NEWS

Per anonimizzare i dati personali non basta sostituire nome e cognome con le sole iniziali

Una ex dipendente del Comune di Greve in Chianti (Firenze) presentava reclamo all’Autorità Garante dolendosi della pubblicazione, nella sezione “Albo online” del sito web del Comune, di una determinazione al cui interno erano menzionati riferimenti a vicende relative al suo rapporto di lavoro. In particolare, la determinazione conteneva riferimenti alla propria persona, essendo seppur menzionata tramite le iniziali del proprio cognome e nome, nonché dati personali relativi a condanne penali e reati.

Pubblica Amministrazione: per anonimizzazione non basta sostituire nome e cognome con le sole iniziali


L’Autorità Garante irrogava una sanzione amministrativa sulla scorta delle seguenti considerazioni.

È noto che i soggetti pubblici trattano i dati dei dipendenti in forza di molteplici obblighi di legge o per l’esecuzione di un compito di interesse pubblico (art. 4, 6, 88 GDPR). In taluni casi previsti dalla legge o dal regolamento (art. 2-ter, commi 1 e 3, del Codice), poi, è autorizzata anche la diffusione dei dati stessi (come per esempio la pubblicazione su internet);così dev’essere soprattutto riguardo al trattamento dei dati relativi alle condanne penali e ai reati o a connesse misure di sicurezza (art. 2-octies, commi 1 e 5, del Codice).

Il titolare del trattamento è tenuto, inoltre, a rispettare i principi in materia di protezione dei dati e, in particolare, il principio di “minimizzazione dei dati”, anche in presenza di un obbligo di pubblicazione. I soggetti chiamati a darvi attuazione non possono comunque diffondere i dati personali eccedenti o non pertinenti (cfr. provv. n. 243 del 15 maggio 2014, Linee guida in materia di trattamento di dati personali).

Sin dal 2014, le Linee Guida hanno chiarito che sostituire nome e cognome con le iniziali è misura insufficiente per anonimizzare i dati, dovendosi invece procedere a “oscurare del tutto il nominativo e le altre informazioni riferite all´interessato che ne possono consentire l´identificazione anche a posteriori”. Sul punto, infatti, l’Autorità ha chiarito che il “rischio di identificare l´interessato è tanto più probabile quando, fra l´altro, accanto alle iniziali del nome e cognome permangono ulteriori informazioni di contesto che rendono comunque identificabile l´interessato” (come nella vicenda specifica, nella quale le iniziali della ex dipendente potevano essere correlate all’Amministrazione Comunale presso la quale aveva prestato attività lavorativa, rendendo possibile quanto meno ai 82 dipendenti comunali l’identificazione dell’interessato). A nulla vale, poi, sostenere che i dati fossero già stati pubblicati da altri titolari sulla scorta di altre basi giuridiche (es. quotidiani) e per altre finalità.

Con riferimento agli obblighi di cui D.Lgs. n. 33/2013, il Garante – come già più volte chiarito in precedenza – ha nuovamente ribadito che nel pubblicare le delibere per le finalità di trasparenza vanno verificate caso per caso “se ricorrono i presupposti per l´oscuramento di determinate informazioni”, in conformità al principio di minimizzazione dei dati, “quando le finalità perseguite nei singoli casi possono essere realizzate mediante dati anonimi o altre modalità che permettano di identificare l´interessato solo in caso di necessità”. Inoltre, con specifico riferimento alla pubblicazione di corrispettivi e compensi relativamente all’incarico conferito al legale per la rappresentazione in giudizio dell’amministrazione comunale, nelle medesime Linee Guida si chiarisce che “ai fini dell’adempimento degli obblighi di pubblicazione, […] non appare […] giustificato riprodurre sul web la versione integrale di documenti contabili […] come pure l’indicazione di altri dati eccedenti […]” (par. 9.c), come, nel caso di specie, le iniziali del ricorrente nel contenzioso per il quale era stato conferito l’incarico al professionista e i riferimenti a dati relativi a reati.

Le medesime considerazioni valgono, altresì, in merito agli obblighi derivanti dall’art. 124 del D.Lgs. 267/2000 atteso che anche alle pubblicazioni nell’albo pretorio online si applicano tutti i limiti previsti sopra menzionati con riguardo al rispetto del principio di minimizzazione dei dati e alle cautele nel caso in cui gli atti da pubblicare contengano dati appartenenti a categorie particolari.

Nella Newsletter del 27 luglio 2020 n. 467, l’Autorità Garante ha ribadito che gli Enti Locali debbano “rispettare i principi indicati dal Regolamento europeo in materia di protezione dei dati personali, in particolare, quelli di liceità, correttezza e trasparenza nonché di minimizzazione, in base al quale i dati personali devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati”.

Un preciso monito a prestare la massima attenzione soprattutto in merito a quanto viene pubblicato e, quindi, diffuso tramite i siti istituzionali degli Enti locali.

Note sull'Autore

Domenico Battaglia Domenico Battaglia

Avvocato del foro di Bolzano, socio membro Federprivacy e Delegato per la provincia di Bolzano. Membro dei gruppi di lavoro per la tutela della privacy nella gestione del personale, cybersecurity e studi professionali di Federprivacy. Docente a contratto presso l'Università di Padova. Data Protection Officer del Consiglio dell'Ordine degli Avvocati di Bolzano. - Email: [email protected]

Prev Chiedere lumi al Dpo fa sempre bene al titolare del trattamento
Next I lettori di badge che scattano la foto al dipendente non rispettano la privacy

Privacy Day Forum 2024, il trailer della giornata

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy