- Data breach, Garante Privacy sanziona Postel per 900mila euro Una vulnerabilità, nota da tempo, ha reso inadeguate le misure di sicurezza e agevolato l’attacco
- Garante: stop al software che accede all’email del dipendente Sanzione di 80mila euro a un’azienda che effettuava i backup durante il rapporto di lavoro
- Calendario Corsi Videoconferenza Novembre – Dicembre 2024
- Le prime indicazioni dell’Ispettorato sulla patente a crediti
- D.lgs. resilienza dei soggetti critici, ok del Garante ma più tutele per la privacy
- Dal Garante Privacy sanzione di 5mln di euro a un fornitore di luce e gas Agenti porta a porta attivavano contratti non richiesti a clienti ignari
- Calendario Corsi Videoconferenza Settembre – Ottobre 2024
- L’obbligo di impedire l’instaurarsi di prassi di lavoro non sicure
- L’obbligo di Vigilanza del Datore di Lavoro sul comportamento del Preposto
- Telemarketing, dal Garante sanzione di oltre 6 milioni di euro a Eni Plenitude Dei 747 contratti stipulati in una “settimana campione”, 657 sono arrivati da un contatto illecito
- Il tempo di cui l’RSPP deve disporre per poter svolgere i suoi compiti
- GDPR e intelligenza artificiale, il Report della task force europea su ChatGPT
- Concorsi della P.A.: online solo le graduatorie definitive dei vincitori Il Garante sanziona l’INPS per illecita diffusione di dati personali
- Calendario Corsi Videoconferenza Giugno – Luglio 2024
- Telemarketing: dal Garante Privacy sanzioni di 100mila euro a due gestori di energia Telefonate senza consenso e attivazione di contratti non richiesti
- Lavoro: Garante Privacy, il dipendente ha il diritto di accedere ai propri dati Sanzione di 20mila euro ad una banca
- GDPR: L’ importante ruolo del “Referente privacy”
- Pa: trasparenza siti, il Garante Privacy chiede più tutele per i dati personali
- Dossier sanitario: il Garante Privacy sanziona una Asl
- Quando il preposto è ritenuto responsabile dell’infortunio accaduto a un lavoratore
Garante privacy, oscurare i dati non basta. Principi per l’anonimizzazione
Con provvedimento n. 311 del 18 luglio 2023, l’Autorità Garante per la protezione dei dati personali ha statuito un importante principio in merito all’anonimizzazione dei dati personali, ossia che effettuare una semplice rimozione del nome e del cognome dell’individuo dalla documentazione da pubblicare non può considerarsi una misura adeguata qualora, attraverso un confronto con altri documenti pubblicati sul sito istituzionale, è comunque possibile risalire all’identità della persona in questione.
1. Anonimizzazione e oscuramento
Il titolare del trattamento dei dati deve, infatti, adottare metodi di anonimizzazione efficaci che garantiscano l’anonimato degli interessati, anche quando le informazioni vengono combinate con altre disponibili online.
È fondamentale verificare costantemente l’efficacia delle tecniche di anonimizzazione utilizzate.
Dal punto di vista operativo, ciò implica che un processo di anonimizzazione, come l’oscuramento dei nomi, non può considerarsi efficace se esiste la possibilità di identificare l’individuo attraverso un’operazione inversa.
Con questo provvedimento il Garante ritorna sull’importante tema della trasparenza, un aspetto spesso al centro della sua attenzione.
In seguito alla constatazione di una violazione delle normative relative al trattamento dei dati, in particolare del principio di minimizzazione (che richiede che i dati personali divulgati siano limitati al minimo necessario rispetto alle finalità del trattamento) e dei principi fondamentali del trattamento (come definiti negli articoli 5, paragrafo 1, lettere a e c; 6, paragrafo 1, lettere c ed e, paragrafo 2 e paragrafo 3, lettera b del Regolamento Generale sulla Protezione dei Dati – RGPD), il Titolare ha evitato una sanzione più severa della semplice ammonizione per aver comunque oscurato i dati personali, inclusi il nome e il cognome dell’interessato, misura che tuttavia non è e non può considerarsi adeguata.
Caso per caso si dovrà stabilire se il semplice oscuramento è sufficiente, in quanto, qualora tramite altri dettagli dovesse essere possibile risalire all’identità, sarà necessario utilizzare misure ulteriori.
2. Il caso
Il Provvedimento in commento ha origine da una segnalazione pervenuta al Garante della privacy da parte di un interessato che lamentava una violazione della normativa sulla protezione dei dati personali da parte dell’Autorità di sistema portuale del Mare Adriatico settentrionale-Porti di Venezia e Chioggia.
In particolare, la segnalazione riguardava il fatto che, nonostante il nome del reclamante fosse stato omesso in un documento pubblicato sul sito web istituzionale, erano presenti alcuni riferimenti che permettevano di identificarlo facilmente.
Questi riferimenti includevano un documento anch’esso pubblicato online, all’interno del quale l’unico soggetto menzionato era il reclamante.
Il Garante privacy ha contestato all’Autorità portuale un trattamento di dati personali non conforme alla disciplina in materia di protezione dei dati personali contenuta nel Regolamento europeo 679/2016 (GDPR).
Sono state notificate le seguenti violazioni:
- a) Violazione del principio di «minimizzazione» dei dati, in quanto gli stessi non sono «limitati a quanto necessario rispetto alle finalità per le quali sono trattati», in violazione dell’art. 5, par. 1, lett. c), del GDPR;
- b) Trattamento privo di idonei presupposti normativi, in violazione dell’art. 2-ter, commi 1 e 3, del Codice; nonché dei principi di base del trattamento contenuti negli artt. 5, par. 1, lett. a) e c); 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b), del GDPR;
In risposta, l’Autorità di Sistema Portuale del Mare Adriatico Settentrionale nel redigere le sue memorie difensive, sosteneva di possedere sistemi informatici volti a garantire l’anonimizzazione dei documenti, oltre a funzionalità operative finalizzate allo stesso scopo.
Assicurava inoltre come il corretto utilizzo di queste misure tecniche avesse sempre garantito il corretto trattamento dei dati e l’assenza di errori ed incidenti.
Nel caso contestato, infatti, si sarebbe trattato di un mero errore, un incidente isolato, dovuto ad una falla nella procedura, immediatamente corretta, ma non certo ad una mancata adeguatezza nel sistema di accountability e nelle procedure tecniche ed organizzative approntate dall’Autorità Portuale.
La pubblicazione del dato personale “incriminato”, dunque, era da ascriversi a un fatto assolutamente involontario e accidentale, del tutto privo di dolo.
Inoltre, l’Autorità Portuale, nel massimo spirito di collaborazione ed allo scopo di limitare le conseguenze pregiudizievoli per l’interessato, ha fatto sapere di aver immediatamente reagito, oscurando i contenuti dai quali si poteva risalire all’interessato-ricorrente, deindicizzando le pagine dai motori di ricerca e programmando con il proprio DPO un’attività formativa sulla privacy rivolta a tutti i dipendenti, con redazione di linee guida per la pubblicazione dei dati online.
3. Le osservazioni del Garante
Il garante, pur tenendo conto degli sforzi operati dal titolare del trattamento per rendere non identificabile il soggetto interessato, ha constatato che il reclamante risultava comunque “identificabile” per relationem, ossia attraverso la correlazione con altri elementi presenti sul sito e la deduzione. Peraltro, veniva riscontrato che il reclamante, prima di rivolgersi al Garante, aveva esercitato i propri diritti presso il titolare del trattamento, che dunque avrebbe potuto evitare l’instaurarsi del procedimento, se solo avesse provveduto nei termini a dare riscontro ed eliminare le informazioni in eccesso.
Pur valutando tutte le circostanze “attenuanti”, la colposità del comportamento, la pronta rimozione dei dati in eccesso, l’atteggiamento collaborativo del titolare ed il fatto che si è effettivamente trattato di un caso accidentale ed isolato, il Garante, non ritenendo applicabile alcuna delle ipotesi previste dall’art. 11 del regolamento del Garante 1/2019 (che disciplina i casi in cui i reclami e le segnalazioni possono essere archiviati), l’Autorità garante ha dichiarato l’illegittimo trattamento dei dati, in quanto la pubblicazione del documento oggetto di contestazione completo dell’indicazione di un altro documento (anch’esso pubblicato online) aveva comportato una diffusione di dati e informazioni personali del reclamante.
Tenendo conto delle circostanze, ivi compreso il fatto che i dati fossero dati comuni e non appartenenti a categorie particolari ex artt. 9 e 10 del GDPR (dati sensibili, sanitari, biometrici, politici, né condanne penali o reati) e fossero relativi a un solo soggetto interessato, la sanzione comminata è stata particolarmente lieve.
Nella commisurazione della sanzione contano infatti non solo i dati oggettivi, ma anche il comportamento soggettivo del soggetto che subisce l’accertamento, che in questo caso è stato riconosciuto essere collaborativo durante tutta l’istruttoria, al fine di correggere la violazione e mitigarne le potenziali conseguenze negative.
Nel riscontro fornito all’Autorità, sono state descritte varie misure tecniche e organizzative adottate conformemente agli articoli 25-32 del GDPR, e non risultano precedenti violazioni del GDPR pertinenti commesse dall’ente.
4. La sanzione
Alla luce di tutte le circostanze sopra esposte, l’Autorità per la protezione dei dati personali ha ritenuto opportuno emettere soltanto un ammonimento al titolare del trattamento per la violazione delle disposizioni già menzionate, ai sensi dell’articolo 58, paragrafo 2, lettera b) del GDPR (vedi anche considerando 148 del GDPR), ammonimento che dovrà essere annotato nel registro delle violazioni e che in ogni caso costituirà “precedente” di cui tenere conto nell’ipotesi di un nuovo eventuale procedimento a carico del medesimo titolare.
Fonte: diritto.it