Il principio è stato enunciato dall’Autorità Garante per la protezione dei dati personali con il provvedimento n. 311 del 18 luglio 2023, a precisazione dei margini di efficacia dei processi di anonimizzazione, soprattutto nel contesto delle pubblicazioni online di determinate informazioni.
Nel caso oggetto del reclamo, un’Autorità portuale ha ricevuto un ammonimento per aver pubblicato un documento all’interno del quale era stato sì oscurato il nominativo del reclamante ma questi poteva comunque essere indirettamente identificato giovandosi di alcune informazioni contenute nella sezione di Amministrazione trasparente.
Il Garante ha concluso che la possibilità di identificazione per relationem comporta una responsabilità in capo al titolare per l’attività di diffusione dei dati personali dell’interessato, che deve essere svolta nel rispetto di principi del GDPR nonché, in questo caso specifico, dell’art. 2-ter del Codice Privacy.
Chiarito dunque che la diffusione di dati da parte di soggetti pubblici non può avvenire se non al ricorrere di specifici criteri, l’ulteriore principio il cui rispetto viene richiamato dal Garante nel muovere le proprie contestazioni è quello di minimizzazione. Infatti, soprattutto nella pubblicazione di documenti nella sezione di Amministrazione trasparente occorre tenere conto proprio della necessità della diffusione di dati personali, operando così in pratica il bilanciamento di diritti fra esigenze di trasparenza e protezione dei dati personali.
Inoltre, nello svolgere le valutazioni in ordine alla portata del concetto di dato personale, il Garante chiarisce l’estensione della capacità di identificazione indiretta, la quale non può ovviamente essere limitata esclusivamente alla possibilità di recuperare degli identificatori diretti (come ad es. il nome), ma deve considerare anche la deducibilità degli stessi.
In pratica, per stabilire se un dato è di tipo personale o se è altrimenti anonimo, è decisiva anche la potenziale identificabilità di una persona fisica «mediante individuazione, correlabilità e deduzione».
(Fonte: Garante per la protezione dei dati personali)