NEWS

Pubblicazione di dati oscurati, il Garante della privacy ricorda di verificare la possibilità di identificazione indiretta

Con il provvedimento n. 311 del 18 luglio 2023, l’Autorità Garante per la protezione dei dati personali è intervenuta per precisare i margini di efficacia dei processi di anonimizzazione, soprattutto nel contesto delle pubblicazioni online di determinate informazioni.

Attenzione alla pubblicazione di dati anche se sono oscurati

Nel caso oggetto del reclamo, un’Autorità portuale ha ricevuto un ammonimento per aver pubblicato un documento all’interno del quale era stato sì oscurato il nominativo del reclamante ma questi poteva comunque essere indirettamente identificato giovandosi di alcune informazioni contenute nella sezione di Amministrazione trasparente. Di conseguenza, la possibilità di identificazione per relationem comporta una responsabilità in capo al titolare per l’attività di diffusione dei dati personali dell’interessato, che deve essere svolta nel rispetto di principi del GDPR nonché, in questo caso specifico, dell’art. 2-ter del Codice Privacy.

“La diffusione e la comunicazione di dati personali, trattati per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri, a soggetti che intendono trattarli per altre finalità sono ammesse unicamente se previste ai sensi del comma 1 o se necessarie ai sensi del comma 1-bis. In tale ultimo caso, ne viene data notizia al Garante almeno dieci giorni prima dell'inizio della comunicazione o diffusione.” (art. 2-ter comma 3 Cod. Privacy)

Chiarito dunque che la diffusione di dati da parte di soggetti pubblici non può avvenire se non al ricorrere di specifici criteri, l’ulteriore principio il cui rispetto viene richiamato dal Garante nel muovere le proprie contestazioni è quello di minimizzazione. Infatti, soprattutto nella pubblicazione di documenti nella sezione di Amministrazione trasparente occorre tenere conto proprio della necessità della diffusione di dati personali, operando così in pratica il bilanciamento di diritti fra esigenze di trasparenza e protezione dei dati personali.

Altrimenti, ne consegue come in questo caso l’illiceità del trattamento.

Inoltre, nello svolgere le valutazioni in ordine alla portata del concetto di dato personale, il Garante chiarisce l’estensione della capacità di identificazione indiretta, la quale non può ovviamente essere limitata esclusivamente alla possibilità di recuperare degli identificatori diretti (come ad es. il nome), ma deve considerare anche la deducibilità degli stessi.

E dunque, ciò che deve essere oggetto di valutazione in concreto per stabilire se un dato è di tipo personale o se è altrimenti anonimo, è anche la potenziale identificabilità di una persona fisica «mediante individuazione, correlabilità e deduzione».

Sempre sul piano operativo, tutto questo comporta che un processo di anonimizzazione, quale l’oscurazione dei nominativi, non può dirsi efficace se è possibile svolgere un’operazione inversa per identificare l’interessato.

Da cui si traggono almeno due principali conseguenze qualora siano presenti dati anonimizzati. La prima è che nello svolgimento dell’analisi dei rischi per la predisposizione di misure tecniche e organizzative atte ad assicurare tanto i presidi di compliance che di security, occorre identificare, valutare e trattare il rischio di reidentificazione.

La seconda è che l’azione di sorveglianza del DPO e quella d riesame e controllo del titolare, non può essere limitata al solo documento con dati anonimizzati ma deve tenere conto anche della reperibilità di ulteriori informazioni correlabili.

Note sull'Autore

Stefano Gazzella Stefano Gazzella

Delegato Federprivacy per la provincia di Gorizia. Consulente Privacy & ICT Law, Data Protection Officer. Privacy Officer certificato TÜV Italia. Web: www.gdpready.it 

Prev La privacy inclusiva deroga agli standard di sicurezza
Next Cyber & Privacy Forum 2023: l’evento dove la cyber security incontra la protezione dei dati

Il presidente di Federprivacy al TG1 Rai

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy