Home

Regolamento - 27/04/2016 - n. 679 art. 4 - Definizioni

Enrico Pelino

Definizioni

Ai fini del presente regolamento s'intende per:

1) «dato personale»: qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale;

2) «trattamento»: qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione;

3) «limitazione di trattamento»: il contrassegno dei dati personali conservati con l'obiettivo di limitarne il trattamento in futuro;

4) «profilazione»: qualsiasi forma di trattamento automatizzato di dati personali consistente nell'utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l'affidabilità, il comportamento, l'ubicazione o gli spostamenti di detta persona fisica;

5) «pseudonimizzazione»: il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l'utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile;

6) «archivio»: qualsiasi insieme strutturato di dati personali accessibili secondo criteri determinati, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o ripartito in modo funzionale o geografico;

7) «titolare del trattamento»: la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell'Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell'Unione o degli Stati membri;

8) «responsabile del trattamento»: la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento;

9) «destinatario»: la persona fisica o giuridica, l'autorità pubblica, il servizio o un altro organismo che riceve comunicazione di dati personali, che si tratti o meno di terzi. Tuttavia, le autorità pubbliche che possono ricevere comunicazione di dati personali nell'ambito di una specifica indagine conformemente al diritto dell'Unione o degli Stati membri non sono considerate destinatari; il trattamento di tali dati da parte di dette autorità pubbliche è conforme alle norme applicabili in materia di protezione dei dati secondo le finalità del trattamento;

10) «terzo»: la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che non sia l'interessato, il titolare del trattamento, il responsabile del trattamento e le persone autorizzate al trattamento dei dati personali sotto l'autorità diretta del titolare o del responsabile;

11) «consenso dell'interessato»: qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell'interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento;

12) «violazione dei dati personali»: la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati;

13) «dati genetici»: i dati personali relativi alle caratteristiche genetiche ereditarie o acquisite di una persona fisica che forniscono informazioni univoche sulla fisiologia o sulla salute di detta persona fisica, e che risultano in particolare dall'analisi di un campione biologico della persona fisica in questione;

14) «dati biometrici»: i dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l'identificazione univoca, quali l'immagine facciale o i dati dattiloscopici;

15) «dati relativi alla salute»: i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute;

16) «stabilimento principale»:

a) per quanto riguarda un titolare del trattamento con stabilimenti in più di uno Stato membro, il luogo della sua amministrazione centrale nell'Unione, salvo che le decisioni sulle finalità e i mezzi del trattamento di dati personali siano adottate in un altro stabilimento del titolare del trattamento nell'Unione e che quest'ultimo stabilimento abbia facoltà di ordinare l'esecuzione di tali decisioni, nel qual caso lo stabilimento che ha adottato siffatte decisioni è considerato essere lo stabilimento principale;

b) con riferimento a un responsabile del trattamento con stabilimenti in più di uno Stato membro, il luogo in cui ha sede la sua amministrazione centrale nell'Unione o, se il responsabile del trattamento non ha un'amministrazione centrale nell'Unione, lo stabilimento del responsabile del trattamento nell'Unione in cui sono condotte le principali attività di trattamento nel contesto delle attività di uno stabilimento del responsabile del trattamento nella misura in cui tale responsabile è soggetto a obblighi specifici ai sensi del presente regolamento;

17) «rappresentante»: la persona fisica o giuridica stabilita nell'Unione che, designata dal titolare del trattamento o dal responsabile del trattamento per iscritto ai sensi dell'articolo 27, li rappresenta per quanto riguarda gli obblighi rispettivi a norma del presente regolamento;

18) «impresa»: la persona fisica o giuridica, indipendentemente dalla forma giuridica rivestita, che eserciti un'attività economica, comprendente le società di persone o le associazioni che esercitano regolarmente un'attività economica;

19) «gruppo imprenditoriale»: un gruppo costituito da un'impresa controllante e dalle imprese da questa controllate;

20) «norme vincolanti d'impresa»: le politiche in materia di protezione dei dati personali applicate da un titolare del trattamento o responsabile del trattamento stabilito nel territorio di uno Stato membro al trasferimento o al complesso di trasferimenti di dati personali a un titolare del trattamento o responsabile del trattamento in uno o più paesi terzi, nell'ambito di un gruppo imprenditoriale o di un gruppo di imprese che svolge un'attività economica comune;

21) «autorità di controllo»: l'autorità pubblica indipendente istituita da uno Stato membro ai sensi dell'articolo 51;

22) «autorità di controllo interessata»: un'autorità di controllo interessata dal trattamento di dati personali in quanto:

a) il titolare del trattamento o il responsabile del trattamento è stabilito sul territorio dello Stato membro di tale autorità di controllo;

b) gli interessati che risiedono nello Stato membro dell'autorità di controllo sono o sono probabilmente influenzati in modo sostanziale dal trattamento; oppure

c) un reclamo è stato proposto a tale autorità di controllo;

23) «trattamento transfrontaliero»:

a) trattamento di dati personali che ha luogo nell'ambito delle attività di stabilimenti in più di uno Stato membro di un titolare del trattamento o responsabile del trattamento nell'Unione ove il titolare del trattamento o il responsabile del trattamento siano stabiliti in più di uno Stato membro; oppure

b) trattamento di dati personali che ha luogo nell'ambito delle attività di un unico stabilimento di un titolare del trattamento o responsabile del trattamento nell'Unione, ma che incide o probabilmente incide in modo sostanziale su interessati in più di uno Stato membro;

24) «obiezione pertinente e motivata»: un'obiezione al progetto di decisione sul fatto che vi sia o meno una violazione del presente regolamento, oppure che l'azione prevista in relazione al titolare del trattamento o responsabile del trattamento sia conforme al presente regolamento, la quale obiezione dimostra chiaramente la rilevanza dei rischi posti dal progetto di decisione riguardo ai diritti e alle libertà fondamentali degli interessati e, ove applicabile, alla libera circolazione dei dati personali all'interno dell'Unione;

25) «servizio della società dell'informazione»: il servizio definito all'articolo 1, paragrafo 1, lettera b), della direttiva (UE) 2015/1535 del Parlamento europeo e del Consiglio;

26) «organizzazione internazionale»: un'organizzazione e gli organismi di diritto internazionale pubblico a essa subordinati o qualsiasi altro organismo istituito da o sulla base di un accordo tra due o più Stati.

Inquadramento

La nozione di «dato personale» fa parte del nucleo di istituti già disciplinati dalla Convenzione 108/1981, cfr. ivi art. 2.a): «“Dati a carattere personale” significa ogni informazione concernente una persona fisica identificata o identificabile (“persona interessata”)». La definizione è transitata, sostanzialmente integra, nella Direttiva 95/46, cfr. ivi art. 2.a), e quindi nel Regolamento. È altresì sovrapponibile con quella utilizzata dal legislatore italiano nel codice privacy pre-GDPR, cfr. l'abrogato art. 4.1.a).

Corrisponde infine all'omologa nozione recepita nella Convenzione 108/1981 modernizzata. Ugualmente, la nozione di identificazione/identificabilità, che è una componente indissociabile di quella di dato personale, è approdata al Regolamento con la stessa dimensione concettuale che registrava nella direttiva e nel codice privacy. È un punto rilevante perché permette all'interprete di fare salvi una serie di approdi giuridici consolidati. Guida essenziale per ogni riflessione in materia di nozione di dato personale e di identificazione/identificabilità resta ancora oggi l'opinione n. 4/2007 dell'ex Gruppo di lavoro 29. Le nozioni di «informazione» e di “collegamento persona-informazione”, come pure quella di «identificazione / identificabilità» sulle quali è costruita la nozione di «dato personale», presentano un elevato coefficiente di astrazione e flessibilità. Ne deriva un concetto di particolare ampiezza sul piano applicativo, che riflette la precisa scelta del legislatore europeo di presidiare le garanzie dell'interessato evitando facili perimetrazioni (cfr. WP29, op. 4/2007, 4). Ciò ha particolare rilievo anche sulla nozione di ”informazione anonima”, che è costruita a partire da quella di «dato personale».

Nozione

Dato personale è qualsiasi informazione riguardante una persona fisica almeno identificabile. Ne risulta un modello costituito dai seguenti componenti:

– un'informazione qualsiasi, ossia il contenuto predicato;

– una persona fisica almeno identificabile, ossia tale da poter essere individuata;

– collegamento tra i due elementi di cui sopra

.

Giova un esempio. «Tizio ha una laurea in matematica» è un dato personale. Il nome «Tizio» soddisfa il (doppio) requisito dell'identificazione (è un identificativo diretto) e del riferimento a una persona fisica. «Ha una laurea in matematica» è, nel suo complesso, il contenuto informativo. Esso non coincide necessariamente con un'unica unità informativa, ma può aggregarne molteplici, tre nel caso proposto: la laurea, la specifica materia di laurea e la titolarità della stessa, espressa dal verbo «avere». «Ha» non costituisce infatti il “collegamento”, ma è anch'esso a ben vedere un elemento dell'informazione, sostituibile con qualsiasi altro appropriato («sta conseguendo», «ha rinunciato a», «ritiene utile», ecc.). Il collegamento è propriamente il rapporto logico tra tutte queste informazioni e una persona identificabile. Il «collegamento» si colloca sul piano dei rapporti logici, è un'operazione intellettuale.

«“Ai sensi dell'art. 4.1) GDPR è ‘dato personale': qualsiasi informazione riguardante una persona fisica identificata o identificabile (‘interessato'); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente”. Non occorre altro in aggiunta a questi tre elementi: un'informazione qualsiasi, una persona fisica almeno identificabile, un collegamento tra la prima e la seconda, nel senso che l'informazione deve riguardare la persona fisica» (Trib. Roma, XVIII, 31 marzo 2023, n. 5113).

Informazione

L'«informazione» è da intendersi come una rappresentazione di cose, fatti, persone. Come tale, specialmente in un contesto digitale, è agevolmente moltiplicabile in copie e suscettibile di vasta circolazione, di qui l'esigenza di garantire all'interessato strumenti di controllo conoscitivo e operativo. L'aggettivo «qualsiasi» («qualsiasi informazione riguardante una persona fisica [...]») presidia da approcci riduttivi. È irrilevante il formato di codifica, potrà trattarsi di un termine linguistico, di un formato audio, di un simbolo grafico, di un'immagine fissa o in movimento o di altro. Anche un suono o un fotogramma sono pertanto informazioni comprese nella definizione. È irrilevante che si tratti informazione oggettiva o di contenuto valutativo (es. un'opinione su qualcuno), v. anche infra. Non conta che sia informazione acquisita direttamente o inferita. Neppure hanno pregio criteri di meritevolezza dell'informazione: soddisfano la definizione anche l'informazione irrilevante, quella positiva o negativa, l'informazione minima. Ugualmente, la verità o la falsità dell'informazione non hanno pregio ai fini della nozione di dato personale, come precisato dai Garanti europei nell'op. 4/2007. Del resto, un'informazione falsa o imprecisa produce tendenzialmente effetti pregiudizievoli ancor più che un'informazione corretta.

«L'uso dell'espressione “qualsiasi informazione” nell'ambito della definizione della nozione di “dati personali”, di cui all'articolo 2, lettera a), della direttiva 95/46 riflette l'obiettivo del legislatore dell'Unione di attribuire un'accezione estesa a tale nozione, che non è limitata alle informazioni sensibili o di ordine privato, ma comprende potenzialmente ogni tipo di informazioni, tanto oggettive quanto soggettive, sotto forma di pareri o di valutazioni, a condizione che esse siano “concernenti” la persona interessata» (CGUE, Nowak, C-436/2016, punto 34).

«Perché l'informazione diventi un ‘dato personale' non è necessario che sia vera o dimostrata» (WP29, op. 4/2007, p. 6).

Collegamento per contenuto, finalità, risultato

Ai fini della nozione di dato personale, l'informazione deve riguardare una persona fisica. «Riguardare» è termine generico, non connotato, per cui risulta compatibile con un'ampia varietà di rapporti. I Garanti europei hanno individuato nell'op. 4/2007 tre criteri di collegamento in base ai quali l'informazione può riguardare in modo giuridicamente significativo una persona fisica, quelli del contenuto, della finalità, del risultato, da intendersi disgiuntivi e individualmente autosufficienti. L'informazione dunque «riguarda la persona» quando la concerne, ossia la menziona (criterio del contenuto); oppure quando sia finalizzata a valutarla o valutarne qualche aspetto (criterio della finalità); oppure quando determini, anche a prescindere da contenuto e finalità valutative, risultati apprezzabili sulla sfera di diritti e libertà della persona (criterio del risultato o dell'effetto).

«È stato dichiarato, in proposito, che un'informazione riguarda una persona fisica identificata o identificabile qualora, in ragione del suo contenuto, della sua finalità o del suo effetto, essa sia connessa a una persona identificabile (v., in tal senso, sentenza del 20 dicembre 2017, Nowak, C-434/16, EU:C:2017:994, punto 35)» (CGUE, 4 maggio 2023, Crif, C-487/21, punto 24).

Identificazione/identificabilità e identificativi

L'identificazione/identificabilità dell'interessato è un requisito essenziale. Ove infatti essa risultasse impossibile o venisse meno in maniera definitiva, bisognerebbe parlare di informazione anonima o anonimizzata, mancherebbe infatti un soggetto determinato a cui riferire il contenuto informativo. L'identificabilità ha bisogno di un identificativo (identifier), ossia un elemento presente nel dato personale che permette il processo di identificazione. In un articolo di cronaca, tipici (ma non certo esclusivi) identificativi sono il nome della persona individuata oppure l'immagine fotografica, che permettono di associare il contenuto informativo dell'articolo a un determinato soggetto.

Identificazione come individuazione

In applicazione della nozione di identificativo (altre volte indicato anche come “identificatore”), per consolidata impostazione dell'ex Gruppo di lavoro 29 (cfr. WP29, op. 4/2007, 13-15; Id., op. 1/2012, 9; Id., op. 8/2012, 5) ai fini dell'identificazione non è necessaria la formale presenza del nome anagrafico della persona fisica affinché si abbia un'informazione collegata a una persona e dunque un dato personale, ma è sufficiente l'individuazione della persona all'interno di un contesto. Si tratta di un perno concettuale fondamentale, pacifico nell'impostazione del Garante (cfr. GPDP, 15 ottobre 2015, [4541143]; GPDP, 12 marzo 2015 [3881392]; 8 marzo 2007 [1396630]; GPDP, 19 settembre 2007 [1445858]). «Identificazione/identificabilità» vale allora nel senso di «individuazione/individuabilità». Ne deriva l'equipollenza, ai fini della nozione di dato personale, tra il nome anagrafico e qualsiasi altro elemento informativo o complesso di elementi informativi ugualmente dotati di attitudine distintiva. Questa impostazione, risalente, trova ora un formale riconoscimento nel considerando 26 GDPR. In esso, sia pure con formulazione alquanto involuta, si indica infatti come mezzo sufficiente all'identificazione anche la mera «individuazione» dell'interessato all'interno di un contesto («singling out»).

Identificazione diretta e indiretta

L'art. 4.1) indica che l'identificazione/identificabilità della persona può essere diretta o indiretta. I due termini non sono definiti, ma sulla scorta dell'interpretazione dell'ex Gruppo di lavoro 29 può desumersi che l'elemento di discrimine vada ravvisato nel collegamento rispettivamente immediato («diretta») o mediato («indiretta») dell'identificativo rispetto alla persona fisica. Ad esempio, il nome anagrafico è considerato identificativo diretto per eccellenza (WP29, op. 4/2007, p. 13). Sono invece identificativi indiretti un numero di telefono, un numero di targa (cfr. WP29, op. 4/2007, p. 13). In tali casi si richiede infatti il confronto con registri, elenchi, ecc., e, attraverso questi ultimi, un collegamento con il nome, anziché direttamente con la persona fisica, perciò un collegamento mediato. Possono considerarsi, di regola, identificativi diretti anche l'immagine e la voce. Sono identificativi indiretti i dati relativi all'ubicazione, molti identificativi online, ecc.. La distinzione tracciata segue ad ogni modo un criterio di massima, e non possono escludersi esiti diversi in casi specifici. Ad esempio, rispetto a un familiare di un interessato intestatario di una targa automobilistica, la targa potrebbe costituire un identificativo diretto, ove il familiare l'associ direttamente all'interessato senza necessità di consultazione di registri. La distinzione «diretto/indiretto» non ha del resto altro valore che quello di ampliare il perimetro della nozione di dato personale, nel senso che essa è soddisfatta anche da un collegamento indiretto, ma non sottopone a diversa disciplina il collegamento diretto rispetto a quello indiretto.

Individuazione in contesti specifici

Alcuni identificativi non sono univoci ma hanno attitudine distintiva solo in relazione a particolari contesti. Valga il noto esempio dell'«uomo vestito di nero al semaforo» proposto dai Garanti europei in (ex) WP29, op. 4/2007, più volte citata, p. 13: tra molti individui fermi al semaforo in un dato momento ne indico uno a un mio interlocutore ugualmente presente alla scena e per farlo mi servo dell'identificativo costituito dall'abito nero che indossa in quello specifico contesto. Il colore del vestito, in ipotesi diverso da quello degli altri passanti, assume nella circostanza di luogo e di tempo valore identificativo, perché permette di distinguere la persona all'interno di un gruppo.

In definitiva, una singola informazione può non avere sufficiente valore identificativo, ma l'attitudine a distinguere l'interessato entro un contesto può risultare dalla combinazione di più informazioni, ossia dipendere da «[...] più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale» (art. 4.1 GDPR). Per ipotesi applicative, si pensi alla casistica di articoli di cronaca in cui, pur omesse le generalità delle vittime, per esempio minori in vicende di abuso, siano menzionati dettagli di tempo, di luogo, di rapporti sociali che permettono l'individuazione, quantomeno nel contesto sociale di riferimento. Basta, ai fini dell'individuabilità, la riconoscibilità del soggetto da parte dei destinatari, anche al limite quelli compresi nella cerchia di frequentazione ravvicinata, e per questo peraltro anche maggiormente rilevante. Le informazioni che, combinate tra loro, permettono di individuare la persona fisica costituiscono insiemi con valore identificativo.

La casistica del Garante italiano in materia di cronaca giornalistica si riporta spesso a questo modello concettuale (cfr. ex multis GPDP, 16 febbraio 2009 [1590076]; 10 luglio 2008 [1536583]; 8 marzo 2007 [1396630]; 19 novembre 2007 [1445858]; 6 aprile 2004 [1091956]; 10 marzo 2004 [1090071]).

«According to the Article 29 Working Party [WP29, 2007], identifiers are pieces of information, holding a particularly privileged and close relationship with an individual, which allows for identification, whilst the extent to which certain identifiers are sufficient to achieve identification is dependent on the context of the specific personal data processing. Hence, identifiers may be single pieces of information (e.g. name, email address, social security number, etc.) but also more complex data. For instance, although the name of the person is one of the most common identifiers, complex-type data (e.g. photos, templates of fingerprints etc.) or combination of data (e.g. combination of street address, date of birth and sex) may also play the role of identifiers. Moreover, the possibility of an identifier to lead to the identification of a specific data subject is highly relevant to the particular context in which it is applied, which in practice means that the same identifier might provide for different levels of identifiability of the same data subjects in different contexts. For example, even the simple case of an individual's name may not always suffice to uniquely identify the individual, unless additional information is being considered – for instance, a very common family name will not be sufficient to identify someone (i.e. to single someone out) from the whole of a country's population [WP29, 2007]; however, this might become possible if the name is combined with other data, such as for example telephone number or email address» (ENISA, Recommendations on shaping technology according to GDPR provisions, Part. 1, nov. 2018, § 2.1.3).

In una vicenda relativa alla diffusione di notizie di cronaca relative a violenze sessuali su minori i cui nomi non erano stati riportati dalle testate giornalistiche, il Garante ha osservato che «nonostante la loro mancata individuazione nominativa, i minori interessati nel caso di specie risultano riconoscibili quanto meno in ambito locale, in particolare all'interno della cerchia familiare e amicale, oltre che rispetto ad altri soggetti rientranti nelle ordinarie frequentazioni della vita sociale nei vari luoghi indicati dalla segnalante» (GPDP, 10 luglio 2008 [1536583]).

In una vicenda analoga, l'autorità di controllo ha notato: «[...I]l giornale [...], pur avendo omesso il cognome per esteso delle persone oggetto di indagine, ha diffuso gli altri dati sopraindicati i quali, nel loro insieme, considerato il numero esiguo di abitanti del comune in cui si sono svolti i fatti, sono comunque idonei a rendere identificabile la vittima» (GPDP, 28 gennaio 2010 [1696265]).

Ulteriori informazioni

 In senso ancora più ampio, l'identificabilità può risultare dalla combinazione di varie fonti di informazione. Si faccia il caso di un articolo di giornale che riporti all'attenzione un fatto di cronaca del passato, utilizzando nomi di fantasia. Il tempo trascorso non permette di fornire elementi utili, nel loro complesso, a determinare il riconoscimento degli interessati da parte di coloro che ne condividono le cerchie di frequentazione e relazione, nondimeno l'identificazione degli interessati potrebbe venire dalla consultazione di diversi giornali dell'epoca, ossia dall'accesso a «informazioni aggiuntive» («additional information»). La medesima espressione, «additional information», si trova oggi formalizzata al considerando 26 GDPR («ulteriori informazioni», nella traduzione italiana) in riferimento allo pseudonimo. Qui il punto dirimente diventa quello della ragionevole probabilità del destinatario dell'informazione di accedere alle ulteriori informazioni che permettono l'identificazione.

Ragionevole probabilità di usare strumenti di identificazione

Ai fini della nozione di identificabilità è dunque essenziale il criterio della ragionevole probabilità, nel senso che non qualsiasi possibile identificabilità astrattamente ipotizzabile ha pregio, ma solo l'identificazione a cui si possa pervenire tenendo conto dei mezzi che è ragionevolmente probabile verranno utilizzati dal titolare o da un terzo (considerando26GDPR). Il riferimento ai mezzi di cui è ragionevolmente probabile l'utilizzo vale cioè come temperamento al l'automatica applicazione delle regole enunciate. Si tratta di un punto essenziale, sul quale è intervenuta di recente la Corte di giustizia nella pronuncia T-557/20, SRB (CRU), 26 aprile 2023, v. infra § 13. Il criterio della ragionevole probabilità non costituisce un'innovazione del Regolamento, ma si trovava espresso già nel considerando 26 dir. 95/46, sebbene con formulazione più stringata, che ometteva cenni ai cd. «fattori oggettivi» oggi menzionati al considerando 26 GDPR. In epoca pre-GDPR il criterio della ragionevole probabilità non aveva trovato invece ingresso nella parte generale del codice privacy, ma era rimasto confinato agli artt. 104 e 106 e ai due codici allora vigenti di deontologia in materia statistica, gli Allegati A.3 e A.4.

Nonostante ciò, l'Autorità garante ne aveva fatto richiamo espresso in alcune decisioni (cfr. GPDP, 15 ottobre 2015 [4541143]; 12 marzo 2015 [3881392]; 8 marzo 2007 [1396630]; 19 novembre 2007 [1445858]), altrove invece il riferimento appare implicito e sotteso all'argomentazione.

In linea generale, la «probabilità di un evento», a differenza della «possibilità di un evento», implica un giudizio di prevalenza del suo verificarsi rispetto al suo non verificarsi. L'aggettivo «ragionevole» rafforza questa indicazione. La «ragionevole probabilità» appare cioè una probabilità qualificata, con un margine apprezzabile di verificazione. Giova notare che il Regolamento non fa riferimento alla ragionevole probabilità di identificare l'interessato, quanto piuttosto alla ragionevole probabilità che sia fatto uso di strumenti per l'identificazione dell'interessato, in altre parole il criterio in commento riguarda l'aspetto strumentale attraverso il quale si può pervenire all'identificazione. La ragionevolezza dovrebbe inoltre implicare l'apprezzamento degli strumenti concretamente disponibili al destinatario, secondo una valutazione condotta caso per caso.

«[...] Un indirizzo di protocollo Internet dinamico registrato da un fornitore di servizi di media online in occasione della consultazione, da parte di una persona, di un sito Internet che tale fornitore rende accessibile al pubblico costituisce, nei confronti di tale fornitore, un dato personale ai sensi di detta disposizione, qualora detto fornitore disponga di mezzi giuridici che gli consentano di far identificare la persona interessata grazie alle informazioni aggiuntive di cui il fornitore di accesso a Internet di detta persona dispone» (CGUE, 19 ottobre 2012, Breyer, C-582/14, punto 65.1).

«Quando viene in considerazione l'identificabilità, bisognerebbe avere come assunto quello di non considerare soltanto i mezzi che è ragionevolmente probabile siano utilizzati dall'uomo della strada, ma anche quelli che con ragionevole probabilità sono utilizzabili da una data persona che abbia una motivazione specifica per voler identificare. Esempi in questo senso includono giornalisti d'inchiesta, coniugi separati, stalker o spie industriali» [trad. ns., n.d.a.] (Information Commissioner's Office UK cit., p. 9).

I «fattori obiettivi»

Al cons. 26GDPR, il legislatore fornisce dei parametri di riferimento, i cd. «fattori obiettivi», alla stregua dei quali determinare se l'utilizzo di mezzi di identificazione appaia o no ragionevolmente probabile. Si tratta di un'utile novità rispetto alla direttiva 95/46, introdotta sulla traccia di indicazioni espresse in tal senso dall'ex Gruppo di lavoro 29 (cfr. op. 4/2007, 15). In realtà, il legislatore del Regolamento recepisce, con formula meramente esemplificativa, due dei fattori indicati dal Gruppo, ossia:

– «costi» e

– «tempo necessario per l'identificazione», da valutare in rapporto alle «tecnologie disponibili al momento del trattamento» e agli «sviluppi tecnologici».

I due parametri trovano perciò naturale terreno di applicazione in contesti nei quali l'identificazione è marcatamente sensibile alla combinazione tempo/costi, dunque per esempio in ambito statistico o qualora si faccia impiego di tecniche crittografiche.

Il considerando 26 GDPR ha comunque natura di clausola aperta, suscettibile di essere integrata quantomeno dagli ulteriori fattori obiettivi individuati dai Garanti europei nella citata opinione 4/2007, ossia:

– finalità del trattamento;

– modalità di strutturazione dello stesso;

– vantaggio atteso dal titolare;

– interessi dei singoli;

– rischio di disfunzioni organizzative (es. violazioni degli obblighi di riservatezza) e tecniche.

La rilevanza di questi parametri rispetto all'identificabilità, così come la loro applicabilità trasversale alla generalità dei trattamenti, appare evidente, il che ne fa certamente fattori oggettivi congrui. Ad esempio, la finalità del trattamento ha sicuramente uno stretto rapporto con l'identificabilità dell'interessato. Si possono aggiungere ulteriori fattori rilevanti, in tal senso non si vede ragione di escludere parametri indubbiamente significativi come la tipologia dei dati trattati, la rilevanza del trattamento, le peculiarità del contesto di circolazione delle informazioni.

Valutazione ex ante o ex post

Occorre ulteriormente decidere se nella valutazione della ragionevole probabilità di utilizzare mezzi identificativi si debba assumere una prospettiva ex ante o ex post. Anche in questo caso, la posizione maturata dai Garanti europei fornisce utili binari all'interprete (ex WP29, op. 4/2007, 15). Il ragionamento è sviluppato soprattutto in chiave di responsabilità del titolare del trattamento. Questi infatti nella valutazione del rischio deve porsi in senso prognostico il problema dell'ambito di circolazione delle informazioni, degli interessi di terzi a identificarle, della tipologia dei dati trattati, della disponibilità che eventuali tecniche di anonimizzazione si rivelino inadeguate, e in generale deve tenere conto di ogni altro fattore che incida sulla ragionevole probabilità che terzi si attivino nell'identificazione dell'interessato. L'approccio suggerito dai Garanti europei è dunque ex ante, corretto tuttavia da congrue verifiche periodiche, che tengano conto dello sviluppo tecnologico e in generale del mutamento dei contesti che vengono in rilievo. Il titolare ha cioè l'onere di tenersi aggiornato e di essere reattivo. Concretamente, viene chiarito a titolo di esempio che se, supponiamo, il titolare prevede di conservare per dieci anni i dati trattati, anonimizzando gli identificativi, «dovrebbe considerare la possibilità che l'identificazione avvenga anche al nono anno, il che li renderebbe dati personali in quel preciso momento. È importante che il sistema sia in grado di adattarsi a questi sviluppi, via via che si verificano, e di integrare quindi le misure tecniche e organizzative più appropriate in tempo utile».

Dati anonimi, anonimizzati o pseudonimizzati

I dati anonimi o anonimizzati, ossia resi anonimi, non sono oggetto del Regolamento, per espressa previsione del considerando 26 e in ogni caso in applicazione dell'art. 1.1 GDPR. Per “anonimizzato” si intende il dato in cui: a) è reciso il collegamento con una persona identificabile; b) tale dissociazione tra informazione e persona è irreversibile, con il limite della ragionevole probabilità già esaminato, vale a dire che non è ragionevolmente probabile la re-identificazione. I dati “anonimi” presentano tali caratteristiche ab origine. L'esclusione dei dati anonimi/anonimizzati dal campo di applicazione della materia de qua era già prevista al considerando 26 della direttiva 95/46 e agli abrogati artt. 4.1.b) e 4.1.n) d.lgs. n. 196/2003. La nozione di «anonimo» dipende dinamicamente da quella di «identificabile», nel senso che, a misura che l'identificabilità registra espansione concettuale e applicativa dovuta ad avanzamenti tecnologici, l'area dell'informazione anonima recede. Per conseguenza, la linea di demarcazione tra anonimo e identificabile è mobile, fatti salvi contesti specifici. In concreto definire «anonima» un'informazione è operazione condizionata da una molteplicità di variabili, dunque soggetta a incidenza di falsi positivi, ossia di situazioni in cui l'anonimato è solo apparente. In linea di massima, l'area di ciò che è autenticamente anonimo risulta particolarmente ridotta rispetto alla percezione comune. La pseudonimizzazione non costituisce, per il soggetto che vi procede, una tecnica di anonimizzazione. Per il concetto, si rimanda in quest'Opera al commento all'art. 4.5) GDPR. Alla luce della più recente giurisprudenza della Corte di giustizia, l'anonimizzazione e la pseudonimizzazione sono concetti relativi ai soggetti che trattano i dati, nel senso che per i destinatari di dati pseudonimizzati da altri, che non possano con ragionevole probabilità attingere alla tabella di conversione degli pseudonimi in informazioni in chiaro, i dati non risultano dissimili, rebus sic stantibus, da dati anonimi. Sostanzialmente, i dati pseudonimizzati, diversamente dai dati anonimi per chiunque, sono dati personali limitatamente al soggetto che dispone delle «informazioni aggiuntive» (es., tabella di conversione), mentre non sono dati personali rispetto a chi non dispone di tali informazioni, né può disporne, questo è il passaggio chiave, con ragionevole probabilità, esaminate tutte le caratteristiche di contesto del caso di specie. È quanto stabilito dalla Corte di giustizia nel citato arresto 26 aprile 2023, SRB (CRU), T-557/20.

Il caso riguardava la risoluzione della banca spagnola Banco Popular Español da parte del Comitato Unico di Risoluzione (SRB), che aveva avviato una procedura volta a garantire agli ex azionisti e creditori la possibilità di essere ascoltati prima di deliberare su eventuali risarcimenti. Durante questa fase, lo SRB aveva raccolto le osservazioni delle parti interessate e, per la valutazione di alcune di esse, si era avvalso della consulenza di Deloitte. Più di mille commenti erano stati trasmessi a Deloitte, ma erano state adottate specifiche misure di pseudonimizzazione (associazione  a un codice alfanumerico univoco e eliminazione di tutte le informazioni direttamente identificabili, con detenzione della chiave per ricondurre i codici agli individui esclusiva da parte dello SRB). Alcuni ex azionisti e creditori avevano presentato reclami al Garante europeo della protezione dei dati (EDPS), lamentando che l’informativa privacy fornita dallo SRB non menzionava la possibilità che i dati personali raccolti fossero condivisi con Deloitte, e lamentando una potenziale violazione dell’obbligo di informazione previsto dall’articolo 15(1)(d) del Regolamento 2018/1725. L’EDPS, aveva concluso che i dati trasmessi a Deloitte dovessero essere considerati pseudonimizzati e, pertanto, dati personali, in quanto lo SRB conserva la possibilità di re-identificare gli interessati. Di conseguenza, Deloitte assumeva la qualifica di destinatario ai sensi dell’art. 4(9) GDPR e la mancata menzione nell’informativa privacy costituiva una violazione dell’obbligo di informazione da parte dello SRB. La questione era  stata sottoposta al Tribunale dell’Unione europea che, con la sentenza citata, ha introdotto il principio di relatività del dato personale, affermando che il dato pseudonimizzato non deve essere sempre qualificato come dato personale.

Le considerazioni della Corte trovano applicazione a una casistica assai ben definita, occorre perciò particolare prudenza nella loro estensione. Giova in proposito menzionare, per esempio, che già nell'op. 5/2014 i Garanti europei consideravano fatto acquisito in letteratura che l'incrocio delle informazioni contenute in «risorse genetiche accessibili (ad esempio, registri genealogici, necrologie, risultati delle interrogazioni dei motori di ricerca) e di metadati concernenti i donatori di DNA (data della donazione, età, luogo di residenza) potesse rivelare l'identità di determinate persone, anche ove il DNA sia stato donato ‛in forma anonima'» (WP29, op. 5/2014, 10).

 Ulteriore evoluzione rispetto alla suddetta interpretazione è intervenuta a seguito dell’impugnazione della pronuncia SRB (CRU) T-557/20 e dalla sua conferma con sentenza della Corte di Giustizia dell’Unione europea, del 4 settembre 2025 (anche nota come sentenza “Deliotte”). Centrale nell’analisi della Corte è la considerazione della posizione delle diverse parti coinvolte, in particolare rispetto all’accesso alle informazioni aggiuntive e ai mezzi disponibili per identificare le persone fisiche. La Corte ha stabilito che:

  •  il possesso delle informazioni necessarie per l’identificazione da parte di un soggetto non implica che la stessa possibilità sia estesa agli altri soggetti coinvolti;
  •  per determinare se un’informazione sia pseudonimizzata o anonima, occorre valutare le circostanze specifiche, verificando se il soggetto che tratta i dati sia effettivamente in grado di risalire all’identità degli interessati;
  • è necessario tenere conto dei mezzi, tempi, costi e della disponibilità di informazioni, incluse quelle pubblicamente accessibili;
  •  se, a seguito di tale valutazione, risulta impossibile per il soggetto identificare gli interessati, i dati possono essere considerati anonimi e, di conseguenza, esclusi dall’ambito di applicazione della normativa in materia di tutela dei dati personali.

Tuttavia, a parere di chi scrive è opportuno sottolineare che la natura del dato può variare in funzione della prospettiva e del ruolo del soggetto coinvolto. Se, infatti, la qualificazione di dato anonimo appare pacifica rispetto a Deloitte come terzo, conclusioni diverse potrebbero emergere qualora il soggetto rivestisse un ruolo differente. La Corte, infatti, ha ribadito anche  che la definizione di dato personale è volutamente ampia per garantire la tutela dei diritti degli interessati e che una lettura restrittiva non può ridurre gli obblighi di protezione previsti dalla normativa. In tale contesto, la Corte ha ritenuto che lo SRB abbia violato l’obbligo di informazione, non avendo comunicato agli interessati la possibilità di condivisione dei dati con Deloitte, evidenziando che gli obblighi informativi sorgono già al momento della raccolta del dato, indipendentemente dalle misure di pseudonimizzazione adottate successivamente.

Questo passaggio mette in luce la dinamicità della qualificazione dei dati: da un lato, essi sono dati personali per il titolare del trattamento sin dalla raccolta, e Deloitte avrebbe dovuto essere indicata tra i destinatari nell’informativa privacy; dall’altro, per Deloitte, in qualità di terzo, i dati risultano anonimi, non essendo possibile risalire all’identità degli interessati. Se la sentenza è chiara nei rapporti con i terzi, permangono dubbi interpretativi circa l’applicazione ad altri soggetti della filiera, come i responsabili del trattamento. Chiarire tali aspetti avrebbe un impatto significativo. La Corte, tuttavia, mantiene un approccio prudente e di alto livello, evitando di affrontare direttamente queste implicazioni. In ogni caso, almeno nei confronti dei terzi, appare corretto sostenere la natura anonima dei dati pseudonimizzati qualora, in base alle circostanze concrete, sia dimostrata l’impossibilità di identificare gli interessati, con la conseguente esclusione dell’applicazione della normativa sulla protezione dei dati personali.

 

Da ultimo e sotto diverso profilo, ha pregio evidenziare che l'informazione anonima e quella pseudonima nell'accezione della pronuncia menzionata della CGUE hanno spiccato pregio ai fini della ricerca, dell'avanzamento delle conoscenze, del riuso di informazioni e della tutela personale, non vanno cioè colte soltanto nella prospettiva riduttiva di concetti-ombra rispetto a quello di dato personale. L'anonimato e lo pseudonimato sono altresì garanzia di espressione libera del pensiero e di comunicazione senza ingerenze e pressioni esterne, dunque meritano specifico presidio giuridico e di attenzione da parte del legislatore e dell'interprete.

«Nel caso di specie, è pacifico, da un lato, che il codice alfanumerico figurante sulle informazioni trasmesse a D. non consentiva di per sé di identificare gli autori delle osservazioni e, dall'altro, che D. non aveva accesso ai dati identificativi ricevuti durante la fase di iscrizione che consentivano di collegare i partecipanti alle loro osservazioni grazie al codice alfanumerico» (Il destinatario cioè non ha accesso ai dati ulteriori né legalmente è ragionevole che possa averlo, CGUE, 26 aprile 2023, SRB (CRU), T-557/20, punto 94). «Dalla sentenza del 19 ottobre 2016, Breyer (C-582/14, EU:C:2016:779) risulta altresì che, per stabilire se le informazioni trasmesse a D. costituissero dati personali, occorre porsi dal punto di vista di quest'ultima per determinare se le informazioni che le sono state trasmesse si riferiscano a “persone identificabili”» (Id., punto 97).

Tecniche matematiche e statistiche di anonimizzazione

Nell'opinione 5/2014, l'ex Gruppo di lavoro 29 ha passato in rassegna una serie di procedimenti di anonimizzazione noti allo stato delle conoscenze scientifiche, considerandone punti di forza e di debolezza. Si tratta ad esempio delle tecniche di «randomizzazione» e di «generalizzazione» e di strumenti quali l'aggiunta di rumore statistico, le permutazioni, la privacy differenziale, l'aggregazione, il k-anonimato, la l-diversità e la t-vicinanza. Considerato il marcato profilo matematico-statistico anziché giuridico di queste procedure, si rimanda per ogni approfondimento all'opinione citata. È evidente che un tale approccio presenta un livello di tecnicismo inapplicabile al quisquis de populo titolare del trattamento, a meno di non voler costruire una responsabilità di tipo oggettivo, che tuttavia annullerebbe differenze sostanziali tra tipologie assai diverse di titolari, come anche le diversità di finalità perseguite. Ferma restando la nozione di “dato personale”, la questione pare allora porsi nei termini di definire quale sia il limite accettabile di responsabilità giuridica rispetto all'anonimizzazione per categorie diverse di titolari del trattamento.

«La valutazione della robustezza della tecnica di anonimizzazione adottata dipende da tre fattori: (i) individuabilità (singling out) (possibilità di isolare una persona all'interno di un gruppo sulla base dei dati); (ii) correlabilità (possibilità di correlare due record riguardanti la stessa persona); (iii) inferenza (possibilità di dedurre, con probabilità significativa, informazioni sconosciute relative a una persona)» (EDPB, Linee-guida 4/2020 sull'uso dei dati di localizzazione e degli strumenti per il tracciamento dei contatti nel contesto dell'emergenza legata al COVID-19, 21 aprile 2020, punto 16).

«Esistono molte opzioni per conseguire un'anonimizzazione efficace, ma con un caveat. I dati non possono essere resi anonimi isolatamente, il che significa che solo intere serie o interi insiemi di dati sono passibili di anonimizzazione. In tal senso, qualsiasi intervento su un dato isolato o sulla serie storica di dati riferibili a un singolo interessato (mediante cifratura o altre trasformazioni matematiche) può essere considerato, nel migliore dei casi, una pseudonimizzazione» (EDPB, linee guida ult. cit. 18).

Potere agglutinante del dato personale

Da ultimo, giova notare che ogni informazione anonima (dunque anche il risultato di un'elaborazione statistica) collegata con un dato personale diventa a sua volta dato personale e arricchisce perciò di elementi conoscitivi il dato personale di partenza. Mutuando un esempio dalla citata op. 4/2007 delle autorità di controllo europee, l'informazione «l'immobile X vale 100» non è di per sé un dato personale, essendo riferita a una cosa e non a una persona. È invece dato personale l'informazione «Tizio è proprietario di un certo immobile», in cui l'identificativo «Tizio» è collegato con il contenuto informativo «è proprietario di un certo immobile». Tuttavia, se l'informazione «l'immobile X vale 100» viene collegata con il dato personale «Tizio è proprietario dell'immobile X» diviene essa stessa un dato personale del soggetto che ha nome «Tizio», nella specie un dato che informa in merito al valore del suo patrimonio o di parte di esso. Ciò accade quando si fa uso dei criteri del contenuto, della finalità e del risultato, per i quali si rimanda supra al § 4,.

«In alcune circostanze, tale informazione meriterebbe di essere considerata anche come dato personale: la casa è in effetti una proprietà e in quanto tale servirà per determinare in che misura il proprietario è tassabile. Da questo punto di vista l'informazione costituisce indiscutibilmente un dato personale» (WP29, op. 4/2007, 10).

Dati pluripersonali

Un dato personale può essere collegato a più soggetti, dunque presentare una pluralità di interessati. Si tratta di una situazione complessa, non infrequente, nella quale si pone il problema concreto di definire rapporti di prevalenza tra pretese potenzialmente confliggenti tra i co-interessati. Si pensi all'esercizio del diritto di accesso rispetto a dati che sono anche riferibili ad altro co-interessato, ad esempio al cointestatario di un conto corrente bancario. Intrinsecamente pluripersonali sono i «dati genetici». Il Regolamento comunque non contiene alcuna disciplina relativa ai dati pluripersonali, se non un indiretto riferimento all'art. 20, par. 4 GDPR.

«Un conto corrente bancario può contenere dati personali relativi non soltanto alle operazioni del titolare del conto, ma anche a quelle svolte da altri soggetti (che abbiano, per esempio, effettuato un bonifico a favore del titolare del conto)» (WP29, Linee guida Portabilità, 13).

«Come inoltre già rilevato da questa Autorità (provvedimento del 23 giugno 1998, in Bollettino del Garante, n. 5, 20 ss.), in determinati casi (come nella fattispecie) può emergere la necessità di esibire e consegnare copia non solo di singoli dati personali, ma anche di interi atti o documenti che potrebbero riguardare anche terzi. Ciò nel solo caso in cui i dati personali relativi al richiedente ed eventuali altre notizie o informazioni inerenti a terzi siano intrecciati al punto tale da rendere i primi non comprensibili, oppure snaturati nel loro contenuto, se privati di alcuni elementi essenziali per la loro comprensione tra i quali possono rientrare, come nel caso di specie, informazioni relative a cointestatari che effettuino operazioni rilevanti nel comune rapporto» (GPDP, 3 febbraio 2012 [1065256]).

Dati oggettivi e soggettivi

Si distingue tra dati «oggettivi» e dati «valutativi» o «soggettivi», a seconda che le informazioni costituiscano rappresentazione di cose o fatti oppure espressione di giudizi od opinioni. Esempi del primo tipo sono le generalità di una persona, le coordinate di contatto, le caratteristiche fisiche, l'immagine, la voce, informazioni sulla localizzazione, sulle relazioni sociali, sulle scelte che l'interessato manifesta, ecc.. Informazioni del secondo tipo sono i contenuti di perizie, di note di qualifica di personale dipendente (GPDP, 17 giugno 1999 [48067]), pareri medici (cfr. considerando 63 GDPR), ecc. La differenza tra le due categorie ha rilievo, per esempio, in materia di esercizio del diritto di rettifica, posto che i dati valutativi, in linea generale, non possono essere rettificati. Possono tuttavia, entro certi limiti, ricevere integrazioni.

«Le perizie medico legali redatte in ambito assicurativo comprendono dati personali del paziente interessato, sia nella parte nella quale sono riportati i cd. dati oggettivi, ovvero i dati identificativi dello stesso, ma anche i riscontri di visite mediche e di cd. esami obiettivi, sia nella parte che comprende valutazioni e giudizi del medico fiduciario; si tratta infatti di informazioni comunque riferite all'interessato che devono essere considerate “dati personali”, secondo la definizione di cui all'art. 4, comma 1, lett. d) del codice, e che ricadono quindi nell'ambito di applicazione del medesimo Codice» (GPDP, 28 gennaio 2009 [1701885]).

«Il fatto che le opinioni e le deduzioni possano essere considerate dati personali è stato confermato dalla CGUE, che ha osservato come l'espressione «qualsiasi informazione» nella definizione dei dati personali comprende informazioni «tanto oggettive quanto soggettive, sotto forma di pareri o di valutazioni, a condizione che esse siano “concernenti” la persona interessata» (Causa C-434/16 Peter Nowak/Garante per la protezione dei dati personali, ECLI:EU:C:2017:994, punto 34)» (EDPB, Linee guida 2/2021 sugli assistenti vocali virtuali, nota 53).

Bibliografia

Pelino, in Bolognini-Pelino-Bistolfi, Il regolamento privacy europeo. Commentario alla nuova disciplina sulla protezione dei dati personali, Milano 2016, cap. 2, §§ A)-D).

Vuoi leggere tutti i contenuti?

Attiva la prova gratuita per 15 giorni, oppure abbonati subito per poter
continuare a leggere questo e tanti altri articoli.

Sommario
Testo articolo
Inquadramento
Nozione
Informazione
Collegamento per contenuto, finalità, risultato
Identificazione/identificabilità e identificativi
Identificazione come individuazione
Identificazione diretta e indiretta
Individuazione in contesti specifici
Ulteriori informazioni
Ragionevole probabilità di usare strumenti di identificazione
I «fattori obiettivi»
Valutazione ex ante o ex post
Dati anonimi, anonimizzati o pseudonimizzati
Tecniche matematiche e statistiche di anonimizzazione
Potere agglutinante del dato personale
Dati pluripersonali
Dati oggettivi e soggettivi
Bibliografia