Per anonimizzare i dati personali non basta sostituire nome e cognome con le sole iniziali.
“Il titolare del trattamento è tenuto, inoltre, a rispettare i principi in materia di protezione dei dati e, in particolare, il principio di “minimizzazione dei dati” […]
L’Autorità Garante irrogava una sanzione amministrativa sulla scorta delle seguenti considerazioni.
È noto che i soggetti pubblici trattano i dati dei dipendenti in forza di molteplici obblighi di legge o per l’esecuzione di un compito di interesse pubblico (art. 4, 6, 88 GDPR). In taluni casi previsti dalla legge o dal regolamento (art. 2-ter, commi 1 e 3, del Codice), poi, è autorizzata anche la diffusione dei dati stessi (come per esempio la pubblicazione su internet);così dev’essere soprattutto riguardo al trattamento dei dati relativi alle condanne penali e ai reati o a connesse misure di sicurezza (art. 2-octies, commi 1 e 5, del Codice).
Il titolare del trattamento è tenuto, inoltre, a rispettare i principi in materia di protezione dei dati e, in particolare, il principio di “minimizzazione dei dati”, anche in presenza di un obbligo di pubblicazione. I soggetti chiamati a darvi attuazione non possono comunque diffondere i dati personali eccedenti o non pertinenti (cfr. provv. n. 243 del 15 maggio 2014, Linee guida in materia di trattamento di dati personali).
Sin dal 2014, le Linee Guida hanno chiarito che sostituire nome e cognome con le iniziali è misura insufficiente per anonimizzare i dati, dovendosi invece procedere a “oscurare del tutto il nominativo e le altre informazioni riferite all´interessato che ne possono consentire l´identificazione anche a posteriori”. Importante precisare che l’argomento in questione è stato affrontato nell’ articolo presente nella nostra pagina web, leggi qui: “Differenze tra Pseudonimizzazione e anonimizzazione dei dati personali”.
Con riferimento agli obblighi di cui D.Lgs. n. 33/2013, il Garante – come già più volte chiarito in precedenza – ha nuovamente ribadito che nel pubblicare le delibere per le finalità di trasparenza vanno verificate caso per caso “se ricorrono i presupposti per l´oscuramento di determinate informazioni”, in conformità al principio di minimizzazione dei dati, “quando le finalità perseguite nei singoli casi possono essere realizzate mediante dati anonimi o altre modalità che permettano di identificare l´interessato solo in caso di necessità”.
Le medesime considerazioni valgono, altresì, in merito agli obblighi derivanti dall’art. 124 del D.Lgs. 267/2000 atteso che anche alle pubblicazioni nell’albo pretorio online si applicano tutti i limiti previsti sopra menzionati con riguardo al rispetto del principio di minimizzazione dei dati e alle cautele nel caso in cui gli atti da pubblicare contengano dati appartenenti a categorie particolari.
Nella Newsletter del 27 luglio 2020 n. 467, l’Autorità Garante ha ribadito che gli Enti Locali debbano “rispettare i principi indicati dal Regolamento europeo in materia di protezione dei dati personali, in particolare, quelli di liceità, correttezza e trasparenza nonché di minimizzazione, in base al quale i dati personali devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati”.
Un preciso monito a prestare la massima attenzione soprattutto in merito a quanto viene pubblicato e, quindi, diffuso tramite i siti istituzionali degli Enti locali.