La definizione di “dato personale” è stata studiata dalle autorità giurisdizionali e dalle autorità di controllo.
In materia uno dei documenti interpretativi più importanti è rappresentato ancora oggi dal Parere 4 del 20 giugno 2007 del WP29.
Ciò a fronte del fatto che la definizione di dato personale, contenuta nella Direttiva 95/46, non diverge, in relazione al tema proposto dal quesito, da quella contenuta nel Regolamento 2016/679.
Tale parere raccoglie nella definizione di dato personale “qualsiasi informazione” “concernente” una persona fisica “identificata o identificabile”.
Peraltro in alcuni casi le informazioni concernono in primo luogo, non una persona, ma un oggetto o una cosa.
A tale proposito il Parere 4/2007 spiega che oggetti/cose appartengono di solito a qualcuno o possono subire l’influenza particolare di persone o esercitare un'influenza particolare su persone, oppure possono avere una sorta di vicinanza fisica o geografica a persone o ad altri oggetti. Solo indirettamente si può quindi considerare che tali informazioni concernono una persona.
Ai fini di tale requisito (concernenza) quando le informazioni sono collegate in prima battuta a cose/oggetti, bisogna ricorrere a tre fattori alternativi: contenuto, finalità e risultato.
L'elemento di “contenuto” è presente nei casi in cui l'informazione riguardante una particolare persona è fornita a prescindere dalla finalità del titolare del trattamento o di terzi, o dal
suo impatto sulla persona interessata (ad esempio, i risultati di un'analisi medica concernono chiaramente il paziente, così come le informazioni contenute in un fascicolo sotto il nome di un dato cliente concernono chiaramente quel cliente. Ancora, le informazioni contenute in un'etichetta RFID o in un codice a barre incorporato nel documento d'identità di un dato individuo concernono quella persona, al pari delle informazioni contenute nei futuri passaporti con chip RFID).
La "finalità" è presente quando i dati sono usati o lo saranno probabilmente, tenendo conto di tutte le circostanze del caso di specie, al fine di valutare, trattare in un dato modo o influire sullo stato o sul comportamento di una persona.
Quanto al "risultato”, i dati "concernono" una persona quando il loro impiego può avere un impatto sui diritti e sugli interessi di quella persona, tenendo conto di tutte le circostanze del caso di specie.
Spiega ancora il WP29 che questi tre elementi (contenuto, finalità, risultato) vanno intesi come condizioni alternative e non già cumulative. In particolare, quando è presente l'elemento di contenuto non è necessario che siano presenti anche gli altri elementi perché si consideri che le informazioni concernono una persona.
Oltre a ciò, la stessa informazione può concernere simultaneamente persone diverse, o, altrimenti detto, non è necessario che i dati siano "focalizzati" su una persona perché si possano considerare concernenti tale persona. Avverte, sul punto, il Parere in esame che il fatto che un'informazione possa concernere persone diverse deve essere tenuto presente nell'applicazione delle norme sostanziali (ad esempio, sulla portata del diritto di accesso).
Applicando i principi sopra riportati al caso concreto si evidenzia che:
1) il numero Iban è certamente un’informazione;
2) anche se l’Iban in quanto tale (contenutisticamente non concerna una persona fisica) esso è usato o sarà probabilmente usato al fine di influire sullo stato di una persona, ad esempio, mediante incremento o decremento della sua ricchezza mobile; inoltre per le stesse motivazioni l’uso dell’Iban ha un impatto sui diritti e sugli interessi di quella persona;
3) è vero che l’Iban potrebbe essere relativo a un conto cointestato a più persone, ma questo non incide sul fatto che l’Iban sia un dato personale.
Conclusivamente l’Iban è un dato personale e ciò discende dalle argomentazioni sopra esposte.