- Pa: trasparenza siti, il Garante Privacy chiede più tutele per i dati personali
- Dossier sanitario: il Garante Privacy sanziona una Asl
- Quando il preposto è ritenuto responsabile dell’infortunio accaduto a un lavoratore
- Trasporti: Garante Privacy, più tutele per i dati degli abbonati Sanzionata un’azienda che aveva raccolto consensi marketing non validi
- Trasporti: Garante Privacy, più tutele per i dati degli abbonati Sanzionata un’azienda che aveva raccolto consensi marketing non validi
- Rischio chimico: chi ha la responsabilità della compilazione delle SDS?
- Gli infortuni nel settore industria e servizi nel 2022
- Sulla responsabilità per infortuni presso macchine non conformi
- Salute e sicurezza nei luoghi di lavoro: un manuale per la prevenzione
- Amianto, Direttiva UE 2023/2668: nasce una nuova figura professionale Amianto, Direttiva UE 2023/2668: nasce una nuova figura professionale Autore: Ufficio Stampa
- Agenti cancerogeni e mutageni: ambienti di lavoro e attività a rischio
- Quando il comportamento di un lavoratore è imprevedibile o abnorme
- La valutazione del rischio e la prevenzione della violenza in sanità
- App per diabetici: il Garante Privacy multa una società di dispositivi medici Aveva inviato in chiaro e-mail a centinaia di pazienti diabetici
- Data breach: il Garante sanziona UniCredit per 2,8 milioni di euro Multa di 800mila euro anche alla società incaricata di effettuare i test di sicurezza
- Telemarketing: il Garante privacy sanziona Enel Energia La società non aveva protetto le sue banche dati da accessi di procacciatori abusivi
- L’RSPP non è tenuto ad assicurarsi che il datore di lavoro adempia
- E-mail dei dipendenti, il Garante privacy avvia una consultazione pubblica
- Antivirus prometteva di proteggere la privacy degli utenti ma in realtà faceva l’esatto opposto, Avast sanzionata per 16,5 milioni di dollari
- Lavoro, Calderone: in prossimo Cdm provvedimento organico in materia di salute e sicurezza
Garante privacy, oscurare i dati non basta. Principi per l’anonimizzazione
Con provvedimento n. 311 del 18 luglio 2023, l’Autorità Garante per la protezione dei dati personali ha statuito un importante principio in merito all’anonimizzazione dei dati personali, ossia che effettuare una semplice rimozione del nome e del cognome dell’individuo dalla documentazione da pubblicare non può considerarsi una misura adeguata qualora, attraverso un confronto con altri documenti pubblicati sul sito istituzionale, è comunque possibile risalire all’identità della persona in questione.
1. Anonimizzazione e oscuramento
Il titolare del trattamento dei dati deve, infatti, adottare metodi di anonimizzazione efficaci che garantiscano l’anonimato degli interessati, anche quando le informazioni vengono combinate con altre disponibili online.
È fondamentale verificare costantemente l’efficacia delle tecniche di anonimizzazione utilizzate.
Dal punto di vista operativo, ciò implica che un processo di anonimizzazione, come l’oscuramento dei nomi, non può considerarsi efficace se esiste la possibilità di identificare l’individuo attraverso un’operazione inversa.
Con questo provvedimento il Garante ritorna sull’importante tema della trasparenza, un aspetto spesso al centro della sua attenzione.
In seguito alla constatazione di una violazione delle normative relative al trattamento dei dati, in particolare del principio di minimizzazione (che richiede che i dati personali divulgati siano limitati al minimo necessario rispetto alle finalità del trattamento) e dei principi fondamentali del trattamento (come definiti negli articoli 5, paragrafo 1, lettere a e c; 6, paragrafo 1, lettere c ed e, paragrafo 2 e paragrafo 3, lettera b del Regolamento Generale sulla Protezione dei Dati – RGPD), il Titolare ha evitato una sanzione più severa della semplice ammonizione per aver comunque oscurato i dati personali, inclusi il nome e il cognome dell’interessato, misura che tuttavia non è e non può considerarsi adeguata.
Caso per caso si dovrà stabilire se il semplice oscuramento è sufficiente, in quanto, qualora tramite altri dettagli dovesse essere possibile risalire all’identità, sarà necessario utilizzare misure ulteriori.
2. Il caso
Il Provvedimento in commento ha origine da una segnalazione pervenuta al Garante della privacy da parte di un interessato che lamentava una violazione della normativa sulla protezione dei dati personali da parte dell’Autorità di sistema portuale del Mare Adriatico settentrionale-Porti di Venezia e Chioggia.
In particolare, la segnalazione riguardava il fatto che, nonostante il nome del reclamante fosse stato omesso in un documento pubblicato sul sito web istituzionale, erano presenti alcuni riferimenti che permettevano di identificarlo facilmente.
Questi riferimenti includevano un documento anch’esso pubblicato online, all’interno del quale l’unico soggetto menzionato era il reclamante.
Il Garante privacy ha contestato all’Autorità portuale un trattamento di dati personali non conforme alla disciplina in materia di protezione dei dati personali contenuta nel Regolamento europeo 679/2016 (GDPR).
Sono state notificate le seguenti violazioni:
- a) Violazione del principio di «minimizzazione» dei dati, in quanto gli stessi non sono «limitati a quanto necessario rispetto alle finalità per le quali sono trattati», in violazione dell’art. 5, par. 1, lett. c), del GDPR;
- b) Trattamento privo di idonei presupposti normativi, in violazione dell’art. 2-ter, commi 1 e 3, del Codice; nonché dei principi di base del trattamento contenuti negli artt. 5, par. 1, lett. a) e c); 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b), del GDPR;
In risposta, l’Autorità di Sistema Portuale del Mare Adriatico Settentrionale nel redigere le sue memorie difensive, sosteneva di possedere sistemi informatici volti a garantire l’anonimizzazione dei documenti, oltre a funzionalità operative finalizzate allo stesso scopo.
Assicurava inoltre come il corretto utilizzo di queste misure tecniche avesse sempre garantito il corretto trattamento dei dati e l’assenza di errori ed incidenti.
Nel caso contestato, infatti, si sarebbe trattato di un mero errore, un incidente isolato, dovuto ad una falla nella procedura, immediatamente corretta, ma non certo ad una mancata adeguatezza nel sistema di accountability e nelle procedure tecniche ed organizzative approntate dall’Autorità Portuale.
La pubblicazione del dato personale “incriminato”, dunque, era da ascriversi a un fatto assolutamente involontario e accidentale, del tutto privo di dolo.
Inoltre, l’Autorità Portuale, nel massimo spirito di collaborazione ed allo scopo di limitare le conseguenze pregiudizievoli per l’interessato, ha fatto sapere di aver immediatamente reagito, oscurando i contenuti dai quali si poteva risalire all’interessato-ricorrente, deindicizzando le pagine dai motori di ricerca e programmando con il proprio DPO un’attività formativa sulla privacy rivolta a tutti i dipendenti, con redazione di linee guida per la pubblicazione dei dati online.
3. Le osservazioni del Garante
Il garante, pur tenendo conto degli sforzi operati dal titolare del trattamento per rendere non identificabile il soggetto interessato, ha constatato che il reclamante risultava comunque “identificabile” per relationem, ossia attraverso la correlazione con altri elementi presenti sul sito e la deduzione. Peraltro, veniva riscontrato che il reclamante, prima di rivolgersi al Garante, aveva esercitato i propri diritti presso il titolare del trattamento, che dunque avrebbe potuto evitare l’instaurarsi del procedimento, se solo avesse provveduto nei termini a dare riscontro ed eliminare le informazioni in eccesso.
Pur valutando tutte le circostanze “attenuanti”, la colposità del comportamento, la pronta rimozione dei dati in eccesso, l’atteggiamento collaborativo del titolare ed il fatto che si è effettivamente trattato di un caso accidentale ed isolato, il Garante, non ritenendo applicabile alcuna delle ipotesi previste dall’art. 11 del regolamento del Garante 1/2019 (che disciplina i casi in cui i reclami e le segnalazioni possono essere archiviati), l’Autorità garante ha dichiarato l’illegittimo trattamento dei dati, in quanto la pubblicazione del documento oggetto di contestazione completo dell’indicazione di un altro documento (anch’esso pubblicato online) aveva comportato una diffusione di dati e informazioni personali del reclamante.
Tenendo conto delle circostanze, ivi compreso il fatto che i dati fossero dati comuni e non appartenenti a categorie particolari ex artt. 9 e 10 del GDPR (dati sensibili, sanitari, biometrici, politici, né condanne penali o reati) e fossero relativi a un solo soggetto interessato, la sanzione comminata è stata particolarmente lieve.
Nella commisurazione della sanzione contano infatti non solo i dati oggettivi, ma anche il comportamento soggettivo del soggetto che subisce l’accertamento, che in questo caso è stato riconosciuto essere collaborativo durante tutta l’istruttoria, al fine di correggere la violazione e mitigarne le potenziali conseguenze negative.
Nel riscontro fornito all’Autorità, sono state descritte varie misure tecniche e organizzative adottate conformemente agli articoli 25-32 del GDPR, e non risultano precedenti violazioni del GDPR pertinenti commesse dall’ente.
4. La sanzione
Alla luce di tutte le circostanze sopra esposte, l’Autorità per la protezione dei dati personali ha ritenuto opportuno emettere soltanto un ammonimento al titolare del trattamento per la violazione delle disposizioni già menzionate, ai sensi dell’articolo 58, paragrafo 2, lettera b) del GDPR (vedi anche considerando 148 del GDPR), ammonimento che dovrà essere annotato nel registro delle violazioni e che in ogni caso costituirà “precedente” di cui tenere conto nell’ipotesi di un nuovo eventuale procedimento a carico del medesimo titolare.
Fonte: diritto.it
