Regolamento - 27/04/2016 - n. 679 art. 11 - Trattamento che non richiede l'identificazione

Inquadramento

L'art. 11 del Regolamento risulta allo stesso tempo di estremo interesse e di non semplice contestualizzazione. Infatti, tale norma dispone che «[s]e le finalità per cui un titolare del trattamento tratta i dati personali non richiedono o non richiedono più l'identificazione dell'interessato, il titolare del trattamento non è obbligato a conservare, acquisire o trattare ulteriori informazioni per identificare l'interessato al solo fine di rispettare il presente regolamento».

Il secondo comma prevede poi che in questi casi il titolare dovrebbe, qualora possibile, informare l'interessato di non essere in grado di identificarlo. Ciò perché in tali casi gli artt. da 15 a 20, dedicati ai diritti in capo all'interessato, non trovano applicazione: l'interessato non potrà dunque esercitare i propri diritti ad esclusione del caso in cui sia egli stesso a fornire ulteriori informazioni che ne consentano l'identificazione.

È importante sottolineare come la norma in commento determini interessanti e rilevanti implicazioni anche in relazione ad altre disposizioni del Regolamento. Si pensi, ad esempio, alle definizioni di dato personale e di pseudonimizzazione contenute nell'art. 4, al test di compatibilità delle finalità di cui all'art. 6, o alle previsioni dedicate alla responsabilità del titolare (art. 24), ai principi di protezione dei dati fin dalla progettazione e protezione per impostazione predefinita (art. 25) o alla sicurezza del trattamento (art. 32) (Georgieva, in Kuner, Bygrave, Docksey (a cura di), 394). Evidente è inoltre la correlazione con le norme in materia di esercizio dei diritti da parte degli interessati, come emerge anche dal dettato delle recenti lg. sul diritto di accesso. Ed è lo stesso EDPB a richiamare l'art. 11 del Regolamento nel trattare il principio di minimizzazione all'interno delle lg. sui principi di data protection by design e by default.

Per quanto concerne, invece, l'ambito di applicazione dell'art. 11, è opportuno notare che esso risulta inserito nel Capo II del Regolamento, ossia in quello dedicato ai principi del trattamento. Di conseguenza, tale articolo potrebbe, a parere di chi scrive, essere interpretato come una norma generale e in divenire, frutto di un compromesso tra le esigenze di tutela dei dati e la possibilità di condurre attività di analytics, con particolare riguardo al campo della ricerca scientifica.

La norma dovrebbe essere contestualizzata nell'ambito di quanto previsto dal Regolamento in tema di anonimizzazione e pseudonimizzazione dei dati. Al di là delle numerose problematiche relative alla distinzione tra la anonimizzazione e pseudonimizzazione, una delle poche certezze è che il Regolamento non risulta applicabile alla prima categoria, non essendo in quel caso (anonimizzazione) il dato più riconducibile ad una persona identificata o identificabile, mentre la pseudonimizzazione, alterando e allontanando il legame tra dato personale e interessato, deve ritenersi sostanzialmente come una misura di sicurezza, che non modifica quindi il regime giuridico applicabile ai dati. Perciò, la configurazione di un dato quale anonimo porta con sé delle implicazioni notevoli riguardo alla possibilità di effettuare ricerca scientifica e in relazione al riuso dei dati: non essendo più dati personali, sarà possibile riutilizzarli per finalità ulteriori, diverse da quelle per cui erano stati raccolti.

Tuttavia, se da un lato le tecniche di anonimizzazione non possono certo dirsi di facile applicazione, perché spesso risultano molto complesse e costose dal punto di vista della realizzazione tecnica, dall'altro lato può sussistere un rischio connesso alla re-identificazione anche dei dati resi anonimi: come anche dichiarato dal WP 29 (WP 29, Parere anonimizzazione), l'anonimizzazione potrebbe allora essere collegata all'esigua probabilità di reidentificazione in relazione alle tecniche applicate.

Se ciò è vero, ci troveremmo di fronte ad un'intrinseca vaghezza definitoria del dualismo anonimizzazione-pseudonimizzazione, con conseguenze pratiche assai rilevanti. Infatti, il titolare intenzionato ad effettuare ricerca scientifica o storica con dati inizialmente raccolti per altre finalità si troverebbe nella condizione di poterla svolgere in libertà solo nel caso di dati anonimi, mentre vedrebbe la propria attività limitata dalle garanzie del Regolamento – rispetto dei principi, informativa, consenso e esercizio di diritti in primis – nel caso di dati pseudonimizzati. In tale contesto si inserisce l'art. 11: pur non venendo in rilievo direttamente l'anonimizzazione, tale articolo potrebbe essere interpretato nel senso di configurare una sorta di «anonimizzazione nei confronti di»: i dati in questione sarebbero sì personali, poiché riconducibili a una persona fisica determinata, ma tale collegamento potrebbe essere operato soltanto da un terzo, e non dal titolare (che ha dimostrato di non essere in grado di procedere all'identificazione), a meno che l'interessato o un terzo gli forniscano informazioni aggiuntive.

È necessario notare che le lg. sulla trasparenza del WP29 menzionano come esempio di «situazioni in cui il titolare tratta dati personali che non richiedono l'identificazione dell'interessato» il trattamento di dati pseudonimizzati. Ciò può causare fraintendimenti, in quanto occorre comunque ricordare che i dati pseudonimizzati possono essere re-identificati da parte del titolare, nonostante le informazioni aggiuntive necessarie siano conservate separatamente, in base alla definizione di cui all'art. 4. Il titolare potrebbe dunque dimostrare di non essere in grado di identificare l'interessato, come richiesto dall'art. 11, solo se le informazioni aggiuntive fossero conservate non solo separatamente, ma da un terzo (cfr. WP29, lg. trasparenza, par. 64, ove si legge: «vi possono inoltre essere situazioni in cui il titolare tratta dati personali che non richiedono l'identificazione dell'interessato (ad esempio dati pseudonimizzati)»). In tali casi, può risultare pertinente anche l'articolo 11.1, dal momento che afferma che il titolare del trattamento non è obbligato a conservare, acquisire o trattare ulteriori informazioni per identificare l'interessato al solo fine di rispettare il regolamento (Foglia, in Panetta, nota 55).

Un'altra situazione nella quale l'art. 11 pare poter assumere rilevanza è delineata dalla European Union Agency for Cybersecurity (ENISA) nel report Pseudonymisation techniques and best practices, pubblicato il 3 dicembre 2019. Tale documento, nel tratteggiare una serie di scenari riguardanti la pseudonimizzazione, considera il caso in cui sia lo stesso interessato a ricoprire il ruolo di entità di pseudonimizzazione, vale a dire il soggetto adibito alla creazione degli pseudonimi, servendosi poi di questi ultimi per inviare i dati pertinenti al titolare. L'ENISA precisa che «[i]n questo caso, la pseudonimizzazione mira a impedire al titolare del trattamento di venire a conoscenza [...] degli identificativi degli interessati, consentendo a questi ultimi di avere il controllo del processo di pseudonimizzazione; ovviamente, la responsabilità dello schema complessivo di pseudonimizzazione ricade nuovamente sul titolare del trattamento [...]», a tal proposito richiamando in nota proprio l'art. 11 del Regolamento. La conferma circa il potenziale rilievo della disposizione in commento risiede anche nel successivo passaggio esplicativo, ove si afferma che tale ipotesi «[...] si può applicare alle situazioni in cui il titolare del trattamento non abbia bisogno di avere accesso agli identificativi originali (ovvero, quando gli pseudonimi sono sufficienti per una specifica operazione di trattamento dei dati)».

Anche Pizzetti concorda sul fatto che l'art. 11 potrebbe costituire dunque una «terza via» pensata per scongiurare che l'impianto del Regolamento renda troppo complesso condurre in liceità attività di ricerca scientifica o storica. In particolare, l'art. 11 potrebbe essere interpretato con un occhio di riguardo agli sviluppi tecnologici nel campo dell'intelligenza artificiale, dell'attività di big data analytics e di machine learning.

In effetti, si può notare una tensione implicita nella formulazione dell'art. 11, rivolto alla ricerca di un equilibrio tra due contrapposte esigenze. Ad un'apertura circa la non obbligatorietà della conservazione delle informazioni aggiuntive per l'identificazione dell'interessato, da parte del titolare e in caso di «finalità che non richiedono l'identificazione», fa da contraltare il preventivo obbligo di informare l'interessato su questa circostanza. Anche il necessario corollario di tale apertura, consistente nell'impossibilità di esercitare i diritti spettanti all'interessato, cede qualora sia l'interessato stesso a fornire le necessarie informazioni per permettere la reidentificazione. Seguendo questa ricostruzione, ci si troverebbe dinanzi a un caso di bilanciamento (sulla nozione di bilanciamento nel campo della protezione dei dati personali cfr. commento art. 6) in cui il legislatore europeo ha valutato come preponderante l'interesse a facilitare le finalità di ricerca scientifica, storica o statistica – che prescinde dall'identificazione di una persona fisica – rispetto al potere di controllo che l'interessato ha dei propri dati. Ciò si traduce sostanzialmente in un affievolimento di quegli obblighi posti dal Regolamento in capo al titolare che tratta i dati per finalità che non richiedono l'identificazione.

Rimane tuttavia aperta la questione circa la qualificazione di quali siano i trattamenti che non richiedono l'identificazione. In tal senso, alcune considerazioni riguardo alla portata dell'art. 11 possono essere tratte analizzando l'Opinion 10/2017 dell'European Data Protection Supervisor riguardo alla proposta di Regolamento sulle statistiche integrate sulle aziende agricole. In particolare, nell'ambito della deroga che era stata proposta all'esercizio dei diritti in riferimento all'art. 89 del Regolamento, l'EDPS ha suggerito che la stessa finalità potesse essere ottenuta in maniera meno invasiva attraverso l'applicazione dell'art. 11. Infatti, nel caso di studi statistici si è solitamente di fronte ad un processo in cui la criptazione dei dati attraverso delle chiavi che collegano un set di dati agli individui a cui appartengono sono tenute distinte. E se nella prima fase le chiavi devono essere conservate per assicurare la creazione di statistiche ufficiali, una volta che le finalità statistiche sono state raggiunte le chiavi possono essere distrutte. In questo caso, la liceità del trattamento dei dati dovrebbe essere, a rigore, subordinata all'anonimizzazione, poiché un trattamento per finalità differenti sarebbe precluso in assenza di consenso. Tuttavia, l'EDPS riconosce che in certi casi alcuni dati grezzi potrebbero dover essere conservati anche dopo la distruzione delle chiavi per finalità statistiche: in questo contesto, la liceità del loro trattamento dovrebbe essere determinata di caso in caso. Ciò che conta è che l'EDPS abbia esplicitamente riconosciuto «le difficoltà tecniche di ri-collegamento dei file», suggerendo di guardare proprio a quanto disposto dall'art. 11 per risolvere le legittime preoccupazioni che gli istituti nazionali di statistica avevano sollevato. L'EDPS sembra aver dunque descritto almeno un caso in cui sia la finalità perseguita (statistica), che le misure tecniche e organizzative adottate (criptazione tramite l'uso di chiavi poi eliminate) sembrano corrispondere a quanto disposto dall'art. 11.

Bisogna inoltre tenere conto di quanto disposto dal considerando ad esso dedicato, il considerando 57, che può essere collegato all'art. 11. Esso dispone che «[s]e i dati personali che tratta non gli consentono di identificare una persona fisica, il titolare del trattamento non dovrebbe essere obbligato ad acquisire ulteriori informazioni per identificare l'interessato al solo fine di rispettare una disposizione del presente regolamento. Tuttavia, il titolare del trattamento non dovrebbe rifiutare le ulteriori informazioni fornite dall'interessato al fine di sostenere l'esercizio dei suoi diritti. L'identificazione dovrebbe includere l'identificazione digitale di un interessato, ad esempio mediante un meccanismo di autenticazione quali le stesse credenziali, utilizzate dall'interessato per l'accesso (log in) al servizio on line offerto dal titolare del trattamento».

Come rilevato da Pizzetti, il considerando 57 sembra essere riconducibile a un caso non perfettamente paragonabile a quello dell'art. 11; nel considerando si dà già infatti per presupposto che il titolare non sia in grado di identificare gli interessati, perché egli non ha alcuna conoscenza sulla loro appartenenza. Se però è proprio l'interessato a fornire quanto necessario per consentire l'identificazione dei dati che lo riguardano, il titolare non potrà opporre un rifiuto. L'impossibilità di identificazione sembrerebbe dunque in questo caso «originaria», mentre nel caso dell'art. 11 essa potrebbe essere definita «sopravvenuta», in quanto frutto della scelta del titolare, che non ha interesse all'identificazione.

Si può dunque cogliere in quale misura questo trattamento – che potrebbe essere definito come «trattamento deidentificato» – potrebbe risultare utile per uscire dall'impasse dualistica dell'anonimizzazione-pseudonimizzazione. Ad esempio, laddove il trattamento di dati pseudonimizzati per finalità di ricerca scientifica si basasse esclusivamente sul consenso dell'interessato e quindi al rischio di revoca del consenso, il ricercatore potrebbe prevenire questo rischio deidentificando i dati ai sensi dell'art. 11 e informandone l'interessato stesso.

Bibliografia

Foglia, Il dilemma (ancora aperto) dell'anonimizzazione e il ruolo della pseudonimizzazione nel GDPR, in Panetta (a cura di), Circolazione e protezione dei dati personali, tra libertà e regole del mercato, Milano, 2019; Pizzetti, GDPR per la ricerca scientifica con big data: il senso dell'articolo 1, in agendadigitale.eu, 6 agosto 2018; Georgieva, Article 11.Processing which does not require identification, in Kuner, Bygrave, Docksey (a cura di), The EU General Data Protection Regulation (GDPR): A Commentary, New York, 2020.