Quando si parla di dati anonimizzati, spesso l’ottimismo risulta eccessivo. Si tende, cioè, a ritenere di aver applicato ai dati personali gli accorgimenti sufficienti per impedire la loro riconducibilità ai diretti interessati. Anonimizzare un dato, infatti, significa applicare al dato un trattamento tale da renderlo non più attribuibile ad una persona specifica. Il carattere “personale” del dato, del resto, risiede proprio nel fatto che l’informazione sia riferibile ad un soggetto identificato o identificabile. Il dato anonimizzato è quello che non è più possibile riferire a qualcuno.

Chi punta all’anonimizzazione, quindi, deve lavorare non solo sulla riferibilità diretta, ma anche su quella potenziale. In termini pratici: davanti ad un documento contenente dati personali, non basta prendere il pennarello e cancellare il nome ed il cognome per poter dire di aver compiuto una piena anonimizzazione. Se, infatti, ci sono altri elementi che consentono al lettore di dedurre che quelle informazioni si riferiscano ad una persona specifica, il dato non si può ritenere anonimizzato.

Le tecniche di anonimizzazione e la valutazione del rischio di reidentificazione

Le tecniche di anonimizzazione sono diverse, lavorano sotto differenti aspetti e presentano, ognuna, dei punti di forza e altrettanti punti di debolezza. Tali tecniche offrono garanzie di protezione della sfera privata efficaci soltanto se la loro applicazione viene progettata in maniera adeguata. Si tratta di decidere, caso per caso, quale sia la soluzione da adottare per raggiungere lo scopo. Per compiere questa valutazione, è fondamentale misurare il rischio di reidentificazione. Bisogna considerare tutti i mezzi di cui il titolare del trattamento o un terzo può ragionevolmente avvalersi per identificare la persona fisica direttamente o indirettamente.

Traendo lo spunto da un recente provvedimento del Garante Privacy (docweb 9953563), si può tracciare un requisito minimo per poter parlare di un processo di anonimizzazione. Esso non è tale qualora non risulti idoneo ad impedire che l’utilizzatore dei dati, in combinazione con i mezzi “ragionevolmente disponibili”, possa compiere alcune azioni. Nello specifico: 1. isolare una persona in un gruppo (single-out); 2. collegare un dato anonimizzato a dati riferibili a una persona presenti in un distinto insieme di dati (linkability); 3. dedurre nuove informazioni riferibili a una persona da un dato anonimizzato (inference).

Un caso pratico: accesso civico e dati disponibili

Nel provvedimento citato, il Garante è chiamato a rendere il parere rispetto ad un’istanza di accesso civico. Si tratta della situazione in cui un qualsiasi soggetto chiede di poter prendere visione di documenti (e quindi di dati personali) in possesso della Pubblica Amministrazione. Questa, a sua volta, deve decidere quali dati trasmettere: chi riceve i dati richiesti in accesso civico, successivamente, li può utilizzare liberamente e tale aspetto rende sicuramente delicata la valutazione da compiere a monte.

Nel caso specifico, la richiesta di accesso riguardava anzitutto i dati relativi alla composizione numerica delle forze armate in un determinato periodo, compreso il numero dei soggetti posti in quiescenza e quelli sottoposti a vaccino anti Covid-19. Da ultimo, riguardava il dato numerico dei militari deceduti in un determinato periodo, compresa la data dei singoli decessi. Il richiedente ha esposto di voler condurre un’indagine volta a valutare gli eventi avversi che possono scaturire dalla vaccinazione.

La soluzione del Garante Privacy

Il Ministero, destinatario della richiesta, ha risposto positivamente; non ha però trasmesso i dati relativi alla data di decesso. A giustificare il rifiuto, la considerazione che il possesso di tali dati consentirebbe una facile e immediata identificazione dei dati personali dei singoli deceduti. Il Garante, esaminata la situazione, ha ritenuto corretta questa decisione, proprio ragionando sulla possibilità di reidentificazione. Anche “sbianchettando” il nome del defunto, infatti, la presenza della data, incrociata con gli altri elementi a disposizione del richiedente (come l’appartenenza del defunto ad un corpo specifico), consentirebbe di risalire ad un nome. Mancando una adeguata possibilità di anonimizzazione, quindi, il dato non può essere rivelato.

ULTIMI ARTICOLI
TAG
assegno banca Codice della Strada Codice della Strada condominio consumatore conto corrente convegno coronavirus danno dieselgate diffamazione divorzio educazione civica Facebook famiglia famiglia gorizia gorizia guida in stato di ebbrezza immobile incidente Internet locazione penale penale privacy probono probono RCA reato Responsabilità civile Responsabilità civile risarcimento risarcimento danni risarcimento danni scuola separazione Sinistri stradali stradale telelaser trieste turismo vendita giudiziaria video
CERCA NEL SITO