Con il presente contributo si intende illustrare il delicato (e, a tratti, controverso) rapporto, l'interdisciplinarietà e l'interconnessione tra il diritto di accesso (nelle sue differenti articolazioni) e la tutela della privacy.
1. Accesso civico documentale, accesso civico semplice, accesso civico generalizzato, ed accesso ai dati personali.
1.1. L'art. 22 comma 1) lettera a) della Legge n. 241/1990 (disposizione normativa da leggersi, assieme, al DPR n. 184/2006), così come modificata dalla Legge n. 15/2005, definisce l'accesso civico documentale[1] come il "diritto degli interessati di prendere visione e di estrarre copia di documenti amministrativi", specificando che per "interessati" debbano intendersi "tutti i soggetti privati, compresi quelli portatori di interessi pubblici o diffusi, che abbiano un interesse diretto, concreto e attuale, corrispondente ad una situazione giuridicamente tutelata e collegata al documento al quale è chiesto l'accesso" (cfr. art. 22 comma 1) lettera b) della Legge n. 241/1990).
Una volta ricevuta l'istanza (che deve essere motivata), l'organizzazione/ente, in qualità di soggetto che ha formato il documento ovvero che lo detiene stabilmente, è tenuta a rispondere entro il termine di 30 giorni, decorso il quale la richiesta si intende tuttavia automaticamente respinta (con conseguente facoltà, in capo al soggetto richiedente, di presentare un ricorso giurisdizionale o amministrativo avverso l'organizzazione/ente medesimo), previa analisi circa la sussistenza di "controinteressati"[2], da intendersi "tutti i soggetti, individuati o facilmente individuabili in base alla natura del documento richiesto, che dall'esercizio dell'accesso vedrebbero compromesso il loro diritto alla riservatezza" (cfr. art. 22 comma 1) lettera c) della Legge n. 241/1990), e fatte salve le eventuali esclusioni/limitazioni previste dall'art. 24[3] della Legge n. 241/1990[4].
1.2. Con l'emanazione del D.Lgs. n. 33 del 14.3.2013, così come modificato dal D.Lgs. n. 97 del 25.5.2016, è stata introdotta una definizione di principio generale di trasparenza[5] che va oltre quella contenuta nelle previgenti disposizioni normative, e sono state, altresì, previste ulteriori forme di accesso: l'accesso civico semplice e l'accesso civico generalizzato.
L'accesso civico semplice è disciplinato dall'art. 5 comma 1) del D.Lgs. n. 33/2013: "L'obbligo previsto dalla normativa vigente in capo alle pubbliche amministrazioni di pubblicare documenti, informazioni o dati comporta il diritto di chiunque di richiedere i medesimi, nei casi in cui sia stata omessa la loro pubblicazione".
In buona sostanza, tale tipologia di accesso civico rimane circoscritto ai soli atti, documenti ed informazioni oggetto di pubblicazione, e costituisce un rimedio alla mancata osservanza degli obblighi di pubblicazione imposti dalla legge, sovrapponendo al dovere di pubblicazione il diritto del privato di accedere ai documenti, dati ed informazioni oggetto della relativa omissione/inadempienza: è un diritto a titolarità diffusa, attivabile da "chiunque", non essendo sottoposto ad alcuna limitazione quanto alla legittimazione soggettiva e, infine, non richiedendo alcuna motivazione a supporto.
L'accesso civico generalizzato è, invece, disciplinato dall'art. 5 comma 2) del D.Lgs. n. 33/2013 ("Allo scopo di favorire forme diffuse di controllo sul perseguimento delle funzioni istituzionali e sull'utilizzo delle risorse pubbliche e di promuovere la partecipazione al dibattito pubblico, chiunque ha diritto di accedere ai dati e ai documenti detenuti dalle pubbliche amministrazioni, ulteriori rispetto a quelli oggetto di pubblicazione ai sensi del presente decreto, nel rispetto dei limiti relativi alla tutela di interessi giuridicamente rilevanti secondo quanto previsto dall'articolo 5bis"), da leggersi inevitabilmente, in combinato (ed espresso) disposto, con i limiti prescritti dal successivo art. 5bis[6].
Al pari dell'accesso civico semplice, anche l'accesso civico generalizzato è un diritto a titolarità diffusa, attivabile da "chiunque", non essendo sottoposto ad alcuna limitazione quanto alla legittimazione soggettiva e, infine, non richiedendo alcuna motivazione a supporto. Infine, il procedimento di ambedue le sopra descritte tipologie di accesso[7] deve "concludersi con provvedimento espresso e motivato nel termine di trenta giorni dalla presentazione dell'istanza con la comunicazione al richiedente e agli eventuali controinteressati" (cfr. art. 5 comma 6) del D.Lgs. n. 33/2013).
1.3. Sebbene sia diverso dal diritto di accesso documentale, dal diritto di accesso civico semplice e dal diritto di accesso civico generale, il diritto di accesso ai dati personali, disciplinato dall'art. 15[8] del GDPR (da leggersi, assieme, all'art. 12 paragrafo 3)[9] del GDPR), è strettamente collegato, al pari degli altri diritti sopra descritti, al principio di trasparenza, da intendersi, nel caso di specie, quale onere di fornire le comunicazioni, rivolte all'interessato cui si riferiscono i dati personali e il relativo loro trattamento, in modo conciso, trasparente, intellegibile, facilmente accessibile, analitico, granulare e, infine, utilizzando un linguaggio semplice e chiaro (art. 5 paragrafo 1) lettera a)[10], e Considerando n. 58[11] del GDPR).
2. L'accesso ai documenti sanitari.
2.1. Delineata la disciplina relativa all'accesso ai documenti amministrativi e ai dati personali, occorre ora occuparsi del diritto di accesso ai documenti sanitari previsto dall'art. 4 comma 2) della Legge Gelli-Bianco, il quale prevede che le prestazioni sanitarie, erogate dalle strutture pubbliche e/o private, siano soggette al rispetto dell'obbligo di trasparenza, al punto che "La direzione sanitaria della struttura pubblica o privata, entro sette giorni dalla presentazione della richiesta da parte degli interessati aventi diritto, in conformità alla disciplina sull'accesso ai documenti amministrativi, e a quanto previsto dal codice in materia di protezione dei dati personali, di cui al decreto legislativo 30 giugno 2003, n. 196, [n.d.r.: da intendersi comprensivo anche del GDPR], fornisce la documentazione sanitaria disponibile relativa al paziente, preferibilmente in formato elettronico; le eventuali integrazioni sono fornite, in ogni caso, entro il termine massimo di trenta giorni dalla presentazione della suddetta richiesta
".
In proposito, si rileva che esso non è riconducibile né all'acceso ai documenti amministrativi né all'accesso civico, né, tantomeno, all'accesso ai dati personali ai sensi del GDPR: per quanto riguarda i primi due, risulta differente il campo di applicazione soggettivo della legge in commento, applicabile, come già anticipato, soltanto nei confronti delle strutture sanitarie pubbliche e/o private; per quanto riguarda invece la disciplina privacy, si precisa che, sebbene la documentazione sanitaria cui si chiede l'accesso contenga, al suo interno, dati personali e dati personali cd. particolari, l'art. 15 del GDPR e l'art. 4 comma 2) della Legge Gelli-Bianco hanno, invero, ratio differenti.
Infatti, mentre il primo permette l'accesso ai dati personali all'interessato in virtù del (già citato) principio di trasparenza del trattamento effettuato dal titolare ed al fine di consentire un controllo dell'interessato sui dati che lo riguardano, diversamente, la norma sull'obbligo di trasparenza delle prestazioni sanitarie fornisce agli aventi diritto un accesso alla documentazione sanitaria per consentire la valutazione delle prestazioni sanitarie, anche in un ottica risarcitoria: in tal senso, la disciplina privacy si pone, dunque, come limite all'esercizio del diritto di accesso alla documentazione sanitaria.
3. Normativa privacy quale baluardo al diritto di accesso alla documentazione sanitaria.
3.1. Alla luce di una interpretazione logico-sistematica del complesso di norme qui prese in esame, non vi è dubbio alcuno che, come anticipato, la protezione dei dati personali si connota come il limite con cui devono essere bilanciati i diritti di informazione sulla documentazione sanitaria (o comunque contenente, al suo interno, dati relativi alla salute ex art. 4 n. 15)[12] del GDPR).
Tali limitazioni non riguardano, ovviamente, il caso in cui a richiedere l'accesso alla documentazione sanitaria sia il soggetto cui si riferiscono i dati personali ivi contenuti[13] (o altro soggetto da quest'ultimo delegato per iscritto), quanto, piuttosto, il caso in cui l'accesso sia richiesto da soggetti terzi: la ratio di tali limiti è, infatti, da ricercare nel fatto che i dati personali relativi allo stato di salute dell'interessato sono oggetto di una speciale protezione nell'ordinamento nazionale ed europeo, così come emerge chiaramente dall'art. 9 paragrafo 1)[14] del GDPR.
Queste limitazioni si rinvengono, da un lato, nel novellato art. 60[15] del Codice Privacy ("Quando il trattamento concerne dati genetici, relativi alla salute, alla vita sessuale o all'orientamento sessuale della persona, il trattamento è consentito se la situazione giuridicamente rilevante che si intende tutelare con la richiesta di accesso ai documenti amministrativi, è di rango almeno pari ai diritti dell'interessato, ovvero consiste in un diritto della personalità o in un altro diritto o libertà fondamentale") e, dall'altro lato, nell'art. 92 comma 2) del Codice Privacy ("Eventuali richieste di presa visione o di rilascio di copia della cartella e dell'acclusa scheda di dimissione ospedaliera da parte di soggetti diversi dall'interessato possono essere accolte, in tutto o in parte, solo se la richiesta è giustificata dalla documentata necessità: a) di esercitare o difendere un diritto in sede giudiziaria ai sensi dell'articolo 9, paragrafo 2, lettera f), del Regolamento, di rango pari a quello dell'interessato, ovvero consistente in un diritto della personalità o in un altro diritto o libertà fondamentale; b) di tutelare, in conformità alla disciplina sull'accesso ai documenti amministrativi, una situazione giuridicamente rilevante di rango pari a quella dell'interessato, ovvero consistente in un diritto della personalità o in un altro diritto o libertà fondamentale").
3.2. Interpretando l'art. 4 della Legge n. 24/2017 (ovvero qualsivoglia disposizione normativa, sopra illustrata, che disciplina il diritto di accesso, nelle sue varie forme) alla luce dell'art. 9 del GDPR, e degli artt. 2 septies[16], 60 e 92 del Codice Privacy, è possibile circoscrivere la duplice limitazione che la disciplina privacy impone al diritto di accesso di soggetti terzi alla documentazione sanitaria.
In primo luogo, l'organizzazione/ente dovrà effettuare una concreta valutazione del "rango" del diritto del terzo richiedente l'accesso alla documentazione sanitaria, utilizzando come parametro di raffronto non il diritto di azione e difesa, che pure è costituzionalmente garantito, quanto il diritto sottostante che il terzo intende far valere sulla base della documentazione sanitaria che chiede di conoscere: tale sottostante diritto può essere ritenuto di pari rango rispetto al diritto alla privacy dell'interessato solo se fa parte della categoria dei diritti della personalità o è, almeno, annoverabile tra i diritti e le libertà fondamentali (ora, non più anche inviolabili) di cui gode il terzo[17].
In secondo luogo, in virtù del principio di minimizzazione dei dati ex art. 5 paragrafo 1) lettera c)[18] del GDPR, l'organizzazione/ente dovrà verificare, anche ai fini dell'accoglimento solo parziale dell'istanza, se taluni o tutti i dati personali relativi alla salute oggetto di richiesta siano effettivamente necessari allo scopo perseguito dal terzo istante.
4. I soggetti aventi diritto.
4.1. Al fine di identificare i soggetti legittimati all'esercizio del diritto di accesso ex Legge n. 24/2017 alla documentazione sanitaria detenuta dall'organizzazione/ente nell'esercizio di un'attività sanitaria/socio-sanitaria ovvero al fine di identificare i soggetti legittimati all'esercizio del diritto di accesso ai sensi della Legge n. 241/1990 e/o ai sensi del Decreto Trasparenza detenuta dall'organizzazione/ente nell'esercizio di un'attività di pubblico interesse ovvero al fine di identificare i soggetti legittimati all'esercizio del diritto di accesso ex art. 15 del GDPR della documentazione detenuta da un'organizzazione/ente, occorre effettuare una interpretazione logico-sistematica del complesso delle disposizioni normative applicabili, a vario titolo, alla fattispecie in esame, anche alla luce delle norme del Codice Civile: a tal fine, si possono dividere gli aventi diritto in tre differenti gruppi: i soggetti interessati; i soggetti che agiscono per conto o con delega di questi ultimi; i terzi.
Per quanto riguarda i primi, non vi è dubbio che l'accesso possa essere esercitato dal soggetto cui la documentazione si riferisce, ovverosia dall'interessato, così come definito all'art. 4 n. 1)[19] del GDPR.
Per quanto concerne, invece, i soggetti che possono esercitare il diritto di accesso per conto o con delega dell'interessato, si ritiene che essi possano essere agevolmente identificati alla luce della disciplina privacy e del Codice Civile, Libro I).
Infine, per quanto riguarda il terzo avente diritto ad accedere alle documentazione detenuta, a vario titolo, dall'organizzazione/ente, esso deve essere identificato alla luce della normativa (di settore) applicabile in ogni singolo e specifico caso (ossia: Legge n. 241/199
NOTE
----------
[1] Cfr. art. 22 comma 2) della Legge n. 241/1990: "L'accesso ai documenti amministrativi, attese le sue rilevanti finalità di pubblico interesse, costituisce principio generale dell'attività amministrativa al fine di favorire la partecipazione e di assicurarne l'imparzialità e la trasparenza".
[2] In base ad una interpretazione logico-sistematica, risulta necessario porre in essere, nel caso di specie, gli adempimenti sanciti dall'art. 5 comma 5) del D.Lgs. n. 33/2013: "Fatti salvi i casi di pubblicazione obbligatoria, l'amministrazione cui è indirizzata la richiesta di accesso, se individua soggetti controinteressati, ai sensi dell'articolo 5-bis, comma 2, è tenuta a dare comunicazione agli stessi, mediante invio di copia raccomandata con avviso di ricevimento, o per via telematica per coloro che abbiano consentito tale forma di comunicazione. Entro dieci giorni dalla ricezione della comunicazione, i controinteressati possono presentare una motivata opposizione, anche per via telematica, alla richiesta di accesso. A decorrere dalla comunicazione ai controinteressati, il termine di cui al comma 6 è sospeso fino all'eventuale opposizione dei controinteressati. Decorso tale termine, la pubblica amministrazione provvede su richiesta, accertata la ricezione della comunicazione".
[3] Cfr., in particolare, art. 24 comma 6) lettera d) della Legge n. 241/1990: "Con regolamento, adottato ai sensi dell'articolo 17, comma 2, della legge 23 agosto 1988, n. 400, il Governo può prevedere casi di sottrazione all'accesso ai documenti amministrativi: [
] quando i documenti riguardino la vita privata o la riservatezza di persone fisiche, persone giuridiche, gruppi, imprese e associazioni, con particolare riferimento agli interessi epistolare, sanitario, professionale, finanziario, industriale e commerciale di cui siano in concreto titolari, ancorché i relativi dati siano forniti all'amministrazione dagli stessi soggetti cui si riferiscono".
[4] Cfr. anche l'art. 59 del Codice Privacy: "1. Fatto salvo quanto previsto dall'articolo 60, i presupposti, le modalità, i limiti per l'esercizio del diritto di accesso a documenti amministrativi contenenti dati personali, e la relativa tutela giurisdizionale, restano disciplinati dalla legge 7 agosto 1990, n. 241, e successive modificazioni e dalle altre disposizioni di legge in materia, nonché dai relativi regolamenti di attuazione, anche per ciò che concerne i tipi di dati di cui agli articoli 9 e 10 del regolamento e le operazioni di trattamento eseguibili in esecuzione di una richiesta di accesso. 1-bis. I presupposti, le modalità e i limiti per l'esercizio del diritto di accesso civico restano disciplinati dal decreto legislativo 14 marzo 2013, n. 33.".
[5] Cfr. art. 1 comma 1) del D.Lgs. n. 33/2013: "La trasparenza è intesa come accessibilità totale dei dati e documenti detenuti dalle pubbliche amministrazioni, allo scopo di tutelare i diritti dei cittadini, promuovere la partecipazione degli interessati all'attività amministrativa e favorire forme diffuse di controllo sul perseguimento delle funzioni istituzionali e sull'utilizzo delle risorse pubbliche".
[6] Art. 5 bis) del D.Lgs. n. 33/2013: "[
] 2. L'accesso civico di cui all'articolo 5, comma 2, è rifiutato se il diniego è necessario per evitare un pregiudizio concreto alla tutela di uno degli interessi pubblici inerenti a: [
] a) la protezione dei dati personali, in conformità con la disciplina legislativa in materia". Cfr., in via analogica, la Delibera n. 1309 del 18.12.2016 a firma dell'Autorità Nazionale Anticorruzione (ANAC).
[7] Inoltre, ai sensi dell'art. 5 comma 4) del D.Lgs. n. 33/2013, il rilascio di dati o documenti in formato elettronico o cartaceo è gratuito, salvo il rimborso del costo effettivamente sostenuto e documentato per la riproduzione su supporti materiali.
[8] Art. 15 del GDPR: "1. L'interessato ha il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e in tal caso, di ottenere l'accesso ai dati personali e alle seguenti informazioni: a) le finalità del trattamento; b) le categorie di dati personali in questione; c) i destinatari o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, in particolare se destinatari di paesi terzi o organizzazioni internazionali; d) quando possibile, il periodo di conservazione dei dati personali previsto oppure, se non è possibile, i criteri utilizzati per determinare tale periodo; e) l'esistenza del diritto dell'interessato di chiedere al titolare del trattamento la rettifica o la cancellazione dei dati personali o la limitazione del trattamento dei dati personali che lo riguardano o di opporsi al loro trattamento; f) il diritto di proporre reclamo a un'autorità di controllo; g) qualora i dati non siano raccolti presso l'interessato, tutte le informazioni disponibili sulla loro origine; h) l'esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all'articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l'importanza e le conseguenze previste di tale trattamento per l'interessato. 2. Qualora i dati personali siano trasferiti a un paese terzo o a un'organizzazione internazionale, l'interessato ha il diritto di essere informato dell'esistenza di garanzie adeguate ai sensi dell'articolo 46 relative al trasferimento. 3. Il titolare del trattamento fornisce una copia dei dati personali oggetto di trattamento. In caso di ulteriori copie richieste dall'interessato, il titolare del trattamento può addebitare un contributo spese ragionevole basato sui costi amministrativi. Se l'interessato presenta la richiesta mediante mezzi elettronici, e salvo indicazione diversa dell'interessato, le informazioni sono fornite in un formato elettronico di uso comune".
[9] Art. 12 paragrafo 3) del GDPR: "Il titolare del trattamento fornisce all'interessato le informazioni relative all'azione intrapresa riguardo a una richiesta ai sensi degli articoli da 15 a 22 senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta stessa. Tale termine può essere prorogato di due mesi, se necessario, tenuto conto della complessità e del numero delle richieste. Il titolare del trattamento informa l'interessato di tale proroga, e dei motivi del ritardo, entro un mese dal ricevimento della richiesta. Se l'interessato presenta la richiesta mediante mezzi elettronici le informazioni sono fornite, ove possibile, con mezzi elettronici, salvo diversa indicazione dell'interessato".
[10] Art. 5 paragrafo 1) lettera a) del GDPR: "I dati personali sono trattati in modo lecito, corretto e trasparente nei confronti dell'interessato ("liceità, correttezza e trasparenza").
[11] Considerando n. 58) del GDPR: "Il principio di trasparenza impone che le informazioni destinate al pubblico o all'interessato siano concise, facilmente accessibili e di facile comprensione e che sia usato un linguaggio semplice e chiaro, oltre che, se del caso, una visualizzazione. Tali informazioni potrebbero essere fornite in formato elettronico, ad esempio, se destinate al pubblico, attraverso un sito web. Ciò è particolarmente utile in situazioni in cui la molteplicità degli operatori coinvolti e la complessità tecnologica dell'operazione fanno sì che sia difficile per l'interessato comprendere se, da chi e per quali finalità sono raccolti dati personali che lo riguardano, quali la pubblicità online. Dato che i minori meritano una protezione specifica, quando il trattamento dati li riguarda, qualsiasi informazione e comunicazione dovrebbe utilizzare un linguaggio semplice e chiaro che un minore possa capire facilmente".
[12] Art. 4 n. 15) del GDPR: "dati relativi alla salute": i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelino informazioni relative al suo stato di salute". Cfr., altresì, il Considerando n. 35) del GDPR: "Nei dati personali relativi alla salute dovrebbero rientrare tutti i dati riguardanti lo stato di salute dell'interessato che rivelino informazioni connesse allo stato di salute fisica o mentale passata, presente o futura dello stesso. Questi comprendono informazioni sulla persona fisica raccolte nel corso della sua registrazione al fine di ricevere servizi di assistenza sanitaria o della relativa prestazione [
] le informazioni risultanti da esami e controlli effettuati su una parte del corpo o una sostanza organica, compresi i dati genetici e i campioni biologici; e qualsiasi informazione riguardante, ad esempio, una malattia, una disabilità, il rischio di malattie, l'anamnesi medica, i trattamenti clinici o lo stato fisiologico o biomedico dell'interessato, indipendentemente dalla fonte, quale, ad esempio, un medico o altro operatore sanitario, un ospedale, un dispositivo medico o un test diagnostico in vitro". Infine, cfr. Provvedimento n. 277 del 17.12.2020 a firma del Garante Privacy [doc. web n. 9559923]: "Al riguardo, si ricorda che, sin dal 2014, il Garante ha evidenziato che per dato idoneo a rivelare lo stato di salute non si intende solo l'indicazione della patologia, ma qualsiasi informazione "da cui si possa desumere, anche indirettamente, lo stato di malattia o l'esistenza di patologie dei soggetti interessati, compreso qualsiasi riferimento alle condizioni di invalidità, disabilità o handicap fisici e/o psichici".
[13] Considerando n. 63) del GDPR: "Un interessato dovrebbe avere il diritto di accedere ai dati personali raccolti che la riguardano e di esercitare tale diritto facilmente e a intervalli ragionevoli, per essere consapevole del trattamento e verificarne la liceità. Ciò include il diritto di accedere ai dati relativi alla salute, ad esempio le cartelle mediche contenenti informazioni quali diagnosi, risultati di esami, pareri di medici curanti o eventuali terapie o interventi praticati
".
[14] Art. 9 paragrafo 1) del GDPR ("1. E' vietato trattare dati personali che rivelino l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona"), da leggersi, assieme, ai successivi paragrafi 2), 3) e 4).
[15] A differenza del passato, la lettera della norma non parla più di diritto di pari rango come "diritto o libertà fondamentale e inviolabile" bensì solo di "diritto o libertà fondamentale". Sul punto, è ammesso ormai, a parere della dottrina maggioritaria, considerare di pari rango diritti fondamentali riconosciuti non già in assoluto alla persona umana in quanto tale, ma anche al cittadino o alle persone giuridiche.
[16] Il quale risulta, allo stato attuale, fortemente depotenziato, stante l'assenza delle misure di garanzie a firma del Garante Privacy nazionale.
[17] Sul punto, si ricorda il Provvedimento generale del Garante Privacy sui diritti di pari rango del 9.7.2003 [doc. web n. 29832].
[18] Art. 5 paragrafo 1) lettera c) del GDPR: "I dati personali sono adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati ("minimizzazione dei dati").
[19] Art. 4 n. 1) del GDPR: "dato personale": qualsiasi informazione riguardante una persona fisica identifica o identificabile ("interessato"); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale".