L'indebita anonimizzazione: Applicazione di sanzione amministrativa





Per anonimizzare i dati personali non basta sostituire nome e cognome con le sole iniziali.

"Il titolare del trattamento è tenuto, inoltre, a rispettare i principi in materia di protezione dei dati e, in particolare, il principio di “minimizzazione dei dati” [...]


 
Una ex dipendente del Comune di Greve in Chianti (Firenze) presentava reclamo all’Autorità Garante dolendosi della pubblicazione, nella sezione “Albo online” del sito web del Comune, di una determinazione al cui interno erano menzionati riferimenti a vicende relative al suo rapporto di lavoro.
 
In particolare, la determinazione conteneva riferimenti alla propria persona, essendo seppur menzionata tramite le iniziali del proprio cognome e nome, nonché dati personali relativi a condanne penali e reati.

L’Autorità Garante irrogava una sanzione amministrativa sulla scorta delle seguenti considerazioni.

È noto che i soggetti pubblici trattano i dati dei dipendenti in forza di molteplici obblighi di legge o per l’esecuzione di un compito di interesse pubblico (art. 4, 6, 88 GDPR). In taluni casi previsti dalla legge o dal regolamento (art. 2-ter, commi 1 e 3, del Codice), poi, è autorizzata anche la diffusione dei dati stessi (come per esempio la pubblicazione su internet);così dev’essere soprattutto riguardo al trattamento dei dati relativi alle condanne penali e ai reati o a connesse misure di sicurezza (art. 2-octies, commi 1 e 5, del Codice).

Il titolare del trattamento è tenuto, inoltre, a rispettare i principi in materia di protezione dei dati e, in particolare, il principio di “minimizzazione dei dati”, anche in presenza di un obbligo di pubblicazione. I soggetti chiamati a darvi attuazione non possono comunque diffondere i dati personali eccedenti o non pertinenti (cfr. provv. n. 243 del 15 maggio 2014, Linee guida in materia di trattamento di dati personali).

Sin dal 2014, le Linee Guida hanno chiarito che sostituire nome e cognome con le iniziali è misura insufficiente per anonimizzare i dati, dovendosi invece procedere a “oscurare del tutto il nominativo e le altre informazioni riferite all´interessato che ne possono consentire l´identificazione anche a posteriori”. Importante precisare che l'argomento in questione è stato affrontato nell' articolo presente nella nostra pagina web, leggi qui: "Differenze tra Pseudonimizzazione e anonimizzazione dei dati personali".

 
Sul punto, infatti, l’Autorità ha chiarito che il “rischio di identificare l´interessato è tanto più probabile quando, fra l´altro, accanto alle iniziali del nome e cognome permangono ulteriori informazioni di contesto che rendono comunque identificabile l´interessato” (come nella vicenda specifica, nella quale le iniziali della ex dipendente potevano essere correlate all’Amministrazione Comunale presso la quale aveva prestato attività lavorativa, rendendo possibile quanto meno ai 82 dipendenti comunali l’identificazione dell’interessato). A nulla vale, poi, sostenere che i dati fossero già stati pubblicati da altri titolari sulla scorta di altre basi giuridiche (es. quotidiani) e per altre finalità.

Con riferimento agli obblighi di cui D.Lgs. n. 33/2013, il Garante – come già più volte chiarito in precedenza – ha nuovamente ribadito che nel pubblicare le delibere per le finalità di trasparenza vanno verificate caso per caso “se ricorrono i presupposti per l´oscuramento di determinate informazioni”, in conformità al principio di minimizzazione dei dati, “quando le finalità perseguite nei singoli casi possono essere realizzate mediante dati anonimi o altre modalità che permettano di identificare l´interessato solo in caso di necessità”.

Inoltre, con specifico riferimento alla pubblicazione di corrispettivi e compensi relativamente all’incarico conferito al legale per la rappresentazione in giudizio dell’amministrazione comunale, nelle medesime Linee Guida si chiarisce che “ai fini dell’adempimento degli obblighi di pubblicazione, […] non appare […] giustificato riprodurre sul web la versione integrale di documenti contabili […] come pure l’indicazione di altri dati eccedenti […]” (par. 9.c), come, nel caso di specie, le iniziali del ricorrente nel contenzioso per il quale era stato conferito l’incarico al professionista e i riferimenti a dati relativi a reati.

Le medesime considerazioni valgono, altresì, in merito agli obblighi derivanti dall’art. 124 del D.Lgs. 267/2000 atteso che anche alle pubblicazioni nell’albo pretorio online si applicano tutti i limiti previsti sopra menzionati con riguardo al rispetto del principio di minimizzazione dei dati e alle cautele nel caso in cui gli atti da pubblicare contengano dati appartenenti a categorie particolari.

Nella Newsletter del 27 luglio 2020 n. 467, l’Autorità Garante ha ribadito che gli Enti Locali debbano “rispettare i principi indicati dal Regolamento europeo in materia di protezione dei dati personali, in particolare, quelli di liceità, correttezza e trasparenza nonché di minimizzazione, in base al quale i dati personali devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati”.

Un preciso monito a prestare la massima attenzione soprattutto in merito a quanto viene pubblicato e, quindi, diffuso tramite i siti istituzionali degli Enti locali.

 
Segui il nostro blog per aggiornamenti e approfondimenti settimanali sul mondo Privacy e GDPR!
Puoi anche scegliere di partecipare al nostro Corso Formazione Nuovo Regolamento GDPR , disponibile anche online!
 
 
 
 


L'indebita anonimizzazione: Applicazione di sanzione amministrativa





Per anonimizzare i dati personali non basta sostituire nome e cognome con le sole iniziali.

"Il titolare del trattamento è tenuto, inoltre, a rispettare i principi in materia di protezione dei dati e, in particolare, il principio di “minimizzazione dei dati” [...]


 
Una ex dipendente del Comune di Greve in Chianti (Firenze) presentava reclamo all’Autorità Garante dolendosi della pubblicazione, nella sezione “Albo online” del sito web del Comune, di una determinazione al cui interno erano menzionati riferimenti a vicende relative al suo rapporto di lavoro.
 
In particolare, la determinazione conteneva riferimenti alla propria persona, essendo seppur menzionata tramite le iniziali del proprio cognome e nome, nonché dati personali relativi a condanne penali e reati.

L’Autorità Garante irrogava una sanzione amministrativa sulla scorta delle seguenti considerazioni.

È noto che i soggetti pubblici trattano i dati dei dipendenti in forza di molteplici obblighi di legge o per l’esecuzione di un compito di interesse pubblico (art. 4, 6, 88 GDPR). In taluni casi previsti dalla legge o dal regolamento (art. 2-ter, commi 1 e 3, del Codice), poi, è autorizzata anche la diffusione dei dati stessi (come per esempio la pubblicazione su internet);così dev’essere soprattutto riguardo al trattamento dei dati relativi alle condanne penali e ai reati o a connesse misure di sicurezza (art. 2-octies, commi 1 e 5, del Codice).

Il titolare del trattamento è tenuto, inoltre, a rispettare i principi in materia di protezione dei dati e, in particolare, il principio di “minimizzazione dei dati”, anche in presenza di un obbligo di pubblicazione. I soggetti chiamati a darvi attuazione non possono comunque diffondere i dati personali eccedenti o non pertinenti (cfr. provv. n. 243 del 15 maggio 2014, Linee guida in materia di trattamento di dati personali).

Sin dal 2014, le Linee Guida hanno chiarito che sostituire nome e cognome con le iniziali è misura insufficiente per anonimizzare i dati, dovendosi invece procedere a “oscurare del tutto il nominativo e le altre informazioni riferite all´interessato che ne possono consentire l´identificazione anche a posteriori”. Importante precisare che l'argomento in questione è stato affrontato nell' articolo presente nella nostra pagina web, leggi qui: "Differenze tra Pseudonimizzazione e anonimizzazione dei dati personali".

 
Sul punto, infatti, l’Autorità ha chiarito che il “rischio di identificare l´interessato è tanto più probabile quando, fra l´altro, accanto alle iniziali del nome e cognome permangono ulteriori informazioni di contesto che rendono comunque identificabile l´interessato” (come nella vicenda specifica, nella quale le iniziali della ex dipendente potevano essere correlate all’Amministrazione Comunale presso la quale aveva prestato attività lavorativa, rendendo possibile quanto meno ai 82 dipendenti comunali l’identificazione dell’interessato). A nulla vale, poi, sostenere che i dati fossero già stati pubblicati da altri titolari sulla scorta di altre basi giuridiche (es. quotidiani) e per altre finalità.

Con riferimento agli obblighi di cui D.Lgs. n. 33/2013, il Garante – come già più volte chiarito in precedenza – ha nuovamente ribadito che nel pubblicare le delibere per le finalità di trasparenza vanno verificate caso per caso “se ricorrono i presupposti per l´oscuramento di determinate informazioni”, in conformità al principio di minimizzazione dei dati, “quando le finalità perseguite nei singoli casi possono essere realizzate mediante dati anonimi o altre modalità che permettano di identificare l´interessato solo in caso di necessità”.

Inoltre, con specifico riferimento alla pubblicazione di corrispettivi e compensi relativamente all’incarico conferito al legale per la rappresentazione in giudizio dell’amministrazione comunale, nelle medesime Linee Guida si chiarisce che “ai fini dell’adempimento degli obblighi di pubblicazione, […] non appare […] giustificato riprodurre sul web la versione integrale di documenti contabili […] come pure l’indicazione di altri dati eccedenti […]” (par. 9.c), come, nel caso di specie, le iniziali del ricorrente nel contenzioso per il quale era stato conferito l’incarico al professionista e i riferimenti a dati relativi a reati.

Le medesime considerazioni valgono, altresì, in merito agli obblighi derivanti dall’art. 124 del D.Lgs. 267/2000 atteso che anche alle pubblicazioni nell’albo pretorio online si applicano tutti i limiti previsti sopra menzionati con riguardo al rispetto del principio di minimizzazione dei dati e alle cautele nel caso in cui gli atti da pubblicare contengano dati appartenenti a categorie particolari.

Nella Newsletter del 27 luglio 2020 n. 467, l’Autorità Garante ha ribadito che gli Enti Locali debbano “rispettare i principi indicati dal Regolamento europeo in materia di protezione dei dati personali, in particolare, quelli di liceità, correttezza e trasparenza nonché di minimizzazione, in base al quale i dati personali devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati”.

Un preciso monito a prestare la massima attenzione soprattutto in merito a quanto viene pubblicato e, quindi, diffuso tramite i siti istituzionali degli Enti locali.

 
Segui il nostro blog per aggiornamenti e approfondimenti settimanali sul mondo Privacy e GDPR!
Puoi anche scegliere di partecipare al nostro Corso Formazione Nuovo Regolamento GDPR , disponibile anche online!
 
 
 
 


Scopri subito la nostra soluzione Privacy Facile
e trova la versione pił adatta alle tue esigenze


SCOPRI