Insufficiente oscuramento del nome in presenza di altri dati identificativi

Allegati

Il Garante per la protezione dei dati personali ha recentemente chiarito che non basta oscurare il nome dell’interessato se nel documento pubblicato è presente anche un solo altro dato che ne può permettere l’identificazione.

Volume consigliato: Formulario commentato della privacy

Garante per la protezione dei dati personali – Ord. n. 311 del 18/07/2023

GarantePrivacy-9920562-1.1.pdf 147 KB

Iscriviti alla newsletter per poter scaricare gli allegati

Grazie per esserti iscritto alla newsletter. Ora puoi scaricare il tuo contenuto.

Indice

1. I fatti

Una persona inviava un reclamo al Garante per la protezione dei dati personali, lamentando una violazione della normativa in materia di protezione dei dati personali da parte dell’Autorità di sistema portuale del Mare adriatico.
In particolare, il reclamante sosteneva che detta Autorità aveva pubblicato sul sito web istituzionale dell’autorità portuale un atto di un documento in cui, nonostante fosse stato oscurato il suo nominativo, era presente il riferimento ad un Decreto emesso dall’autorità portuale riferito proprio al reclamante, e che detto Decreto era liberamente consultabile on line. In detto documento erano contenute numerose informazioni personali del reclamante, quali la vicenda lavorativa che lo aveva coinvolto, la transazione raggiunta con l’Autorità portuale e l’importo liquidato.
Pertanto, lamentava il reclamante, il fatto che tramite il Decreto suddetto egli sarebbe stato identificabile, comportava una diffusione di dati personali da parte dell’autorità.
Infine, il reclamante lamentava di aver portato all’attenzione dell’autorità portuale la circostanza di cui sopra, chiedendo la rimozione delle informazioni personali eccedenti, ma non aveva avuto alcun riscontro da parte dell’Autorità medesima.
Preso atto del reclamo, il Garante aveva effettuato una verifica preliminare sul sito internet istituzionale dell’ autorità portuale ed aveva riscontrato che era possibile visualizzare e scaricare liberamente il documento di cui il reclamante si era lamentato e che al suo interno era effettivamente indicato il Decreto emesso dall’autorità. Inoltre, era altresì emerso che detto Decreto era liberamente visualizzabile e scaricabile dal sito web istituzionale.
Pertanto, il Garante invitava l’autorità portuale a rendere le proprie difese in merito alla pubblicazione dei suddetti documenti e quest’ultima si giustificava sostenendo di disporre di sistemi informatici volti a garantire l’anonimizzazione dei documenti nonché funzionalità operative impiegate per rendere anonimi i dati contenuti nei numerosi documenti e atti pubblicati.
Nel caso di specie, tuttavia, l’autorità aveva diffuso un solo dato personale relativo al proprio dipendente (cioè il reclamante) solo per errore , in quanto non aveva controllato in maniera approfondita il documento precedentemente pubblicato (cioè il Decreto) che conteneva il nominativo del reclamante. Secondo l’autorità portuale quindi si era trattato di un caso isolato e la pubblicazione del dato personale doveva intendersi come evento involontario e accidentale.
Infine, l’autorità portuale affermava di aver provveduto all’oscuramento dei contenuti oggetto delal lamentela del reclamante.

Potrebbero interessarti:
Pubblicazione di due email durante trasmissione TV: violazione privacy
Cartello che comunica malattia della persona che offre servizio: violazione privacy

2. Oscuramento del nome in presenza di altri dati identificativi: valutazione del Garante

Preliminarmente, il Garante ha ricordato che con il termine “dato personale”, nella normativa in materia di privacy, viene indicata qualsiasi informazione riguardante una persona fisica identificata o identificabile e che, sempre ai sensi della normativa privacy, si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.
Inoltre, i soggetti pubblici – come è l’Autorità portuale – possono diffondere i dati personali solo in presenza dei presupposti previsti dal Codice privacy, ma in ogni caso lo possono fare soltanto se rispettano i principi in materia di protezione dei dati personali fra cui quello di minimizzazione.
In particolare, detto principio impone che i dati personali trattati siano adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali vengono trattati.
Infine, il Garante ha precisato che anche la pubblicazione online soltanto di alcune informazioni può essere sufficiente a individuare univocamente la persona cui le stesse si riferiscono e, dunque, a rendere tale soggetto identificabile mediante il collegamento con altre informazioni che possono anche essere nella disponibilità di terzi o ricavabili da altre fonti.
In tali casi, quindi, per rendere effettivamente “anonimi” i dati pubblicati online occorre oscurare del tutto il nominativo e le altre informazioni riferite all’interessato che ne possono consentire l’identificazione anche a posteriori.
A tal proposito, bisogna tenere presente che per “identificazione” non si intende solo la possibilità di recuperare il nome e/o l’indirizzo di una persona, ma anche la potenziale identificabilità mediante individuazione, correlabilità e deduzione.

3. La decisione del Garante

Per quanto riguarda il caso esaminato dal Garante, l’Autorità portuale ha pubblicato on line un atto di transazione tra l’Autorità medesima e il reclamante dove non erano state oscurate tutte le informazioni che  potevano permetterne l’identificazione in maniera indiretta. Infatti, all’interno dell’atto di transazione era contenuto il riferimento ad un Decreto emanato dall’Ente all’interno del quale era riportato il nominativo dell’interessato e detto Decreto era liberamente consultabile on line.
Pertanto, pur avendo l’autorità portuale oscurato il nominativo del reclamante dalla transazione pubblicata e pertanto non volendo identificare il reclamante, la stessa non aveva comunque impedito la sua identificabilità per relationem e quindi ha tenuto una condotta illecita.
Inoltre, l’ autorità portuale, pur essendo stata informata dal reclamante della vicenda e della sua identificabilità tramite il Decreto in questione, non aveva comunque dato seguito alla sua richiesta di rimozione delle informazioni eccedenti.
In considerazione di quanto sopra, il Garante ha ritenuto di non poter considerare le difese dell’ autorità portuale come sufficienti ad archiviare il procedimento nei suoi confronti. Tuttavia, tali difese sono state tenute in considerazione per valutare la condotta dell’ autorità portuale nella commissione dell’illecito e quindi per comminare la sanzione nei suoi confronti.
In conclusione, il Garante ha ritenuto che la diffusione dei dati e delle informazioni del reclamante non è conforme al principio di minimizzazione dei dati, poiché gli stessi non sono limitati a quanto necessario rispetto alle finalità per cui sono stati trattati , nonché carente di idonei presupposti normativi di legittimità.
Dal punto di vista sanzionatorio, però, il Garante, tenuto conto del fatto che l’ autorità portuale aveva effettivamente provveduto ad omettere il nominativo del reclamante nell’atto di transazione e che il mancato oscuramento del riferimento al Decreto contenuto al suo interno era dipeso da un errore involontario, nonché tenendo conto del fatto che la condotta è stata colposa ed ha avuto ad oggetto dati comuni riferiti ad un solo interessato, ha ritenuto sufficiente ammonire il titolare del trattamento (senza comminare alcuna sanzione pecuniaria nei suoi confronti).

Volume consigliato

Aggiornata alle recenti determinazioni del Garante, l’opera tratta gli aspetti sostanziali e le questioni procedurali legati al trattamento dei dati personali e a tutte le attività connesse.
La normativa di riferimento viene commentata e analizzata, con un taglio che rende il volume un valido strumento pratico per il Professionista che si occupa di privacy e non solo.

FORMATO CARTACEO

Formulario commentato della privacy

Aggiornata alle recenti determinazioni del Garante, l’opera tratta gli aspetti sostanziali e le questioni procedurali legati al trattamento dei dati personali e a tutte le attività connesse. La normativa di riferimento viene commentata e analizzata, con un taglio che rende il volume un valido strumento pratico per il Professionista che si occupa di privacy. L’analisi delle ricadute operative della normativa è integrata dalle specifiche formule correlate; questa combinazione costituisce il valore aggiunto dell’opera che ben può aspirare a diventare un riferimento per gli operatori del settore. Giuseppe Cassano Direttore del Dipartimento di Scienze Giuridiche della European School of Economics della sede di Roma e Milano, ha insegnato Istituzioni di Diritto Privato nell’Università Luiss di Roma. Avvocato cassazionista. Studioso dei diritti della persona, del diritto di famiglia, della responsabilità civile e del diritto di Internet, ha pubblicato oltre trecento contributi in tema, fra volumi, trattati, voci enciclopediche, note e saggi. Enzo Maria Tripodi attualmente all’Ufficio legale e al Servizio DPO di Unioncamere, è un giurista specializzato nella disciplina della distribuzione commerciale, nella contrattualistica d’impresa, nel diritto delle nuove tecnologie e della privacy, nonché nelle tematiche attinenti la tutela dei consumatori. È stato docente della LUISS Business School e Professore a contratto di Diritto Privato presso la facoltà di Economia della Luiss-Guido Carli. Ha insegnato in numerosi Master post laurea ed è autore di oltre quaranta monografie con le più importanti case editrici. Cristian Ercolano Partner presso Theorema Srl – Consulenti di direzione, con sede a Roma; giurista con circa 20 anni di esperienza nell’applicazione della normativa in materia di protezione dei dati personali e più in generale sui temi della compliance e sostenibilità. Ricopre incarichi di Responsabile della Protezione dei Dati, Organismo di Vigilanza e Organismo Indipendente di Valutazione della performance presso realtà private e pubbliche. Autore di numerosi contributi per trattati, opere collettanee e riviste specialistiche sia tradizionali che digitali, svolge continuativamente attività didattica, di divulgazione ed orientamento nelle materie di competenza.

A cura di Giuseppe Cassano, Enzo Maria Tripodi, Cristian Ercolano | Maggioli Editore 2022

Avv. Muia’ Pier Paolo

Scrivi un commento

Accedi per poter inserire un commento