A chi appartiene l’altezza del Cervino?
Quando si parla di governance dei dati, si usa spesso l’espressione titolare del dato; tuttavia questa espressione è foriera di numerosi equivoci, anche solo per il fatto che non trova riscontro in nessuna norma giuridica vigente. Sarebbe quindi consigliabile non usare mai quell’espressione, se non fornendone contestualmente una definizione.
Innanzitutto, quando parliamo di titolarità è importante distinguere il piano della privacy e il piano della proprietà intellettuale.
Se siamo sul piano della proprietà intellettuale, il concetto di titolarità viene normalmente associato al concetto di titolarità dei diritti di utilizzazione. Abbiamo però già spiegato in un altro articolo che non esiste un diritto di privativa su singole informazioni; esiste una forma di proprietà intellettuale solo su una banca dati, cioè su un insieme organizzato di informazioni.
Mi spiego meglio: il Monte Cervino ha un’altitudine di 4.478 metri sul livello del mare. Questo singolo dato non appartiene a nessuno; nessuno ha la proprietà intellettuale su questa informazione, dunque tutti la possono utilizzare, riprodurre, diffondere. Se però Tizio realizza una banca dati con tutte le cime delle Alpi e le rispettive altitudini, allora Tizio può vantare un diritto di proprietà intellettuale sulla banca dati (nel caso specifico un diritto particolare chiamato diritto sui generis).
Il piano della privacy
Ora spostiamoci sul piano della privacy; qui l’espressione titolare del dato non ha nulla a che fare con il concetto di proprietà. La normativa vigente in materia di privacy (l’attuale GDPR, ma anche il precedente Codice Privacy), utilizza l’espressione titolare del trattamento, che viene così definita dall’articolo 4:
[Per titolare del trattamento si intende] la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali.
Il titolare del trattamento è dunque colui che tratta i dati senza ricevere istruzioni da altri, colui che decide perché e come devono essere trattati i dati. Non è tanto chi gestisce concretamente i dati, quanto chi decide le finalità e le modalità del trattamento.
Secondo alcuni commentatori, il legislatore italiano, in occasione della traduzione e del recepimento del GDPR, avrebbe potuto più opportunamente utilizzare un’espressione meno ambigua che si avvicinasse dal punto di vista semantico alla versione inglese del GDPR, in cui si trova data controller (colui che ha il controllo dei dati).
Non bisogna poi confondere il titolare del trattamento con il responsabile del trattamento; figura distinta che viene definita dal GDPR come il soggetto che tratta dati personali per conto del titolare del trattamento (nella versione inglese data processor, cioè colui che elabora i dati).
Titolare e proprietario sono concetti diversi
Emerge quindi un primo problema che ci richiama a una maggiore precisione semantica: il titolare del trattamento non è detto coincida con il titolare dei diritti di proprietà intellettuale sulla banca dati; a seconda dei casi, il titolare dei diritti sulla banca dati potrebbe infatti essere il responsabile del trattamento, o addirittura un altro soggetto ancora. Quindi utilizzare titolare del dato ci espone necessariamente a fraintendimenti.
Molti però parlano di titolare del dato per indicare la persona fisica cui i dati sono riconducibili e che attraverso essi può essere identificata o identificabile; cioè l’essere umano la cui riservatezza è tutelata e che può esercitare i diritti di accesso ai dati, di rettifica o di cancellazione degli stessi previsti dalla legge. Anche questo utilizzo è improprio, perché più precisamente tutta la normativa in materia di privacy in questo caso parla non di titolare del dato ma di interessato (data subject nel testo inglese del GDPR).
Facciamo un esempio concreto per capire meglio. Via Garibaldi 10 – Torino è l’indirizzo in cui ha la residenza Sempronio; dunque è sicuramente un dato personale, in quanto informazione chiaramente riconducibile a una persona fisica. Ma possiamo forse dire che Sempronio sia titolare di quel dato sul piano della proprietà intellettuale? Assolutamente no, perché Sempronio non ha la proprietà intellettuale di quel dato; né lui, né nessun altro. E possiamo forse dire che sia titolare del dato sul piano della tutela della privacy? No perché, come spiegato, secondo la terminologia tipica della normativa privacy Sempronio ricopre il ruolo di interessato e non di titolare del trattamento.
Questo articolo è rilasciato nei termini della licenza Creative Commons Attribution-ShareAlike 4.0 International.
Immagine di apertura di Leif Christoph Gottwald su Unsplash.
Parliamo di privacy in occasione della Giornata europea della protezione dei dati personali.
L'autore
Corsi che potrebbero interessarti
Data governance: diritti, licenze e privacy
Strategie e modelli contrattuali per cedere e acquisire software
Big Data Executive: business e strategie