Con provvedimento n. 311 del 18 luglio 2023, l’Autorità Garante per la protezione dei dati personali ha statuito un importante principio in merito all’anonimizzazione dei dati personali, ossia che effettuare una semplice rimozione del nome e del cognome dell’individuo dalla documentazione da pubblicare non può considerarsi una misura adeguata qualora, attraverso un confronto con altri documenti pubblicati sul sito istituzionale, è comunque possibile risalire all’identità della persona in questione.
Volume consigliato per l’approfondimento: I ricorsi al Garante della privacy
Indice
1. Anonimizzazione e oscuramento
Il titolare del trattamento dei dati deve, infatti, adottare metodi di anonimizzazione efficaci che garantiscano l’anonimato degli interessati, anche quando le informazioni vengono combinate con altre disponibili online. È fondamentale verificare costantemente l’efficacia delle tecniche di anonimizzazione utilizzate.
Dal punto di vista operativo, ciò implica che un processo di anonimizzazione, come l’oscuramento dei nomi, non può considerarsi efficace se esiste la possibilità di identificare l’individuo attraverso un’operazione inversa.
Con questo provvedimento il Garante ritorna sull’importante tema della trasparenza, un aspetto spesso al centro della sua attenzione. In seguito alla constatazione di una violazione delle normative relative al trattamento dei dati, in particolare del principio di minimizzazione (che richiede che i dati personali divulgati siano limitati al minimo necessario rispetto alle finalità del trattamento) e dei principi fondamentali del trattamento (come definiti negli articoli 5, paragrafo 1, lettere a e c; 6, paragrafo 1, lettere c ed e, paragrafo 2 e paragrafo 3, lettera b del Regolamento Generale sulla Protezione dei Dati – RGPD), il Titolare ha evitato una sanzione più severa della semplice ammonizione per aver comunque oscurato i dati personali, inclusi il nome e il cognome dell’interessato, misura che tuttavia non è e non può considerarsi adeguata. Caso per caso si dovrà stabilire se il semplice oscuramento è sufficiente, in quanto, qualora tramite altri dettagli dovesse essere possibile risalire all’identità, sarà necessario utilizzare misure ulteriori.
Potrebbero interessarti anche:
2. Il caso
Il Provvedimento in commento ha origine da una segnalazione pervenuta al Garante della privacy da parte di un interessato che lamentava una violazione della normativa sulla protezione dei dati personali da parte dell’Autorità di sistema portuale del Mare Adriatico settentrionale-Porti di Venezia e Chioggia.
In particolare, la segnalazione riguardava il fatto che, nonostante il nome del reclamante fosse stato omesso in un documento pubblicato sul sito web istituzionale, erano presenti alcuni riferimenti che permettevano di identificarlo facilmente. Questi riferimenti includevano un documento anch’esso pubblicato online, all’interno del quale l’unico soggetto menzionato era il reclamante.
Il Garante privacy ha contestato all’Autorità portuale un trattamento di dati personali non conforme alla disciplina in materia di protezione dei dati personali contenuta nel Regolamento europeo 679/2016 (GDPR). Sono state notificate le seguenti violazioni:
- a) Violazione del principio di «minimizzazione» dei dati, in quanto gli stessi non sono «limitati a quanto necessario rispetto alle finalità per le quali sono trattati», in violazione dell’art. 5, par. 1, lett. c), del GDPR;
- b) Trattamento privo di idonei presupposti normativi, in violazione dell’art. 2-ter, commi 1 e 3, del Codice; nonché dei principi di base del trattamento contenuti negli artt. 5, par. 1, lett. a) e c); 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b), del GDPR;
In risposta, l’Autorità di Sistema Portuale del Mare Adriatico Settentrionale nel redigere le sue memorie difensive, sosteneva di possedere sistemi informatici volti a garantire l’anonimizzazione dei documenti, oltre a funzionalità operative finalizzate allo stesso scopo. Assicurava inoltre come il corretto utilizzo di queste misure tecniche avesse sempre garantito il corretto trattamento dei dati e l’assenza di errori ed incidenti. Nel caso contestato, infatti, si sarebbe trattato di un mero errore, un incidente isolato, dovuto ad una falla nella procedura, immediatamente corretta, ma non certo ad una mancata adeguatezza nel sistema di accountability e nelle procedure tecniche ed organizzative approntate dall’Autorità Portuale.
La pubblicazione del dato personale “incriminato”, dunque, era da ascriversi a un fatto assolutamente involontario e accidentale, del tutto privo di dolo. Inoltre, l’Autorità Portuale, nel massimo spirito di collaborazione ed allo scopo di limitare le conseguenze pregiudizievoli per l’interessato, ha fatto sapere di aver immediatamente reagito, oscurando i contenuti dai quali si poteva risalire all’interessato-ricorrente, deindicizzando le pagine dai motori di ricerca e programmando con il proprio DPO un’attività formativa sulla privacy rivolta a tutti i dipendenti, con redazione di linee guida per la pubblicazione dei dati online.
3. Le osservazioni del Garante
Il garante, pur tenendo conto degli sforzi operati dal titolare del trattamento per rendere non identificabile il soggetto interessato, ha constatato che il reclamante risultava comunque “identificabile” per relationem, ossia attraverso la correlazione con altri elementi presenti sul sito e la deduzione. Peraltro, veniva riscontrato che il reclamante, prima di rivolgersi al Garante, aveva esercitato i propri diritti presso il titolare del trattamento, che dunque avrebbe potuto evitare l’instaurarsi del procedimento, se solo avesse provveduto nei termini a dare riscontro ed eliminare le informazioni in eccesso.
Pur valutando tutte le circostanze “attenuanti”, la colposità del comportamento, la pronta rimozione dei dati in eccesso, l’atteggiamento collaborativo del titolare ed il fatto che si è effettivamente trattato di un caso accidentale ed isolato, il Garante, non ritenendo applicabile alcuna delle ipotesi previste dall’art. 11 del regolamento del Garante 1/2019 (che disciplina i casi in cui i reclami e le segnalazioni possono essere archiviati), l’Autorità garante ha dichiarato l’illegittimo trattamento dei dati, in quanto la pubblicazione del documento oggetto di contestazione completo dell’indicazione di un altro documento (anch’esso pubblicato online) aveva comportato una diffusione di dati e informazioni personali del reclamante.
Tenendo conto delle circostanze, ivi compreso il fatto che i dati fossero dati comuni e non appartenenti a categorie particolari ex artt. 9 e 10 del GDPR (dati sensibili, sanitari, biometrici, politici, né condanne penali o reati) e fossero relativi a un solo soggetto interessato, la sanzione comminata è stata particolarmente lieve.
Nella commisurazione della sanzione contano infatti non solo i dati oggettivi, ma anche il comportamento soggettivo del soggetto che subisce l’accertamento, che in questo caso è stato riconosciuto essere collaborativo durante tutta l’istruttoria, al fine di correggere la violazione e mitigarne le potenziali conseguenze negative. Nel riscontro fornito all’Autorità, sono state descritte varie misure tecniche e organizzative adottate conformemente agli articoli 25-32 del GDPR, e non risultano precedenti violazioni del GDPR pertinenti commesse dall’ente.
4. La sanzione
Alla luce di tutte le circostanze sopra esposte, l’Autorità per la protezione dei dati personali ha ritenuto opportuno emettere soltanto un ammonimento al titolare del trattamento per la violazione delle disposizioni già menzionate, ai sensi dell’articolo 58, paragrafo 2, lettera b) del GDPR (vedi anche considerando 148 del GDPR), ammonimento che dovrà essere annotato nel registro delle violazioni e che in ogni caso costituirà “precedente” di cui tenere conto nell’ipotesi di un nuovo eventuale procedimento a carico del medesimo titolare.
Volume consigliato
L’opera si completa con una parte di formulario, disponibile online, contenente gli schemi degli atti da redigere per approntare la tutela dei diritti dinanzi all’Autorità competente.
I ricorsi al Garante della privacy
Giunto alla seconda edizione, il volume affronta la disciplina relativa alla tutela dei diritti del titolare dei dati personali, alla luce delle recenti pronunce del Garante della privacy, nonché delle esigenze che nel tempo sono maturate e continuano a maturare, specialmente in ragione dell’utilizzo sempre maggiore della rete. L’opera si completa con una parte di formulario, disponibile online, contenente gli schemi degli atti da redigere per approntare la tutela dei diritti dinanzi all’Autorità competente. Un approfondimento è dedicato alle sanzioni del Garante, che stanno trovando in queste settimane le prime applicazioni, a seguito dell’entrata in vigore della nuova normativa. Michele Iaselli Avvocato, funzionario del Ministero della Difesa, docente a contratto di informatica giuridica all’Università di Cassino e collaboratore della cattedra di informatica giuridica alla LUISS ed alla Federico II, nonché Presidente dell’Associazione Nazionale per la Difesa della Privacy (ANDIP). Relatore in numerosi convegni, ha pubblicato diverse monografie e contribuito ad opere collettanee in materia di privacy, informatica giuridica e diritto dell’informatica con le principali case editrici.
Michele Iaselli | Maggioli Editore 2022
Scrivi un commento
Accedi per poter inserire un commento