR, realtà mista, realtà assistita), cioè una sua caratteristica intrinseca, che ci permetterà di sperimentare veramente “quella profonda sensazione di presenza” di cui parla Mark Zuckerberg e, in sostanza, il mezzo per sperimentare la socialità metaversale. E, dunque, sebbene le human characteristics potranno di fatto essere utilizzate anche per identificare in modo univoco un interessato, almeno fintantoché tale possibilità rimarrà una mera potenzialità inespressa, sarà del tutto inappropriato parlare di dati biometrici. Così, per esempio, quando nei caffè virtuali del Metaverso ci troveremo a sorridere di fronte a un amico, le tecnologie del Metaverso riprodurranno sui volti dei nostri avatar le stesse espressioni facciali che, nel medesimo istante, mimeremo nella realtà terrena. Si tratterà di riproduzioni dei nostri personalissimi modi di apparire e di muoverci, che appartengono a noi e solo a noi, in quanto esseri unici; tuttavia, tali espressioni facciali non saranno utilizzate allo scopo di confermare o permettere la nostra identificazione univoca e non potranno quindi essere considerate dati biometrici nel senso di cui agli artt. 4, n. 14) e 9, par. 1 del GDPR. Le human characteristics dovranno pertanto considerarsi appartenenti alla categoria dei dati cc.dd. “comuni”; esse saranno assoggettate, nel Metaverso, al regime di trattamento previsto dall'art. 6 del GDPR, che indubbiamente ne assicurerà una maggiore fluidità e scioltezza nella circolazione e nell'utilizzo (Bolognini, Carpenelli). BibliografiaBolognini, Pelino, Codice privacy: tutte le novità del d.lgs. n. 101/2018, Milano, 2018; Bolognini, Pelino, Bistolfi, Il regolamento privacy europeo. Commentario alla nuova disciplina sulla protezione dei dati personali, Milano, 2016; Bolognini, Carpenelli, Il futuro dei dati personali nel Metaverso, in Rivista Diritto, Economia e Tecnologie Della Privacy, 2022. |
