Il Garante nel provvedimento n. 9967883 del 27 novembre 2023 in materia accesso civico torna ad affrontare i concetti di “dati aggregati” e “dati anonimi” precisandone il contenuto in relazione al rischio di re-identificazione.
La vicenda
Un soggetto che, sulla base di ordine giudiziale, aveva già avuto accesso a un database del Ministero della salute contenente informazioni in forma individuale e disaggregata (ossia per singolo assistito) prive del nome e cognome, di più di 45 milioni di soggetti vaccinati - dei quali erano indicati: data di nascita, data di eventuale decesso, data della prima dose di vaccino anti Covid19, data delle eventuali dosi successive - domandava allo stesso Ministero di poter avere anche i dati riferiti a un periodo successivo a quello già richiesto e, precisamente, i «dati relativi ai decessi dei soggetti sottoposti alla somministrazione della prima dose di una qualunque tipologia di vaccino anti Covid19 tra il 27/12/2020 e il 26/12/2022, e che siano deceduti entro il 09/01/2023 per qualunque motivo, non necessariamente riconducibile alla somministrazione».
Il Ministero rigettava l’istanza evidenziando che le informazioni e la specificità del target richiesto costituivano un concreto pregiudizio per la riservatezza e la protezione dei dati personali dei soggetti interessati, con elevato rischio di re-identificazione. Un rischio attuale e concreto, visto che i dati estratti dal database erano stati esaminati e commentati in un articolo giornalistico, in cui si riferiva che dalle date di nascita e di morte (per cause diverse) di una sessantina tra conoscenti, amici e personaggi riportati dalla cronaca con riferimenti anagrafici certi e ai quali era stata somministrata almeno una dose di vaccino, era stato possibile risalire alle loro identità.
A seguito del diniego di accesso il richiedente si rivolgeva al Garante per un riesame del provvedimento. Il Garante, confermando il diniego, ribadiva i concetti di dati aggregati e anonimi e il relativo rischio di re-identificazione.
Le osservazioni
Dati aggregati
L’aggregazione è una tecnica di anonimizzazione volta «a impedire l’individuazione di persone interessate mediante il loro raggruppamento con almeno k altre persone». Per effettuarla è necessario sottoporre «i valori degli attributi a una generalizzazione tale da attribuire a ciascuna persona il medesimo valore». Ad esempio, le date di nascita possono essere raggruppate per mese o per anno.
Per ridurre il rischio di re-identificazione è necessario utilizzare soglie di aggregazione dei dati proporzionate al campione di riferimento e alle informazioni ivi contenute. In linea generale, «la sola applicazione ex-ante di tecniche di aggregazione, non consente sempre di prevenire casi di singolarità all’interno di un campione» perché «possono, infatti, verificarsi di frequente situazioni, variabili in ragione del contesto, nelle quali la disponibilità di una informazione ausiliaria da parte di un soggetto terzo (cd attaccante) può consentire la re-identificazione di un interessato presente in un campione sottoposto a preventive tecniche di aggregazione» (cfr. par. 7, provv. n. 87 del 19/5/2020).
Nelle Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica effettuati nell’ambito del Sistema Statistico nazionale pubblicate ai sensi dell’art. 20, comma 4, del d.lgs. 10 agosto 2018, n. 101 - 19 dicembre 2018, (art 4, comma 1, lett.a) si specifica che un dato aggregato non debba raggruppare un numero di casi inferiore a tre.
In conclusione, i dati individuali che sono stati forniti, sia pure senza nome e cognome, quali le date di nascita, le date delle dosi di vaccino e di eventuale decesso, sono evidentemente in forma non aggregata. Di conseguenza, utilizzando altre fonti di dati, p.e. necrologi, è possibile ricondurre a persone determinate le informazioni presenti nell’Anagrafe dei vaccini, come infatti è stato fatto in un articolo a stampa di cui si è parlato sopra.
Dati anonimi
Secondo il GDPR, le informazioni anonime sono le «informazioni che non si riferiscono a una persona fisica identificata o identificabile o [i] dati personali resi sufficientemente anonimi da impedire o da non consentire più l’identificazione dell’interessato» (considerando 26). Dove per identificazione «non si intende solo la possibilità di recuperare il nome e/o l’indirizzo di una persona, ma anche la potenziale identificabilità mediante individuazione, correlabilità e deduzione» (Gruppo art. 29-WP29, Opinion 05/2014 on Anonymisation Techniques, par. 2.2.2.).
L’anonimizzazione è il risultato di un trattamento volto a impedire in modo irreversibile l’identificazione dei soggetti interessati. Nel metterla in atto, il titolare del trattamento deve tener conto di diversi elementi e prendere in considerazione tutti i mezzi che “possono ragionevolmente” essere utilizzati per l’identificazione dei soggetti interessati, anche a posteriori. Al riguardo esistono numerose pratiche e tecniche, con gradi variabili di affidabilità e differenti punti di forza e debolezza. Per la loro scelta è indispensabile un'accurata analisi preventiva caso per caso. Tenendo comunque sempre presente che un insieme di dati resi anonimi può ancora presentare rischi residui per le persone interessate.
Nel caso specifico, si può concludere dunque che i dati richiesti, anche se privati del nome e cognome, non possono essere considerati come anonimizzati.
Rischio di re-identificazione
In ragione di quanto rilevato sull’aggregazione e anonimizzazione dei dati, il Garante concludeva sul rischio di re-identificazione segnalando che lo stesso va accuratamente valutato tenendo conto di «tutti i mezzi di cui il titolare del trattamento o un terzo può ragionevolmente avvalersi per identificare detta persona fisica direttamente o indirettamente. Per accertare la ragionevole probabilità di utilizzo dei mezzi per identificare la persona fisica, si dovrebbe prendere in considerazione l’insieme dei fattori obiettivi, tra cui i costi e il tempo necessario per l’identificazione, tenendo conto sia delle tecnologie disponibili al momento del trattamento, sia degli sviluppi tecnologici» (cfr. considerando n. 26 del GDPR e WP29 Opinion 05/2014 on Anonymisation Techniques, cit.).
In conclusione, un processo di anonimizzazione deve rendere impossibile con i mezzi “ragionevolmente disponibili”:
- l'individuazione di una persona in un gruppo (single-out);
- il collegamento di un dato anonimizzato a dati riferibili a una persona e presenti in un altro insieme di dati (linkability);
- la deduzione da un dato anonimizzato di nuove informazioni riferibili a una persona (inference).
|