La legge comunitaria recentemente approvata dal Parlamento ha introdotto una modifica del Codice in materia di protezione dei dati personali (d. lgs. 196/2003) che ha fatto sorgere alcuni interrogativi tra gli interpreti in merito sia alle finalità che al tenore del nuovo art. 110-bis del d. lgs. 196/2003.
Lasciando agli esperti di diritto costituzionale l’indagine circa le ragioni di questo intervento legislativo, compito del privatista è quello di cercare di interpretare la norma, ponendola nel contesto della vigente disciplina nazionale in materia di protezione dei dati personali e di quella comunitaria di prossima applicazione (Regolamento (UE) 2016/679, noto con l’acronimo in lingua inglese GDPR).
Per questa ragione proprio dal testo della nuova disposizione pare opportuno partire per cercare di descriverne la ratio:
«Art. 110-bis. (Riutilizzo dei dati per finalità di ricerca scientifica o per scopi statistici).
- Nell’ambito delle finalità di ricerca scientifica ovvero per scopi statistici può essere autorizzato dal Garante il riutilizzo dei dati, anche sensibili, ad esclusione di quelli genetici, a condizione che siano adottate forme preventive di minimizzazione e di anonimizzazione dei dati ritenute idonee a tutela degli interessati.
- Il Garante comunica la decisione adottata sulla richiesta di autorizzazione entro quarantacinque giorni, decorsi i quali la mancata pronuncia equivale a rigetto. Con il provvedimento di autorizzazione o anche successivamente, sulla base di eventuali verifiche, il Garante stabilisce le condizioni e le misure necessarie ad assicurare adeguate garanzie a tutela degli interessati nell’ambito del riutilizzo dei dati, anche sotto il profilo della loro sicurezza».
La fattispecie a cui la norma fa riferimento è quella del “riutilizzo” dei dati. Trattasi di una tipologia di trattamento non disciplinata esplicitamente nella legge vigente (d. lgs. 196/2003) né nel Regolamento comunitario. Questo non costituisce tuttavia un limite ostativo, in quanto il testo normativo italiano ed in maniera ancora più esplicita il Regolamento europeo fanno ricorso ad una nozione aperta e non tipizzata di trattamento dati, che può dunque anche ben comprendere il “riutilizzo”. Resta forse solo l’opportunità di fornire un chiarimento su tale nuova tipologia di trattamento nell’atteso e più organico intervento legislativo volto a riorganizzare la normativa alla luce del Regolamento europeo. Servirebbe, in tal senso, conoscere se ci si voglia riferire a qualcosa di analogo alla definizione di cui all’art. 2 della Direttiva 2003/98/CE relativa al riutilizzo dell’informazione del settore pubblico, ove il riutilizzo consiste nell’uso (in questo caso uso dei dati personali) da parte di persone fisiche o giuridiche per fini commerciali o non commerciali diversi dallo scopo iniziale. Se questa fosse l’interpretazione corretta, saremmo in presenza di quello che solitamente viene indicato come trattamento per finalità diverse da quelle originali ad opera di soggetti terzi diversi dal titolare originario del trattamento. Se così fosse, il riutilizzo non sarebbe fattispecie nuova, ma già nota e regolata.
Rimarrebbe però in ogni caso da chiarire chi debba porre in essere gli adempimenti indicati dalla nuova norma (richiesta di autorizzazione del Garante, adozione di forme preventive di minimizzazione e di anonimizzazione dei dati). L’aggettivo “preventive” potrebbe indurre a pensare che tali adempimenti precedano il riutilizzo e siano quindi da porre in essere ad opera del soggetto (titolare) che originariamente abbia legittimamente trattato il dato. Anche su questo la prossima normativa di raccordo con il Regolamento europeo potrebbe fornire occasione per una più dettagliata disciplina.
L’aspetto però più rilevante e centrale di questa disposizione di nuova introduzione pare ravvisarsi altrove nel testo normativo, laddove si fa riferimento all’anonimizzazione dei dati. In proposito, il comma primo dell’art. 110-bis, precisa che il Garante può autorizzare il riutilizzo dei dati in questione “a condizione che siano adottate forme preventive di minimizzazione e di anonimizzazione dei dati ritenute idonee a tutela degli interessati”.
In primis va rilevato come la lettera faccia riferimento a minimizzazione “e” anonimizzazione, implicando pertanto che entrambe le operazioni vengano poste in essere. Trattasi però di due distinte operazioni: mentre la minimizzazione consiste in un principio proprio del trattamento dei dati personali, richiamato anche dall’art. 5.1.c del Regolamento (“[i dati personali sono] adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati”), l’anonimizzazione è invece un processo a cui vengono sottoposti i dati personali al fine di non essere più tali. Come è infatti indicato dal Considerando n. 26 del Regolamento europeo, i principi di protezione dei dati “non dovrebbero pertanto applicarsi a informazioni anonime, vale a dire informazioni che non si riferiscono a una persona fisica identificata o identificabile o a dati personali resi sufficientemente anonimi da impedire o da non consentire più l’identificazione dell’interessato. Il presente regolamento non si applica pertanto al trattamento di tali informazioni anonime, anche per finalità statistiche o di ricerca”. Alla stessa conclusione si giunge anche sulla base del dettato del d. lgs. 196/20013, ove all’art. 4 si definisce come dato anonimo “il dato che in origine, o a seguito di trattamento, non può essere associato ad un interessato identificato o identificabile”.
Poiché il nuovo art. 110-bis prevede che i dati in questione siano sottoposti a “forme preventive di minimizzazione e di anonimizzazione”, si deve quindi concludere che all’esito di tale processo, che precede (per quanto detto sopra) il riutilizzo, si abbia a che fare con dati anonimi e, in quanto tali, esclusi dall’ambito operativo delle disposizioni in materia di trattamento dei dati personali.
Stante questa ricostruzione, confermata anche dal dettato dell’art. 89 del Regolamento europeo, che prevede sì deroghe relative al trattamento a fini di ricerca scientifica o a fini statistici, ma fa riferimento a dati personali o sottoposti a pseudonimizzazione (non anonimi o anonimizzati) e per questi prevede eccezioni; ci si deve chiedere quale sia allora la ratio della norma in esame.
Per cogliere tale ratio occorre proprio guardare alla distinzione fra dato personale e dato anonimo, ove il primo consiste in qualunque informazione relativa a persona fisica, identificata o identificabile, anche indirettamente, mentre il dato anonimo non viene specificatamente definito, salvo che nel già richiamato Considerando n. 26 del Regolamento europeo.
Proprio tale Considerando afferma quanto già noto alla dottrina e confermato nella prassi, ovvero che i dati anonimi possono essere dati originariamente anonimi (quelli che il Considerando definisce “informazioni che non si riferiscono a una persona fisica identificata o identificabile”) o dati personali successivamente anonimizzati (“dati personali resi sufficientemente anonimi da impedire o da non consentire più l’identificazione dell’interessato”). È con riguardo a quest’ultima categoria che si rinviene la ratio dell’art. 100-bis.
Se, infatti, i dati sono stati sottoposti a processi di anonimizzazione non vi è rilevanza alcuna della fattispecie ai sensi della disciplina dei dati personali. Tuttavia è ormai noto come l’anonimizzazione sia un processo parzialmente reversibile. Se si eccettuano, infatti, le ipotesi di anonimizzazione per aggregazione ad alti livelli o l’impiego di tecniche complesse di anonimizzazione, solitamente l’anonimizzazione consiste nella perdita di alcuni attributi connotanti il dato personale, in maniera tale che quest’ultimo non consista più in un’informazione riconducibile ad un soggetto. Questa perdita tuttavia non è sovente tale da escludere la re-identificazione, ovvero quei processi di elaborazione dei dati che permettono di trattare le informazioni per individuare nuovamente i soggetti cui le stesse si riferiscono. Molti sono stati al riguardo gli studi che negli ultimi anni hanno dimostrato la possibilità di re-identificare insiemi di dati anonimizzati. Da qui una visione non più binaria del rapporto fra dato personale e dato anonimo, ma una prospettiva che vede tali due tipologie di dati agli estremi di una scala graduata rispetto alla quale la variabilità è data dalla facilità di re-identificare il dato. In tal senso il già menzionato Considerando n. 26 individua nei costi e nel tempo necessario per l’identificazione, nonché nelle tecnologie disponibili, i parametri utili per valutare l’identificabilità del soggetto rispetto all’informazione trattata. Questi parametri possono quindi esser impiegati anche con riguardo all’anonimizzazione ed in tal senso il Considerando n. 26 parla di dati personali resi “sufficientemente” anonimi.
In questo scenario pare dunque collocarsi l’art. 100-bis, che vede allora non nel riutilizzo del dato, ma nell’anonimizzazione e nei compiti affidati al Garante il suo fulcro.
Essendo i dati anonimi fuori dall’ambito applicativo della norma, l’autorizzazione del Garante può aver ragion d’essere solo come momento in cui viene valutata l’adeguatezza delle scelte poste in essere in tema di anonimizzazione dei dati in questione (per dirlo con le parole del Regolamento europeo, il momento in cui si verifica che i dati personali siano stati resi sufficientemente anonimi). In questo contesto trova ragione l’esclusione dei dati genetici perché questi ultimi, per loro natura, non possono essere anonimizzati.
Trovano altresì ragione le ulteriori verifiche previste nel secondo comma dell’art. 110-bis (“Con il provvedimento di autorizzazione o anche successivamente, sulla base di eventuali verifiche, il Garante stabilisce le condizioni e le misure necessarie ad assicurare adeguate garanzie a tutela degli interessati nell’ambito del riutilizzo dei dati, anche sotto il profilo della loro sicurezza») laddove le tecniche di anonimizzazione, ed in via speculare quelle volte alla re-identificazione, non sono statiche, ma evolvono con il tempo, rendendo, a seconda dei casi e delle tecnologie impiegate, più o meno re-identificabili i dati anonimizzati.
In questo senso le misure che potranno essere indicate dal Garante, anche in un momento successivo all’autorizzazione, dovrebbero appunto garantire il perdurare dell’anonimato.
Così interpretata la norma in questione affronta dunque uno degli aspetti su cui il Regolamento europeo si è soffermato, anticipando l’attesa più ampia revisione della vigente legislazione in materia di trattamento dei dati personali, che verrà posta in essere secondo un modello già seguito in vari stati dell’Unione, la cui ragione si trova negli spazi lasciati dal Regolamento all’operato dei legislatori nazionali. Nel contesto di tale più organico intervento regolatore anche questa norma di nuova introduzione potrà trovare un’ulteriore più dettagliata collocazione.
