Un’analisi sull’art. 11 del GDPR si rende ormai necessaria. Una delle norme più complesse, ma anche più ricche di implicazioni, che è destinata ad avere una grande efficacia per la ricerca scientifica, nel mondo dei Big Data, della Data Analysis e della Intelligenza Artificiale.
Le “resistenze” al GDPR
Il GDPR è un apparato normativo le cui potenzialità e applicazioni richiederanno anni di lavoro e di studio per esser comprese a pieno. Quello che è certo è che più lo si approfondisce, più si comprende la sua ricchezza e ampiezza di sviluppo. In sostanza, si tratta di una sorta di miniera d’oro della quale abbiamo esplorato solo le vene aurifere superficiali, quelle che si percepiscono a vista d’occhio.
Nella realtà italiana, inoltre, lo sforzo di gran parte dei commentatori è stato finora quello di cercare ad ogni costo di dimostrare che i cambiamenti rispetto alla Direttiva 95/46 sono limitati, in modo da poter affermare che in fondo poco è mutato rispetto al vecchio, tanto deprecato ma in fondo tanto amato, Codice Privacy del 2003.
E’ da attendersi che, se e quando sarà approvato il decreto delegato di adeguamento dell’ordinamento italiano al GDPR, questa ondata di “resistenza combattente” riprenderà con rinnovata forza e con maggiore virulenza. Ci vorranno sforzi non piccoli per far comprendere che il decreto delegato riguarda essenzialmente solo i settori riservati alla legislazione statale, in base a quanto previsto da norme interstiziali, fra le quali soprattutto gli artt.8 e 9 e il Capo IX del GDPR, compresi i poteri dell’Autorità di controllo in queste materie.
In attesa di dover riprendere uno sforzo impegnativo di analisi contro i probabili, futuri “neo-resistenti”, è utile cogliere questa fase di bonaccia per richiamare l’attenzione sull’art. 11 del GDPR.
L’art.11 e il considerando 57
Questo articolo stabilisce, al primo paragrafo, che “se le finalità per cui un titolare del trattamento tratta i dati personali non richiedono o non richiedono più l’identificazione dell’interessato, il titolare del trattamento non è obbligato a conservare, acquisire o trattare ulteriori informazioni per identificare l’interessato ai soli fini di rispettare il regolamento”.
Al secondo paragrafo la disposizione precisa che “qualora nei casi di cui al paragrafo 1 del presente articolo, il titolare del trattamento possa dimostrare di non essere in grado di identificare l’interessato, ne informa l’interessato, se possibile. In tali casi, gli articoli da 15 a 20 non si applicano tranne quando l’interessato, al fine di esercitare i diritti di cui ai suddetti articoli, fornisce ulteriori informazioni che ne consentano l’identificazione”.
Si tratta di una norma molto complessa da interpretare e da applicare, tanto più dovendo tener conto anche del Considerando 57 che proprio ad essa si riferisce.
Questo Considerando stabilisce, infatti, che: “Se i dati che tratta non gli consentono di identificare una persona fisica, il titolare del trattamento non dovrebbe esser obbligato ad acquisire ulteriori informazioni per identificare l’interessato al solo fine di rispettare una norma del regolamento. Tuttavia il titolare del trattamento non dovrebbe rifiutare le ulteriori informazioni fornite dall’interessato al fine di sostenere l’esercizio dei suoi diritti. L’identificazione digitale di un interessato, ad esempio mediante un meccanismo di autenticazione quali le stesse credenziali utilizzate dall’interessato per l’accesso (log in) al servizio on line offerto dal titolare del trattamento”.
In sostanza, sembra evidente che la disposizione in esso contenuta riguarda essenzialmente i casi in cui un titolare acquisisce dati personali dotati di identificativi adeguati a ricollegare i dati a persone identificate o identificabili, ma li tratta (e ha interesse a trattarli in base alle finalità perseguite) indipendentemente da ogni loro riferibilità a persone specifiche.
In questi casi – sembra dire l’art. 11 – il titolare ha solo l’obbligo di informare, se possibile, gli interessati (che in questa fase egli è ancora in grado di individuare) che tratterà i dati a loro riferibili con modalità che non consentiranno più la ri-identificazione delle persone alle quali sono riferiti.
In sostanza, quando il titolare non abbia alcun interesse a conservare gli identificativi, egli non solo non è tenuto a farlo solo per adempiere al regolamento, ma può distruggere ogni elemento che consenta di ricondurre i dati oggetto di trattamento a persone specifiche. Quando decida di avvalersi di questa norma, tuttavia, il titolare è tenuto a darne previa comunicazione all’interessato. Un dovere, questo, dal quale può esimersi solo se non è possibile adempiervi, sempre che di tale impossibilità possa dare prova se ne viene richiesto.
Lo scopo di questo obbligo che grava sul titolare è quello di mettere l’interessato a conoscenza che non potrà più individuare, tra i dati oggetto di trattamento, quali sono quelli a lui riferibili e, dunque, non sarà più in grado di assicurargli la possibilità di esercitare i diritti che gli artt. da 15 a 20 prevedono per le persone alle quali i dati trattati si riferiscono.
Dal punto di vista testuale, la conseguenza della norma di cui all’art.11 è consentire al titolare di adottare, in ragione delle finalità perseguite, modalità di trattamento di dati “deindicizzati” o comunque privi di modalità di identificazione delle persone, anche se questo comporta la privazione della possibilità di esercitare i loro diritti. Infatti, proprio in ragione delle modalità dei trattamenti posti in essere, il titolare non è più in grado di verificare la relazione tra i dati e le persone alle quali essi i riferiscono né di accertarsi della identità degli interessati e della titolarità dei diritti che possano eventualmente essere invocati.
Solo se l’interessato è, lui stesso, in grado di fornire chiavi identificative dei dati che lo riguardano, allora il titolare è tenuto a riconoscergli il potere di esercitare i diritti previsti dall’art. 15 al 20, sempre, ovviamente, che ne sussistano i presupposti.
Il Considerando 57, invece, è leggermente diverso perché sembra riferirsi al caso che un titolare acquisisca dati che sono personali perché riferibili a persone identificate o identificabili, ma non abbia interesse a raccogliere ed utilizzare anche gli elementi che possono consentire tale identificazione, in quanto inutili ai fini dei trattamenti che vuole porre in essere.
Stando al contenuto letterale del Considerando, in questo caso il titolare sembrerebbe impossibilitato a informare gli interessati perché non ha alcuna conoscenza di chi essi siano. Tuttavia, anche in questa ipotesi, il titolare non può rifiutare di fornire a chi sia in grado di comunicargli gli elementi necessari alla sua identificazione e alla individuazione dei dati che lo riguardano, le informazioni che possono essergli utili per sostenere l’esercizio dei suoi diritti.
E’ chiaro che fra norma e Considerando non vi è una perfetta identità di contenuto. Di fatto il Considerando estende la portata dell’art. 11 perché non si limita a prevedere il caso di un titolare che acquisisce dati personali ma, non essendo interessato a mantenerne la riferibilità a una persona identificata o identificabile, li tratta con modalità che non ne consentano più la ri-identificazione.
Il Considerando pare, invece, riguardare il caso in cui il titolare, pur raccogliendo dati personali, li utilizza fin dall’inizio indipendentemente da ogni riferimento ai loro elementi identificativi. In sostanza il Considerando sembra prevedere anche la ipotesi che il titolare non acquisisca mai, né mai tratti, gli elementi identificativi di dati che pure riguardano persone fisiche.
Tuttavia tra il testo dell’art. 11 e quello del Considerando 57 vi è un chiaro punto di convergenza. In entrambi i casi, infatti, si prevede l’eventualità che l’interessato possa essere in grado di dimostrare la sua identità e di dare lui stesso la chiave per identificare i dati che lo riguardano. In questo caso, come già detto, il titolare è tenuto comunque a dargli ogni informazione utile all’esercizio dei suoi diritti.
Il tertium genus
E’ evidente che i testi citati ci pongono di fronte a un tertium genus di modalità relative al trattamento, che si inserisce fra il concetto di pseudonimizzazione e quello di anonimizzazione dei dati.
I dati trattati non sono pseudonimi perché comunque il titolare o non è mai venuto in possesso degli identificativi (caso del Considerando 57), o ne è venuto in possesso ma poi li ha “staccati” in modo irreversibile dai dati oggetto di trattamento, previa informazione, se possibile all’interessato, come esplicitamente prevede l’art.11. In sostanza, non si può parlare di pseudonimizzazione perché comunque il titolare o non ha mai avuto o comunque non tiene, neppure in forma separata, l’identificativo della persona alla quale i dati si riferiscono.
Ancor meno si tratta di anonimizzazione, sia perché i dati sono stati, almeno nella ipotesi letterale dell’art. 11, raccolti come dati personali, sia perché si dà per scontato che sia sempre possibile che la persona interessata possa esercitare i suoi diritti se è in grado di dimostrare la sua identità e la sua connessione rispetto a dati specifici.
Dunque, al contrario di quanto avviene nel caso della anonimizzazione, si dà per scontato che i dati non siano mai “anonimi”, né mai “pseudonimizzati” ma appartengano, appunto, a un tertium genus.
Un trattamento apparentemente inconsistente
E’ ovvio che questa terza tipologia di trattamento dei dati può sembrare avere, al medesimo tempo, una specifica concretezza e una apparente “inconsistenza”.
Verrebbe infatti facile pensare che o il dato è pseudonimizzato o è anonimo. Nel primo caso, si applica il GDPR e il titolare ha sempre il diritto, da un lato, il dovere, dall’altro, di rendere identificabile il dato e la persona a cui si riferisce. Nel secondo caso, il dato è anonimo, e allora il GDPR non si applica.
Nell’ipotesi in questione, invece, non ricorre né l’uno né l’altro caso. I dati sono trattati in forma che può sembrare sostanzialmente anonimizzata perché gli identificativi sono stati distrutti dal titolare o comunque resi non più abbinabili agli altri dati ma, allo stesso tempo, con modalità che possono farli sembrare, almeno potenzialmente, pseudonimi, perché può sempre accadere che sia l’interessato stesso a fornire gli elementi di identificazione.
Proprio per questo l’ipotesi in esame può appare per un verso poco realistica e per l’altro di difficile applicazione.
Il valore della “terza via” tra pseudonimizzazione e anonimizzazione
A ben vedere, tuttavia, una conclusione siffatta sarebbe assai superficiale.
Il valore della disposizione sta proprio nel fatto di indicare una “terza via” tra il fenomeno della pseudonimizzazione, che è al tempo stesso una misura di garanzia e una misura di sicurezza, ma non toglie al dato il carattere di dato personale, e la anonimizzazione. Trattamento, quest’ultimo, che è sempre difficile dimostrare di avere effettivamente raggiunto in concreto (almeno secondo le indicazioni contenute nel Considerando 27) e che, proprio per questo, può essere sempre oggetto di contestazione e conseguenti responsabilità dei titolari che, ritenendo sufficientemente anonimizzati i dati trattati, non applichino il GDPR.
L’impatto sull’analisi dei dati a fini di ricerca scientifica
Al tempo stesso, questa norma, proprio perché traccia una via intermedia tra una pseudonimizzazione costosa, e che comunque obbliga sempre a riconoscere i diritti degli interessati caricando sui titolari l’onere di accertarne l’identità, e una anonimizzazione ancora più costosa e sempre possibile oggetto di contestazioni, consente ai titolari di porre in essere attività di Big Data e Data Analysis utilizzando dati strutturalmente personali ma che, o perché raccolti senza identificativi o perché trattati cancellando ogni indicatore relativo a persone, possono consentire trattamenti di norma non sottoposti alla “mannaia” del possibile esercizio dei diritti dell’interessato.
In questo quadro, è evidente che la norma è particolarmente utile per lo sviluppo di tecniche di analisi dei dati per finalità di ricerca, in particolare scientifica, e per ogni altra modalità di costruzione di cluster (“greggi”) individuati in virtù di caratteristiche comuni, anche per finalità predittive o di analisi svolte da macchine intelligenti.
Questo può valere ogni qual volta non sia necessaria la riconducibilità dei dati trattati a persone individuate. Ancor più può essere fondamentale nei casi in cui per il trattamento del dato personale è richiesto il consenso, con conseguente possibilità di esercitare sempre, e in via generale, anche il diritto alla revoca.
L’art. 11 è dunque, con tutta evidenza, una norma che cerca di trovare un giusto punto di equilibrio tra la tutela dei diritti dell’interessato da un lato, e la possibilità di trattare in modo meno restrittivo i dati personali quando si perseguono finalità che possono essere raggiunte privando tali dati di ogni riferimento alle persone cui si riferiscono, dall’altro. Cosa, questa, che consente di considerare come del tutto improbabile ed eccezionale la possibilità per gli interessati di esercitare i loro diritti anche rispetto a trattamenti che riguardano sì i loro dati, ma con modalità e per finalità che non li rendono in alcun modo ad essi riconducibili.
Come trattare i dati quando si applica l’art. 11
L’art. 11 è dunque una norma di compromesso, che trova il suo punto di equilibrio in due tutele essenziali garantite agli interessati: la prima, che l’interessato può comunque esercitare i propri diritti se è in grado di identificarsi e identificare i dati a lui relativi; la seconda, che il titolare deve, quando è possibile, informare gli interessati della volontà di trattare i loro dati per finalità e con modalità che non gli consentiranno la possibilità di ri-identificare le persone a cui si riferiscono.
E’ ovvio che a questo punto il problema si sposta su come i dati devono essere trattati quando si voglia applicare l’art. 11, e cioè a che livello di generalità (e con quali accorgimenti tecnici come, ad esempio, i c.d. “rumori di fondo” o la “generalizzazione”) essi debbano essere elaborati affinché si possa sostenere che il titolare non può più, per le modalità e le finalità dei trattamenti scelti, ricondurli a persone fisiche identificate o identificabili. Problema, questo, che da un lato è di tipo tecnologico e dall’altro implica che la norma dell’art. 11 sia invocata e utilizzata solo per finalità raggiungibili attraverso trattamenti di dati non ri-identificabili.
Un esempio di possibile applicazione
Infine, la norma consente anche un’altra possibile applicazione, che richiede però una interpretazione molto estensiva della lettera e della ratio dell’art. 11.
E’ possibile, infatti, che un titolare possa essere interessato, sia per aumentare la fiducia delle persone, sia per motivi concreti che rendono utile anche a lui la ri-identificabilità del dato, ad applicare l’art. 11, fornendo però lui stesso agli interessati chiavi digitali adeguate a ri-identificare i loro dati e a dimostrare la loro identità.
Per comprendere questa ipotesi può essere utile l’esempio di un grande guardaroba di un teatro che può ospitare migliaia di persone.
E’ chiaro che gli addetti al guardaroba non hanno nessuna utilità (e spesso nessuna possibilità concreta) di tenere nota dei dati identificativi di chi consegna i propri soprabiti e preferiscano, come quasi sempre avviene, consegnare ai depositanti una contromarca.
In questo caso, puramente esemplificativo, saremmo di fronte alla ipotesi di un titolare (la organizzazione del guardaroba) che non conserva, né tratta, gli identificativi delle persone e degli oggetti da loro consegnati, ma che ha interesse esso stesso a consentire agli interessati di potersi identificare come proprietari dei soprabiti affidati alla sua custodia (i dati di loro proprietà).
E’ questa una ipotesi chiaramente eccentrica a quella che è alla base dell’art. 11, la quale ha invece la chiara finalità di sollevare il titolare, che non abbia bisogno degli identificativi dei dati che vuole trattare, dall’onere di adottare tecniche di pseudonimizzazione o di anonimizzazione.
Tuttavia anche questa ipotesi, ben lontana dai casi nei quali la previsione dell’art. 11 è finalizzata a consentire trattamenti che escludono ogni ri-identifcabilità dei dati proprio per perseguire finalità altrimenti non raggiungibili, potrebbe dimostrarsi di non poca utilità in molti casi.
Il che dimostra ancora una volta quando il GDPR sia ricco di potenzialità e di applicazioni adatte a favorire molteplici modalità di trattamento, confermando la sua grande flessibilità e apertura allo sviluppo dell’economia digitale e della libera circolazione dei dati.
