Dati personali per la ricerca, vigilare perché restino anonimi per sempre

Diversi gli interrogativi su finalità e tenore del nuovo art. 110-bis del Codice in materia di protezione dei dati personali. Poco chiare le indicazioni su riutilizzo e trattamento dei dati a scopi statistici e di ricerca e ruolo effettivo del Garante riguardo al processo di anonimizzazione e minimizzazione dei dati

06 Dic 2017
Alessandro Mantelero

Professore associato di Diritto Privato nel Politecnico di Torino, esperto scientifico dell’Ad hoc Committee on Artificial Intelligence del Consiglio d’Europa

privacy_443911762

La legge comunitaria recentemente approvata dal Parlamento ha introdotto una modifica del Codice in materia di protezione dei dati personali (d. lgs. 196/2003) che ha fatto sorgere alcuni interrogativi tra gli interpreti in merito sia alle finalità che al tenore del nuovo art. 110-bis del d. lgs. 196/2003.

Lasciando agli esperti di diritto costituzionale l’indagine circa le ragioni di questo intervento legislativo, compito del privatista è quello di cercare di interpretare la norma, ponendola nel contesto della vigente disciplina nazionale in materia di protezione dei dati personali e di quella comunitaria di prossima applicazione (Regolamento (UE) 2016/679, noto con l’acronimo in lingua inglese GDPR).

Per questa ragione proprio dal testo della nuova disposizione pare opportuno partire per cercare di descriverne la ratio:

«Art. 110-bis. (Riutilizzo dei dati per finalità di ricerca scientifica o per scopi statistici).

  1. Nell’ambito delle finalità di ricerca scientifica ovvero per scopi statistici può essere autorizzato dal Garante il riutilizzo dei dati, anche sensibili, ad esclusione di quelli genetici, a condizione che siano adottate forme preventive di minimizzazione e di anonimizzazione dei dati ritenute idonee a tutela degli interessati.
  2. Il Garante comunica la decisione adottata sulla richiesta di autorizzazione entro quarantacinque giorni, decorsi i quali la mancata pronuncia equivale a rigetto. Con il provvedimento di autorizzazione o anche successivamente, sulla base di eventuali verifiche, il Garante stabilisce le condizioni e le misure necessarie ad assicurare adeguate garanzie a tutela degli interessati nell’ambito del riutilizzo dei dati, anche sotto il profilo della loro sicurezza».

La fattispecie a cui la norma fa riferimento è quella del “riutilizzo” dei dati. Trattasi di una tipologia di trattamento non disciplinata esplicitamente nella legge vigente (d. lgs. 196/2003) né nel Regolamento comunitario. Questo non costituisce tuttavia un limite ostativo, in quanto il testo normativo italiano ed in maniera ancora più esplicita il Regolamento europeo fanno ricorso ad una nozione aperta e non tipizzata di trattamento dati, che può dunque anche ben comprendere il “riutilizzo”. Resta forse solo l’opportunità di fornire un chiarimento su tale nuova tipologia di trattamento nell’atteso e più organico intervento legislativo volto a riorganizzare la normativa alla luce del Regolamento europeo. Servirebbe, in tal senso, conoscere se ci si voglia riferire a qualcosa di analogo alla definizione di cui all’art. 2 della Direttiva 2003/98/CE relativa al riutilizzo dell’informazione del settore pubblico, ove il riutilizzo consiste nell’uso (in questo caso uso dei dati personali) da parte di persone fisiche o giuridiche per fini commerciali o non commerciali diversi dallo scopo iniziale. Se questa fosse l’interpretazione corretta, saremmo in presenza di quello che solitamente viene indicato come trattamento per finalità diverse da quelle originali ad opera di soggetti terzi diversi dal titolare originario del trattamento. Se così fosse, il riutilizzo non sarebbe fattispecie nuova, ma già nota e regolata.

Rimarrebbe però in ogni caso da chiarire chi debba porre in essere gli adempimenti indicati dalla nuova norma (richiesta di autorizzazione del Garante, adozione di forme preventive di minimizzazione e di anonimizzazione dei dati). L’aggettivo “preventive” potrebbe indurre a pensare che tali adempimenti precedano il riutilizzo e siano quindi da porre in essere ad opera del soggetto (titolare) che originariamente abbia legittimamente trattato il dato. Anche su questo la prossima normativa di raccordo con il Regolamento europeo potrebbe fornire occasione per una più dettagliata disciplina.

L’aspetto però più rilevante e centrale di questa disposizione di nuova introduzione pare ravvisarsi altrove nel testo normativo, laddove si fa riferimento all’anonimizzazione dei dati. In proposito, il comma primo dell’art. 110-bis, precisa che il Garante può autorizzare il riutilizzo dei dati in questione “a condizione che siano adottate forme preventive di minimizzazione e di anonimizzazione dei dati ritenute idonee a tutela degli interessati”.

In primis va rilevato come la lettera faccia riferimento a minimizzazione “e” anonimizzazione, implicando pertanto che entrambe le operazioni vengano poste in essere. Trattasi però di due distinte operazioni: mentre la minimizzazione consiste in un principio proprio del trattamento dei dati personali, richiamato anche dall’art. 5.1.c del Regolamento (“[i dati personali sono] adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati”), l’anonimizzazione è invece un processo a cui vengono sottoposti i dati personali al fine di non essere più tali. Come è infatti indicato dal Considerando n. 26 del Regolamento europeo, i principi di protezione dei dati “non dovrebbero pertanto applicarsi a informazioni anonime, vale a dire informazioni che non si riferiscono a una persona fisica identificata o identificabile o a dati personali resi sufficientemente anonimi da impedire o da non consentire più l’identificazione dell’interessato. Il presente regolamento non si applica pertanto al trattamento di tali informazioni anonime, anche per finalità statistiche o di ricerca”. Alla stessa conclusione si giunge anche sulla base del dettato del d. lgs. 196/20013, ove all’art. 4 si definisce come dato anonimo “il dato che in origine, o a seguito di trattamento, non può essere associato ad un interessato identificato o identificabile”.

Poiché il nuovo art. 110-bis prevede che i dati in questione siano sottoposti a “forme preventive di minimizzazione e di anonimizzazione”, si deve quindi concludere che all’esito di tale processo, che precede (per quanto detto sopra) il riutilizzo, si abbia a che fare con dati anonimi e, in quanto tali, esclusi dall’ambito operativo delle disposizioni in materia di trattamento dei dati personali.

Stante questa ricostruzione, confermata anche dal dettato dell’art. 89 del Regolamento europeo, che prevede sì deroghe relative al trattamento a fini di ricerca scientifica o a fini statistici, ma fa riferimento a dati personali o sottoposti a pseudonimizzazione (non anonimi o anonimizzati) e per questi prevede eccezioni; ci si deve chiedere quale sia allora la ratio della norma in esame.

Per cogliere tale ratio occorre proprio guardare alla distinzione fra dato personale e dato anonimo, ove il primo consiste in qualunque informazione relativa a persona fisica, identificata o identificabile, anche indirettamente, mentre il dato anonimo non viene specificatamente definito, salvo che nel già richiamato Considerando n. 26 del Regolamento europeo.

Proprio tale Considerando afferma quanto già noto alla dottrina e confermato nella prassi, ovvero che i dati anonimi possono essere dati originariamente anonimi (quelli che il Considerando definisce “informazioni che non si riferiscono a una persona fisica identificata o identificabile”) o dati personali successivamente anonimizzati (“dati personali resi sufficientemente anonimi da impedire o da non consentire più l’identificazione dell’interessato”). È con riguardo a quest’ultima categoria che si rinviene la ratio dell’art. 100-bis.

Se, infatti, i dati sono stati sottoposti a processi di anonimizzazione non vi è rilevanza alcuna della fattispecie ai sensi della disciplina dei dati personali. Tuttavia è ormai noto come l’anonimizzazione sia un processo parzialmente reversibile. Se si eccettuano, infatti, le ipotesi di anonimizzazione per aggregazione ad alti livelli o l’impiego di tecniche complesse di anonimizzazione, solitamente l’anonimizzazione consiste nella perdita di alcuni attributi connotanti il dato personale, in maniera tale che quest’ultimo non consista più in un’informazione riconducibile ad un soggetto. Questa perdita tuttavia non è sovente tale da escludere la re-identificazione, ovvero quei processi di elaborazione dei dati che permettono di trattare le informazioni per individuare nuovamente i soggetti cui le stesse si riferiscono. Molti sono stati al riguardo gli studi che negli ultimi anni hanno dimostrato la possibilità di re-identificare insiemi di dati anonimizzati. Da qui una visione non più binaria del rapporto fra dato personale e dato anonimo, ma una prospettiva che vede tali due tipologie di dati agli estremi di una scala graduata rispetto alla quale la variabilità è data dalla facilità di re-identificare il dato. In tal senso il già menzionato Considerando n. 26 individua nei costi e nel tempo necessario per l’identificazione, nonché nelle tecnologie disponibili, i parametri utili per valutare l’identificabilità del soggetto rispetto all’informazione trattata. Questi parametri possono quindi esser impiegati anche con riguardo all’anonimizzazione ed in tal senso il Considerando n. 26 parla di dati personali resi “sufficientemente” anonimi.

In questo scenario pare dunque collocarsi l’art. 100-bis, che vede allora non nel riutilizzo del dato, ma nell’anonimizzazione e nei compiti affidati al Garante il suo fulcro.

Essendo i dati anonimi fuori dall’ambito applicativo della norma, l’autorizzazione del Garante può aver ragion d’essere solo come momento in cui viene valutata l’adeguatezza delle scelte poste in essere in tema di anonimizzazione dei dati in questione (per dirlo con le parole del Regolamento europeo, il momento in cui si verifica che i dati personali siano stati resi sufficientemente anonimi). In questo contesto trova ragione l’esclusione dei dati genetici perché questi ultimi, per loro natura, non possono essere anonimizzati.

Trovano altresì ragione le ulteriori verifiche previste nel secondo comma dell’art. 110-bis (“Con il  provvedimento  di autorizzazione o  anche  successivamente,  sulla  base  di  eventuali verifiche, il Garante stabilisce le condizioni e le misure necessarie ad  assicurare  adeguate  garanzie  a  tutela   degli   interessati nell’ambito del riutilizzo dei dati, anche  sotto  il  profilo  della loro sicurezza») laddove le tecniche di anonimizzazione, ed in via speculare quelle volte alla re-identificazione, non sono statiche, ma evolvono con il tempo, rendendo, a seconda dei casi e delle tecnologie impiegate, più o meno re-identificabili i dati anonimizzati.

In questo senso le misure che potranno essere indicate dal Garante, anche in un momento successivo all’autorizzazione, dovrebbero appunto garantire il perdurare dell’anonimato.

Così interpretata la norma in questione affronta dunque uno degli aspetti su cui il Regolamento europeo si è soffermato, anticipando l’attesa più ampia revisione della vigente legislazione in materia di trattamento dei dati personali, che verrà posta in essere secondo un modello già seguito in vari stati dell’Unione, la cui ragione si trova negli spazi lasciati dal Regolamento all’operato dei legislatori nazionali. Nel contesto di tale più organico intervento regolatore anche questa norma di nuova introduzione potrà trovare un’ulteriore più dettagliata collocazione.

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articoli correlati