|
ASCOLTA ARTICOLO
|
Articolo pubblicato su altalex.
Il Garante Privacy precisa i margini di efficacia dei processi di anonimizzazione, soprattutto nel contesto delle pubblicazioni sul sito di dati personali (provvedimento n. 311/2023).
Il provvedimento in commento origina da un reclamo al Garante per la protezione dei dati personali con il quale l’interessato lamentava una violazione della normativa in materia di protezione dei dati personali da parte dell’Autorità di sistema portuale del Mare Adriatico settentrionale-Porti di Venezia e Chioggia e nella specie la circostanza che pur essendo stato omesso il nominativo del reclamante in un documento pubblicato online sul sito web istituzionale, erano ostentanti alcuni riferimenti dai quali era facile risalire alla identità del soggetto ed in particolare quello ad un documento, anch’esso pubblicato online, all’interno del quale l’unico soggetto indicato era il reclamante.
L’istruttoria.
Il Garante privacy contestava all’Autorità un trattamento di dati personali non conforme alla disciplina rilevante in materia di protezione dei dati personali contenuta nel Regolamento europeo 679/2016 (“gdpr”). Pertanto, con la medesima nota sono state notificate alla predetta Autorità le violazioni di cui si dirà meglio infra (ai sensi dell’art. 166, comma 5, del Codice), comunicando l’avvio del procedimento per l’adozione dei provvedimenti di cui all’articolo 58, par. 2, del RGPD e invitando la predetta amministrazione a far pervenire al Garante scritti difensivi o documenti e/o a chiedere di essere sentita entro il termine di 30 giorni.
Dal canto suo, l’Autorità di Sistema Portuale del Mare Adriatico Settentrionale rendeva noto nelle proprie memorie difensive che disponeva di sistemi informatici volti a garantire l’anonimizzazione dei documenti, oltre a funzionalità operative finalizzate allo stesso scopo, che vengono sempre utilizzati e gestiti con attenzione e competenza. Il corretto impiego di questi strumenti ha sempre garantito la corretta trattazione dei dati personali e ha assicurato l’assenza di errori ed incidenti nei numerosissimi atti e documenti trattati nella gestione delle proprie attività.
Nella circostanza di specie l’errore che ha determinato la diffusione di un solo dato personale relativo ad un dipendente, è stato determinato da un mancato approfondito controllo su un altro atto precedente che quindi, per relationem, ha prodotto l’esito lamentato. Si tratta di un incidente, isolato, che ha evidenziato una falla nella procedura di gestione e pubblicazione dei dati che è stata immediatamente corretta.
La pubblicazione del dato personale oggetto della doglianza è da intendersi assolutamente involontario e accidentale, non essendoci alcuna volontà di pubblicazione dello stesso. Allo scopo di limitare conseguenze pregiudizievoli si dichiarava infine di aver avviato il processo di oscuramento dei contenuti oggetto di doglianza, come esito della deindicizzazione degli stessi dai motori di ricerca e di aver pianificato e programmato con il DPO una attività di formazione rivolta a tutti i dipendenti sulla privacy e che le linee guida per la pubblicazione dei dati online saranno a breve pubblicate.
Il Garante privacy, pur tenendo conto della volontà del Titolare del trattamento di non rendere identificabile il soggetto interessato, non poteva fare altro che rilevare che il reclamante risultava comunque “identificabile” per relationem.
Chiariva l’autorità indipendente che per “identificazione”, infatti, “non si intende solo la possibilità di recuperare il nome e/o l’indirizzo di una persona, ma anche la potenziale identificabilità mediante individuazione, correlabilità e deduzione. (Gruppo di Lavoro Art. 29, Parere 05/2014 sulle tecniche di anonimizzazione, WP216; cfr. anche provv. n. 65 del 2/3/2023, in www.gpdp.it, doc. web n. 9874480; provv. n. 68 del 25/2/2021, ivi, doc. web n. 9567429; provv. 2/7/2020, n. 119, ivi, doc. web n. 9440042; provv. n. 118 del 2/7/2020, ivi, doc. web n. 9440025).
Dagli atti risulta che l’Autorità di sistema portuale era stata messa a conoscenza della problematica da parte dello stesso reclamante e avrebbe, quindi, potuto evitare il procedimento de quo se avesse provveduto a dare seguito alla richiesta di rimozione delle informazioni eccedenti.
In tale contesto, il contravventore confermava nei propri scritti difensivi l’avvenuta diffusione dei dati personali del reclamante, attribuendola a un mero errore, involontario e accidentale, dovuto a “una falla nella procedura di gestione e pubblicazione dei dati che è stata immediatamente corretta”.
Al riguardo, esaminate nel loro complesso tutte le circostanze portate all’attenzione del Garante privacy, quest’ultimo, pur riconoscendole meritevoli di considerazione ai fini della valutazione della condotta, non le riteneva sufficienti per dichiarare l’archiviazione del procedimento, in quanto non ricorreva alcuna delle ipotesi previste dall’art. 11 del Regolamento del Garante n. 1/2019.
In tale quadro, confermando le valutazioni preliminari dell’Ufficio, rilevava l’illiceità del trattamento di dati personali effettuato dall’Autorità di sistema portuale del Mare Adriatico settentrionale-Porti di Venezia e Chioggia, in quanto la pubblicazione dell’atto di transazione oggetto di contestazione completo dell’indicazione di altro documento (anch’esso pubblicato online) aveva comportato una diffusione di dati e informazioni personali del reclamante sopra descritti:
a) non conforme al principio di «minimizzazione» dei dati, in quanto gli stessi non sono «limitati a quanto necessario rispetto alle finalità per le quali sono trattati», in violazione dell’art. 5, par. 1, lett. c), del RGPD;
b) priva di idonei presupposti normativi, in violazione dell’art. 2-ter, commi 1 e 3, del Codice; nonché dei principi di base del trattamento contenuti negli artt. 5, par. 1, lett. a) e c); 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b), del RGPD;
Ciononostante il Garante privacy nella determinazione della sanzione ha tenuto conto della particolarità del caso in esame, prima tra tutte la circostanza per cui il contravventore aveva effettivamente provveduto a omettere il nominativo del reclamante nell’atto di transazione e che il mantenimento del riferimento ad altro documento sul sito è stato frutto di un errore involontario, accidentale e isolato.
Oltre a ciò ha considerato anche che la condotta tenuta è stata di natura evidentemente colposa e ha avuto a oggetto dati non appartenenti a categorie particolari né a condanne penali o reati (artt. 9 e 10, del RGPD) riferiti a un solo soggetto interessato. Inoltre ha riconosciuto come il titolare del trattamento, a seguito della richiesta dell’Ufficio, sia intervenuto tempestivamente, collaborando con l’Autorità nel corso dell’istruttoria al fine di porre rimedio alla violazione, attenuandone i possibili effetti negativi. Nel riscontro al Garante sono state, inoltre, descritte diverse misure tecniche e organizzative messe in atto ai sensi degli artt. 25-32 del RGPD e non risultano, in ogni caso, eventuali precedenti violazioni del RGPD pertinenti commesse dall’ente.
Alla luce di tutto quanto sopra rappresentato, il Garante per la protezione dei dati personali ha ritenuto sufficiente ammonire il titolare del trattamento per la violazione delle disposizioni sopraindicate, ai sensi dell’art. 58, par. 2, lett. b), del RGPD (cfr. anche considerando 148 del RGPD). L’ammonimento, come previsto dall’art. 17 del Regolamento del Garante n. 1/2019, ha determinato l’annotazione nel registro interno dell’Autorità delle violazioni e delle misure adottate ai sensi dell’art. 58, par. 2, del RGPD e costituirà circostanza da considerare nell’eventuale applicazione di future sanzioni nei confronti del medesimo Titolare del trattamento.
Conclusioni.
Il provvedimento in argomento torna sul tema della trasparenza, spesso oggetto delle attenzioni del Garante per la protezione dei dati personali. A fronte di una violazione accertata delle norme in materia di trattamento dei dati e, nella specie del principio di minimizzazione (per essere i dati personali diffusi non limitati a quanto necessario rispetto alle finalità per le quali sono trattati) nonché dei principi di base del trattamento (contenuti negli artt. 5, par. 1, lett. a. e c; 6, par. 1, lett. c. ed e., par. 2 e par. 3, lett. b., del RGPD), è stato giudicato determinante l’oscuramento dei dati personali quali nome e cognome dell’interessato da parte del Titolare del trattamento, per evitare l’applicazione di sanzioni più gravi rispetto a quelle dell’ammonimento.
Ne consegue, dalla lettura delle motivazioni dell’Autorità indipendente, che operare un controllo superficiale della documentazione da pubblicare limitandosi a cancellare solo il nome ed il cognome dell’interessato non è sufficiente se attraverso la comparazione di altri documenti pubblicati sul sito istituzionale sia comunque possibile risalire per relationem all’identità dell’interessato.
Il Titolare del trattamento, infatti, dovrà utilizzare tecniche di anonimizzazione che siano efficaci nel garantire l’anonimato degli interessati, anche in caso di combinazione con altre informazioni disponibili in rete e verificare sempre l’effettiva efficacia delle tecniche di anonimizzazione utilizzate.
Sempre sul piano operativo, tutto ciò comporta che un processo di anonimizzazione, quale l’oscurazione dei nominativi, non può dirsi efficace se è possibile svolgere un’operazione inversa per identificare l’interessato.