Identificabile è la persona che può essere identificata direttamente o indirettamente, anche mediante il riferimento ad ulteriori elementi. Per identificazione, quindi, si deve intendere la possibilità di distinguere la persona da qualsiasi altro soggetto oppure all'interno di una categoria. Se l'identificazione richiede l'acquisizione di ulteriori dati per i quali occorrono tempi e costi irragionevoli, allora la persona non si può considerare identificabile. In ogni caso non è necessario raggiungere un elevato livello di identificazione (pensiamo ai nomi che corrispondono a più persone) perché il dato sia assoggettato a tutela.
I dati si considerano personali se consentono l'identificazione dell'individuo oppure se le informazioni descrivono l'individuo in modo tale da consentirne l'identificazione acquisendo altri dati. Entrambi i tipi di dati sono tutelati allo stesso modo.
Ne deriva che il dato personale è un concetto dinamico, che va sempre riferito al contesto, nel senso che anche se un'informazione isolata non è in grado di portare all'identificazione di un individuo, il fatto che detta informazione possa essere utilizzata per l'identificazione tramite incrocio con altri dati ne determina la natura di dato personale.
Non occorre, che l'informazione sia in grado di individuare fisicamente la persona per essere considerata dato personale. Anche i dati come cookie, fingerprint[1] sono considerati dati personali.
Il criterio dell'identificabilità mediante incrocio di informazioni, anche se detenute da diversi titolari, fa sì che anche i dati online, come i numeri IP e i cookie rientrino nel concetto di dato personale. La Corte di Giustizia europea ha espressamente definito l'indirizzo IP (Internet Protocol) come dato personale, anche con riferimento all'IP dinamico.
L'account di un servizio online è sicuramente un dato personale, in quanto consente di identificare univocamente una persona, così come la mail, il nickname. Il fatto che l'IP sia considerato dato personale impedisce ad una azienda di ottenere dall'ISP (fornitore di accesso ad Internet) il nominativo di un soggetto che ha scaricato file piratati online.
Solo l'autorità giudiziaria può, infatti, accedere a tali informazioni.
Il nuovo Regolamento europeo in materia di tutela dei dati personali include espressamente nei dati personali gli identificatori online, quali numeri IP, cookie e dati di geolocalizzazione.
Esempi di dati personali sono: voce, immagini, filmati, fotografie, numero di telefono, codice fiscale, targa automobilistica, impronta digitale, ore di servizio prestate da un dipendente, informazioni sul comportamento di un lavoratore, informazioni sulle condizioni patrimoniali.
La Corte dei diritti dell'uomo ha evidenziato che non esiste una netta separazione tra vita privata e vita professionale per quanto riguarda i dati personali, per cui anche le informazioni riguardanti la vita professionale e pubblica di una persona sono dati personali.
Il formato (immagini, suoni, ecc...) nel quale sono conservati i dati è irrilevanti al fini dell'applicabilità della tutela dei dati personali.
[1] La device fingerprint (letteralmente "impronta digitale del dispositivo") o machine fingerprint o browser fingerprint in informatica è l'informazione raccolta su di un dispositivo di elaborazione remoto a scopo di identificazione. La device fingerprint permette di identificare in tutto o in parte i singoli utenti o dispositivi anche quando i cookie sono disattivati.