Parere 6/2013 - WP207

sui dati aperti e sul riutilizzo delle informazioni del settore pubblico ("ISP")

adottato il 5 giugno 2013

IL GRUPPO DI LAVORO PER LA TUTELA DELLE PERSONE CONRIGUARDO AL TRATTAMENTO DEI DATI PERSONALI

istituito aisensi della direttiva 95/46/CE del Parlamento europeo e del Consiglio del 24ottobre 1995, visti l'articolo 29 e l'articolo 30, paragrafo 1, lettera a) eparagrafo 3 della suddetta direttiva, visto il proprio regolamento interno,

HA ADOTTATO IL PRESENTE PARERE:

I. Introduzione

1.1. Revisione della direttiva ISP

Il 26 giugno2013 l'Unione europea ha adottato la direttiva 2013/37/UE del Parlamentoeuropeo e del Consiglio (la "modifica ISP"), che modifica la direttiva2003/98/CE relativa al riutilizzo dell'informazione del settore pubblico (la"direttiva ISP").

Scopo della direttiva ISP è agevolare il riutilizzodelle informazioni del settore pubblico, armonizzandone le condizioni in tuttal'Unione europea e rimuovendo gli ostacoli superflui a tale riutilizzo sul mercatointerno.

Il testo iniziale del 2003 della direttiva ISParmonizzava tali condizioni, ma non richiedeva che gli enti pubblici rendesserodisponibili i dati per il riutilizzo. La messa a disposizione dei dati eraessenzialmente facoltativa: si lasciava agli Stati membri e agli enti pubblicila possibilità di decidere.

Di conseguenza, molti enti pubblici in Europa hannoscelto di non consentire il riutilizzo delle loro informazioni.

In tale contesto, uno dei principali obiettivipolitici della modifica ISP consiste nell'introdurre il principio secondo cuitutte le informazioni del settore pubblico (ossia tutte le informazioni da essodetenute, accessibili al pubblico in forza del diritto nazionale) sonoriutilizzabili sia a fini commerciali che non commerciali. In alcuni casi, peresempio per motivi di protezione dei dati, sono previste eccezioni all'ambitodi applicazione della direttiva ISP modificata.²

Pertanto, invirtù della direttiva ISP modificata, attualmente per gli enti pubblici èobbligatorio consentire il riutilizzo di tutte le informazioni pubbliche inloro possesso. Tuttavia, come verrà illustrato più avanti, ciò non impone atali enti l'obbligo di rendere pubbliche informazioni a carattere personale, maimpone soltanto il riutilizzo delle informazioni qualora siano giàpubblicamente accessibili in forza della legislazione nazionale e, anche in talcaso, soltanto se il riutilizzo non pregiudica disposizioni della normativaapplicabile in materia di protezione dei dati.

Altre nuovedisposizioni pertinenti della modifica ISP ampliano l'ambito di applicazionedella direttiva ISP al fine di includere biblioteche (comprese quelleuniversitarie), archivi e musei.

Alla luce diquanto precede, la direttiva ISP modificata ha le potenzialità per aumentareenormemente l'accessibilità delle informazioni in possesso degli enti pubblici.

1.2. Riutilizzo delle informazioni del settore pubblico e dei datipersonali

Le iniziativein materia di riutilizzo di ISP comportano normalmente che (i) intere banchedati vengano messe a disposizione (ii) in formato elettronico standardizzato(iii) di chiunque lo richieda senza procedure di verifica, (iv) a titologratuito (o a tariffe ridotte) e (v) a fini commerciali o meno, senzacondizioni (o a condizioni non restrittive, ove opportuno mediante una licenza)³.

Ciò puòcomportare vantaggi tali da favorire una maggior trasparenza e un riutilizzoinnovativo dell'informazione del settore pubblico. Tuttavia, la maggioreaccessibilità delle informazioni che ne consegue non è priva di rischi.

Perminimizzare questi rischi, laddove si tratti di dati personali, la normativa inmateria di protezione dei dati deve contribuire a guidare il processo diselezione dei dati personali da rendere o meno disponibili per il riutilizzo edelle misure da adottare per salvaguardarli. In tutti i casi in cui sia ingioco la tutela della vita privata e dei dati personali occorre seguire unapproccio equilibrato. Da un lato, le norme per la protezione dei datipersonali non devono costituire un ostacolo indebito allo sviluppo del mercatodel riutilizzo di ISP, dall'altro, devono essere rispettati il diritto allaprotezione dei dati personali e il diritto alla vita privata. » importanterimarcare che, concettualmente, i dati aperti sono incentrati sulla trasparenzae l'affidabilità degli enti pubblici, oltre che sulla crescita economica, e nonsulla trasparenza dei singoli cittadini.

Applicando ladirettiva ISP e la normativa in materia di protezione dei dati ai fini delriutilizzo di dati personali, un ente pubblico si trova probabilmente adadottare una fra queste tre diverse tipologie di decisioni:

1. ladecisione di non rendere disponibili informazioni personali per il riutilizzoai sensi della direttiva ISP;

2. ladecisione di rendere le informazioni personali anonime (solitamente sotto formadi dati statistici aggregati)4 edi rendere disponibili per il riutilizzo solo tali dati in forma anonima;

3. ladecisione di rendere disponibili informazioni personali per il riutilizzo (ovenecessario, a condizioni specifiche e con garanzie adeguate).

II. Obiettivo del parere

2.1. Orientamenti coerenti e migliori prassi

L'obiettivodel presente parere è contribuire ad assicurare un'interpretazione uniforme delquadro giuridico applicabile, nonchÈ offrire orientamenti coerenti ed esempi dimigliori prassi su come attuare la direttiva ISP (modificata) in relazione altrattamento dei dati personali.

Scopo delpresente parere non è cercare di armonizzare gli approcci nazionali relativamenteal livello di trasparenza, alla legislazione nazionale sull'accesso aidocumenti e alla disponibilità di informazioni ai sensi della normativanazionale. Tuttavia, talvolta le disposizioni nazionali di attuazione delladirettiva ISP e l'interpretazione a livello nazionale della direttiva 95/46/CE⁵in merito al riutilizzo delle informazioni del settorepubblico differiscono in misura superiore a quanto necessario per adeguarsialle diversità presenti nei regimi nazionali di accesso e ai vari livelli ditrasparenza.

A questoriguardo, le raccomandazioni politiche del settembre 2012 sulla privacy redattedalla rete tematica LAPSI illustrano chiaramente le disparità superflueriscontrate nel modo in cui la direttiva ISP è stata trasposta negli Stati membriper quanto concerne la protezione dei dati personali⁶.Anche la stessa direttiva ISP avverte che, con l'ulteriore sviluppo dellasocietà dell'informazione, che ha già prodotto un notevole incremento dellosfruttamento delle informazioni oltre i confini nazionali, potrebberoaccentuarsi le differenze sul piano legislativo e le incertezze⁷.

La mancanza diun approccio coerente rischia di indebolire la posizione delle personeinteressate e anche di imporre gravami normativi superflui alle aziende e ad altreorganizzazioni operanti a livello internazionale. Pertanto ciò rappresenta unostacolo allo sviluppo di un mercato europeo per il riutilizzo di ISP. Da unlato, occorre rassicurare gli interessati garantendo che i loro dati sarannocoerentemente protetti, a prescindere dal loro trasferimento verso un altroStato membro a scopi di riutilizzo; dall'altro, si deve evitare la complessitàingiustificata e la frammentazione anche al fine di consentire la liberacircolazione dei dati personali in tutta Europa, altro obiettivo chiave delladirettiva 95/46/CE.

2.2. L'esigenza di aggiornare il parere 7/2003

La modificaISP interviene a dieci anni dall'adozione, nel 2003, della direttiva ISP.All'epoca il Gruppo di lavoro "articolo 29" ha adottato un parere sullequestioni riguardanti la protezione dei dati in relazione alle ISP ("parere7/2003")8. BenchÈ iprincipi fondamentali indicati nel parere 7/2033 restino validi, gli sviluppitecnologici e di altra natura nei settori delle informazioni del settore pubblicoe della protezione dei dati, comprese le modifiche legislative proposte inentrambi i settori, giustificano gli sforzi attuali per aggiornare e integrareil parere del 2003. Inoltre, ora il parere può tenere conto di altreiniziative, recenti e in atto, di fornire ulteriori orientamenti, inparticolare:

∑ il pareredel 18 aprile 2012 del Garante europeo della protezione dei dati (GEPD), sul"pacchetto dati aperti"⁹;

∑ il parere3/2013 del Gruppo di lavoro "articolo 29", sulla limitazione delle finalità¹⁰;

∑ il lavoro incorso del sottogruppo "tecnologia" del Gruppo di lavoro "articolo 29" sulletecniche di anonimizzazione¹¹;

∑ il lavorosvolto in alcuni Stati membri in materia di anonimizzazione e valutazione deirischi¹²;

∑ lagiurisprudenza e la prassi esistenti in materia di equilibrio tra riutilizzo eprotezione dei dati personali in alcuni Stati membri¹³.

III. Approccio e struttura del parere

Il parere 7/2003 era incentrato sul principio dellalimitazione delle finalità¹⁴, ma trattava anche altre questioni, tra cui lalegittimazione della comunicazione al pubblico e del riutilizzo delleinformazioni del settore pubblico, la tutela particolare dei dati di naturadelicata, i trasferimenti di dati verso paesi terzi, la qualità dei dati e idiritti delle persone interessate. Queste osservazioni sono ancora valide.Considerando il lavoro già svolto in precedenza, il presente parere non fa cheaggiornare e integrare, ove necessario, le conclusioni del parere 7/2003 allaluce di nuovi sviluppi di carattere legislativo e tecnologico.

La sezione IV ha lo scopo di chiarire che l'obbligodel riutilizzo ai sensi della direttiva ISP modificata non pregiudica irequisiti della protezione dei dati e sottolinea l'importanza della "protezionedei dati fin dalla progettazione", della "protezione di default"e delle "valutazioni d'impatto sulla protezione dei dati" per garantire che,prima di rendere disponibili i dati personali per il riutilizzo, ci sipreoccupi delle questioni inerenti alla loro tutela.

La sezione Vfornisce orientamenti, tramite esempi illustrativi, sul tipo di dati personaliche possono rientrare nell'ambito di applicazione della direttiva ISP.

La sezione VIsi sofferma sulle situazioni attualmente più frequenti per il riutilizzo delleinformazioni del settore pubblico, ossia quelle in cui dati statisticiaggregati derivanti da dati personali vengono resi disponibili in formaaggregata e anonima. Tra queste rientrano dati statistici aggregati sui tassidi criminalità, sulla spesa pubblica o sul rendimento scolastico in diverseregioni geografiche o in diversi istituti di istruzione. Dal momento che questesono le situazioni più comuni di riutilizzo di informazioni del settorepubblico contenenti dati personali, una parte considerevole del parere saràdedicata a questi casi, nei quali la preoccupazione principale in materia diprotezione dei dati è quella di garantire un'aggregazione e un'anonimizzazioneefficaci e minimizzare il rischio che qualsiasi dato personale possa essere nuovamenteidentificato all'interno delle serie di dati aggregati.

La sezione VIItratta, meno dettagliatamente, le situazioni in cui i dati personali vengonoresi accessibili al pubblico e, pertanto, sono potenzialmente disponibili peril riutilizzo. BenchÈ attualmente questo scenario non sia il più comune per leiniziative in materia di riutilizzo delle informazioni del settore pubblico, èimportante tenere presente che gli enti pubblici rendono accessibili alpubblico dati personali con frequenza sempre maggiore, spesso su Internet.Sovente si tratta di dati personali direttamente identificabili come, adesempio, informazioni catastali su chi possiede un determinato bene immobile,le dichiarazioni degli interessi o degli emolumenti di taluni 6 dipendentipubblici o le spese dei parlamentari. A questo punto si pone la seguentequestione: in quale misura, con quale finalità, a quali condizioni e con qualigaranzie questi dati possono essere resi disponibili per il riutilizzo? »importante altresì indicare con chiarezza se questi dati ricadano o menonell'ambito di applicazione della direttiva ISP.

In talecontesto, occorre sottolineare che qualunque informazione relativa a unapersona fisica identificata o identificabile, sia tale informazione accessibileo meno al pubblico, costituisce un dato personale. Pertanto l'accesso e ilriutilizzo di dati personali che siano stati resi accessibili al pubblico (peresempio pubblicando i dati su Internet) restano soggetti alla normativaapplicabile in materia di protezione dei dati.

Alcuni altricasi specifici, come quello dei dati della ricerca e la situazione degliarchivi storici, che attualmente rientrano nell'ambito di applicazione delladirettiva ISP, verranno trattati brevemente nelle sezioni VIII e IX.

La sezione Xverte sulla questione delle licenze per il riutilizzo delle informazioni delsettore pubblico e sulla necessità di inserire nelle licenze una clausola diprotezione dei dati, ove opportuno.

Infine, lasezione XI contiene una serie di conclusioni e raccomandazioni.

IV. Non tutti i dati personali "accessibili al pubblico" vanno residisponibili per il riutilizzo

4.1. L'obbligo di riutilizzo ai sensi della direttiva ISP non pregiudicale norme sulla protezione dei dati

Al momentodella sua adozione, nel 2003, la direttiva ISP non imponeva agli enti pubblicil'obbligo di consentire il riutilizzo delle informazioni del settore pubblico.La scelta di autorizzare o meno il riutilizzo veniva lasciata agli Stati membrio agli enti pubblici interessati (fatto salvo il quadro normativo nazionale inmateria di trasparenza e accesso). Il parere 7/2003 è stato adottato alla lucedi questo "non obbligo". La sezione 2 (cc) del parere 7/2003 afferma che "èimportante ribadire che la direttiva sul riutilizzo dei dati non può esserecitata come obbligo normativo, in quanto la direttiva non istituisce l'obbligodi comunicare informazioni personali".

Con lamodifica ISP l'analisi diventa più complessa, ma la conclusione finale noncambia.

A normadell'articolo 3, paragrafo 1, della direttiva ISP modificata, "fatto salvo ilparagrafo 2, gli Stati membri provvedono affinchÈ i documenti cui si applica lapresente direttiva in conformità dell'articolo 1 siano riutilizzabili a finicommerciali o non commerciali conformemente alle condizioni indicate nei capiIII e IV". A meno che il riutilizzo possa essere negato per motivi elencatiall'articolo 1 (motivi inerenti ai regimi nazionali di accesso e, inparticolare, anche motivi di protezione dei dati personali), il riutilizzodev'essere consentito.

Nel contempo,il considerando 21 della direttiva ISP afferma che quest'ultima "dovrebbeessere attuata e applicata nel pieno rispetto dei principi relativi allaprotezione dei dati personali". Inoltre, ai sensi dell'articolo 1, paragrafo 4,la direttiva ISP "non pregiudica in alcun modo il livello di tutela dellepersone fisiche con riguardo al trattamento dei dati personali".

Questedisposizioni, considerate nel loro insieme, in combinato disposto, indicano cheil "principio del riutilizzo" non è automatico nel caso in cui sia in gioco ildiritto alla protezione dei dati personali, nÈ prevale sulle disposizioniapplicabili della normativa in materia di protezione dei dati.

Quando glienti pubblici sono in possesso di documenti che contengono dati personali, illoro 7 riutilizzo ricade nell'ambito di applicazione delladirettiva 95/46/CE e pertanto rimane soggetto alla pertinente normativa inmateria di protezione dei dati.

Diconseguenza, nei casi in cui il riutilizzo coinvolga dati personali, l'entepubblico non può invocare sistematicamente la necessità di osservare ladirettiva ISP come motivo legittimo per rendere disponibili i dati per ilriutilizzo¹⁵.

4.2. L'importanza di una valutazione d'impatto della protezione dei datiprima dell'apertura dei dati per il riutilizzo

Considerati irischi potenziali del riutilizzo delle informazioni del settore pubblico e, inparticolare, il fatto che è molto difficile controllare efficacemente l'uso deidati una volta resi accessibili al pubblico per il riutilizzo, il Gruppo dilavoro "articolo 29" sottolinea la necessità di conformarsi ai principi della"protezione dei dati fin dalla progettazione" e della "protezione di default",garantendo che le questioni inerenti alla protezione dei dati venganoaffrontate già nella fase iniziale. In particolare, il Gruppo di lavoro"articolo 29" raccomanda vivamente agli enti pubblici di effettuare un'accuratavalutazione d'impatto prima di rendere disponibili dati personali per il riutilizzo.Gli Stati membri dovrebbero inoltre considerare la possibilità di rendereobbligatoria tale valutazione d'impatto ai sensi della normativa nazionale o dipromuoverla come buona prassi. In ogni caso, anche se ciò non è espressamentestabilito dalle legislazioni nazionali, prima di divulgare informazioni e didecidere di renderle disponibili per il riutilizzo, gli enti pubblicidovrebbero effettuare una valutazione rigorosa per stabilire se i datipersonali si possano rendere disponibili o meno per il riutilizzo e, in casoaffermativo, a quali condizioni e con quali garanzie specifiche per laprotezione dei dati.

La valutazionedovrebbe, fra l'altro, stabilire una base giuridica per la divulgazione (e unapossibile base giuridica per il riutilizzo), vagliare i principi dellalimitazione delle finalità, di proporzionalità e di minimizzazione dei dati,nonchÈ tenere conto della particolare protezione richiesta per i datisensibili. Nello svolgimento di questa valutazione occorre considerare attentamentel'impatto potenziale sugli interessati.

Questavalutazione deve servire a decidere se e quali dati personali si possanorendere disponibili per il riutilizzo e con quali garanzie¹⁶.Va ribadito che la proposta di regolamento sulla protezione dei dati¹⁷raccomanda e in alcuni casi richiede valutazioni d'impattosulla protezione dei dati in quanto strumento chiave per garantirel'affidabilità dei responsabili del trattamento dei dati.¹⁸

Ove possibile,l'analisi da effettuare prima di decidere in merito al riutilizzo dovrebbebasarsi su un dibattito informato che preveda la rappresentanza delle diverseparti interessate, compreso il responsabile del trattamento dei dati cheintende divulgarli, ma anche coloro che richiedono i dati e pertanto possono fornireun contesto per la discussione, nonchÈ i rappresentanti di coloro i cui datipersonali sono in questione (per esempio, organizzazioni di tutela deiconsumatori, organizzazioni che tutelano i diritti dei pazienti, sindacatidegli insegnanti). Qualora l'esito del dibattito fosse incerto, l'autoritàcompetente per la protezione dei dati e le autorità nazionali responsabili perla libertà di informazione potrebbero fornire orientamenti in merito.

Gli Statimembri dovrebbero inoltre considerare l'idea di istituire e assistere reti diconoscenza e centri di eccellenza, promuovendo in tal modo la condivisione dibuone prassi in fatto di anonimizzazione e di dati aperti. Ciò potrebberisultare particolarmente utile per gli enti pubblici più piccoli, cui potrebberomancare le competenze necessarie per effettuare l'anonimizzazione e lavalutazione d'impatto sulla protezione dei dati, nonchÈ per valutare e testarei rischi di reidentificazione¹⁹.

Infine, siraccomanda vivamente una valutazione d'impatto anche prima di introdurre nuovemisure legislative che richiedano la divulgazione di dati personali.

V. Ambito di applicazione della direttiva ISP: eccezioni per motivi diprotezione dei dati personali

La presentesezione fornisce orientamenti sull'ambito di applicazione della direttiva ISPe, in particolare, sulle eccezioni motivate dalla protezione dei datipersonali.

5.1. Applicabilità del quadro generale sulla protezione dei dati alriutilizzo delle informazioni del settore pubblico

Ilconsiderando 21 della direttiva ISP afferma che quest'ultima "dovrebbe essereattuata ed applicata nel pieno rispetto dei principi relativi alla protezionedei dati personali". Inoltre, ai sensi dell'articolo 1, paragrafo 4, ladirettiva ISP "non pregiudica in alcun modo il livello di tutela delle personefisiche con riguardo al trattamento dei dati personali".

5.2. Eccezioni per motivi di protezione dei dati personali

La direttivaISP "non si applica (ä) ai documenti esclusi dall'accesso in virtù dei regimidi accesso degli Stati membri (ä)"²⁰.

Inoltre, ladirettiva ISP modificata prevede altresì eccezioni per motivi di protezione deidati. L'articolo 1, paragrafo 2, lettera c quater) riguarda le tresituazioni seguenti, tutte escluse dall'ambito di applicazione della direttivaISP:

∑ documenti ilcui accesso è escluso in virtù dei regimi di accesso per motivi di protezionedei dati personali;

∑ documenti ilcui accesso è limitato in virtù dei regimi di accesso per motivi di protezionedei dati personali, e

∑ "parti didocumenti accessibili in virtù di tali regimi che contengono dati personali ilcui riutilizzo è stato definito per legge incompatibile con la normativa inmateria di tutela delle persone fisiche con riguardo al trattamento dei datipersonali".

5.3. Osservazioni generali

Il Gruppo dilavoro sottolinea che, a prescindere dal "principio del riutilizzo" formulatonella modifica ISP, il riutilizzo a qualsiasi scopo commerciale o noncommerciale ai sensi della direttiva ISP non sempre è appropriato, nei casi incui le informazioni del settore pubblico da riutilizzare contengano datipersonali. Sarà necessario decidere caso per caso sul riutilizzo dei datipersonali ai termini della direttiva ISP e introdurre misure giuridiche,tecniche e organizzative supplementari per tutelare le persone interessate.

Il riutilizzodei dati personali disponibili al pubblico è e dev'essere limitato da:

∑ disposizionigenerali della normativa applicabile in materia di protezione dei dati;

∑ restrizionilegali specifiche supplementari (ove applicabili) e

∑ garanzietecniche e organizzative introdotte per proteggere i dati personali.

5.4. Documenti il cui accesso è escluso

Questadisposizione esclude dall'ambito di applicazione della direttiva ISP tutti i documentiil cui accesso è escluso in virtù dei regimi di accesso dello Stato membrointeressato per motivi di protezione dei dati personali.

A differenzadelle leggi sulla protezione dei dati, che in larga misura sono armonizzate inbase alla direttiva 95/46/CE, le leggi sull'accesso alle informazioni divergonoda uno Stato membro dell'UE all'altro. Di norma i regimi di accesso richiedonoun test comparativo per valutare gli interessi tutelati dalla normativa sullaprivacy e le norme in materia di protezione dei dati rispetto ai vantaggidell'apertura e della trasparenza. Considerando le divergenze presenti, il testcomparativo può sortire esiti diversi da uno Stato membro all'altro. Peresempio, in alcuni Stati membri le autorità fiscali possono pubblicare alcuneparti delle dichiarazioni dei redditi dei contribuenti (fatte salve le misuregiuridiche, tecniche e organizzative per minimizzare i rischi di abusi), mentresecondo altri Stati membri queste informazioni rientrerebbero fra le eccezionie in generale dovrebbero rimanere riservate.

Ciò detto, lanormativa nazionale deve osservare l'articolo 8 della Convenzione europea deidiritti dell'uomo ("CEDU") e gli articoli 7 e 8 della Carta dei dirittifondamentali dell'Unione europea ("Carta dell'UE"). Ne consegue, come haaffermato la Corte di giustizia nelle sentenze ÷sterreichischer Rundfunk eSchecke²¹,che si dovrebbe verificare se la divulgazione sia necessaria per realizzare lafinalità legittima perseguita e che non sia sproporzionata alla luce di taleobiettivo.

In ogni caso,se nello Stato membro interessato, a termini di legge, l'accesso ai datipersonali contenuti in un documento è escluso (compresi i casi in cui lanormativa nazionale sulla trasparenza e sull'apertura non prevede l'accessibilitàgenerale dei dati personali in questione), tale accesso risulterà escluso anchedall'ambito di applicazione della direttiva ISP.

Per garantirela certezza del diritto e la trasparenza nei confronti degli interessati, èbuona prassi, ove possibile, adottare un approccio proattivo e definirepreviamente quali dati personali possano essere resi accessibili al pubblico.Al momento della raccolta dei dati si può quindi comunicare agli interessati separte dei dati personali da esse forniti o che saranno ulteriormente sottopostia trattamento durante la procedura amministrativa verrà resa accessibile alpubblico in forza delle leggi sulla libertà di informazione.

5.5. Documenti il cui accesso è limitato

Questadisposizione esclude dall'ambito di applicazione della direttiva ISP tutti idocumenti il cui accesso è limitato in virtù dei regimi di accesso dello Statomembro interessato per motivi di protezione dei dati personali. Anche in questocaso i regimi di accesso nei vari Stati membri possono variare, a seconda deltipo di dati il cui accesso può essere limitato e a seconda del tipo direstrizioni possibili. Alcuni esempi sono i seguenti:

∑ raccolte diarchivi nazionali contenenti dati personali accessibili solo a specifichecondizioni e con garanzie supplementari (cfr. la sezione IX);

∑ raccolte didati della ricerca contenenti dati personali accessibili solo a specifichecondizioni e con garanzie supplementari (cfr. la sezione VIII);

∑ taluneinformazioni contenute in registri pubblici, atti processuali o altri documentiamministrativi contenenti dati personali accessibili esclusivamente a personeod organizzazioni che dimostrino di avere un interesse legittimo, o accessibilisolo ad altre specifiche condizioni e con garanzie supplementari.

5.6. Parti di documenti accessibili il cui riutilizzo è peròincompatibile

Questadisposizione esclude dall'ambito di applicazione della direttiva ISP

∑ parti didocumenti

∑ accessibiliin virtù dei regimi di accesso nazionali

∑ checontengono dati personali "il cui riutilizzo è stato definito per leggeincompatibile con la normativa in materia di tutela delle persone fisiche conriguardo al trattamento dei dati personali".

La suddettadisposizione conferma che, anche nei casi in cui alcuni documenti contengonodati personali che sono pienamente accessibili, il loro riutilizzo puònondimeno essere limitato per motivi di protezione dei dati.

Il Gruppo dilavoro "articolo 29" sottolinea che questa disposizione della direttiva ISP vainterpretata conformemente all'articolo 1, paragrafo 4, della direttiva ISP, inbase al quale essa "non pregiudica in alcun modo il livello di tutela dellepersone fisiche con riguardo al trattamento dei dati personali".

Il Gruppo dilavoro auspica, quale buona prassi, l'adozione di disposizioni legislativespecifiche nella normativa nazionale che definiscano chiaramente (i) quali datirendere accessibili al pubblico, (ii) a quali scopi e, (iii) ove opportuno,specifichino in quale misura e a quali condizioni è consentito il riutilizzo.Tuttavia, anche in mancanza di tali disposizioni specifiche, ciò non significache dati personali accessibili al pubblico possano sempre essere riutilizzatiai sensi della direttiva ISP.

Per contro, inquesti casi la normativa sulla protezione dei dati (applicata unitamente adaltre normative pertinenti, quali la legislazione in materia di accesso aidocumenti) stabilisce se i dati personali possano essere resi disponibili peril riutilizzo nel caso specifico e, in caso affermativo, con quali garanziesupplementari. Se l'esito di questa valutazione è positivo, il riutilizzo èautorizzato, fatte salve le garanzie specifiche in materia di protezione deidati e tutte le altre condizioni stabilite dalla direttiva ISP (nella misura incui non pregiudichino la normativa sulla protezione dei dati). Se l'esito dellavalutazione è negativo, il riutilizzo sarà escluso dall'ambito di applicazionedella direttiva ISP.

Gli esempiseguenti possono servire a illustrare quando si possa applicare tale eccezioneall'ambito di applicazione della direttiva ISP. Nel primo esempio lerestrizioni al riutilizzo sono chiaramente specificate dalla legge.

∑ La normativatributaria di uno Stato membro potrebbe disporre che le dichiarazioni deiredditi di tutti i residenti del paese siano accessibili al pubblico affinchÈqualsiasi altro cittadino possa esaminarle su richiesta presso la sededell'erario, senza che sia necessario dimostrare un interesse legittimo,specificando chiaramente che i dati non possono essere ulteriormente trattati,per esempio pubblicandoli su Internet o combinandoli con altri dati, nÈ possonoessere corretti in un secondo tempo. Un'ONG richiede l'accesso e il diritto diriutilizzare la banca dati delle dichiarazioni dei redditi per pubblicarle sulsuo sito Internet; in questo caso i dati fiscali non rientrano nell'ambito diapplicazione della direttiva ISP e sull'ente pubblico non incombe alcun obbligodi rendere disponibile l'elenco di dati ai sensi della direttiva stessa.

In molti altricasi, tuttavia, le restrizioni legali saranno probabilmente espresse con minorchiarezza e saranno meno categoriche in termini di riutilizzo. In genere, perdiversi registri civili, commerciali e anagrafici, nonchÈ per altre banchedati, è ammessa la consultazione pubblica di dati personali, sempre più spessoin formato digitale e via Internet. L'accessibilità è spesso soggetta agaranzie specifiche, che comprendono restrizioni tecniche alle funzioni diricerca e al download in blocco. » possibile anche richiedere agliutenti di accettare i termini e le condizioni di accesso.

∑ La normativatributaria di uno Stato membro potrebbe disporre che i nominativi dei residentiche hanno avuto debiti d'imposta oltre una determinata soglia per un periodoprolungato vengano pubblicati su un apposito sito Internet, per un periodo ditempo limitato, fatte salve le garanzie tecniche supplementari, comprese lerestrizioni al download in blocco e alle funzioni di ricerca.L'obiettivo di tale pubblicazione è incoraggiare il tempestivo pagamento delleimposte sul reddito penalizzando ulteriormente (dal punto di vista dellareputazione) chi è inadempiente. Un consorzio di banche richiede l'accesso peril riutilizzo al fine di inserire i dati nel proprio sistema di informazione creditizia.

∑ » possibileche in uno Stato membro vigano leggi specifiche nel settore dell'assistenzasanitaria che consentano ai pazienti di verificare su un apposito sito Internetse un 12 determinato medico o un altro professionista del settore sianostati radiati dalla professione, fatte salve le garanzie tecniche, compreserestrizioni al download di massa e alle funzioni di ricerca.Un'organizzazione che tutela i diritti dei pazienti richiede l'accesso alriutilizzo per creare un sito Internet multilingue e di più facileconsultazione per l'accesso agli stessi dati.

∑ » possibileche in uno Stato membro vigano leggi specifiche che impongono la pubblicazionedei nominativi di chi effettua donazioni a partiti politici oltre unadeterminata soglia. Le informazioni che possono rivelare le opinioni politichedel donatore vengono rese pubbliche tramite un apposito sito Internet, fattesalve le garanzie tecniche, comprese restrizioni al download in blocco ealle funzioni di ricerca. Un gruppo attivista richiede l'accesso ai dati inblocco per il riutilizzo ai sensi della direttiva ISP al fine di creare unnuovo sito Internet con caratteristiche supplementari e funzioni di ricercamigliori.

∑ Ilnominativo e l'indirizzo del proprietario di un bene immobile sono pubblicatinei registri catastali di uno Stato membro, ma la consultazione della bancadati accessibile al pubblico è limitata in modo tale che sia possibileeffettuare solo la ricerca di un determinato bene immobile e non di unadeterminata persona. Anche il download in blocco è soggetto arestrizioni. Una società commerciale richiede l'accesso ai dati in blocco aifini del riutilizzo per creare un sito Internet di più agevole consultazione aun prezzo più competitivo.

∑ In uno Statomembro i registri delle imprese consentono l'accesso a una vasta quantità didati personali, compresi nomi, indirizzi e specimen delle firme deidirettori, nonchÈ l'accesso alle informazioni sulla proprietà di determinatitipi di aziende. Vi sono alcune restrizioni per quanto riguarda le funzioni diricerca e il numero dei dati scaricabili. Le informazioni sono rese disponibilitramite un apposito sito Internet e dietro il pagamento di una quota.

Una societàcommerciale richiede l'accesso ai dati in blocco per il riutilizzo al fine dicreare un sito Internet che combini dati provenienti da diversi tipi diregistri e offrire informazioni approfondite a un prezzo più competitivo.

In tuttiquesti casi, l'ente pubblico coinvolto deve effettuare una valutazione d'impattoaccurata sulla protezione dei dati per decidere se le informazioni possanoessere rese disponibili per il riutilizzo ai sensi della direttiva ISP e, incaso affermativo, se la normativa sulla protezione dei dati imponga condizionie garanzie specifiche. Il "principio del riutilizzo" non è automatico nÈ puòprevalere sulle disposizioni applicabili della normativa in materia diprotezione dei dati.

Talevalutazione accurata è quanto mai importante perchÈ, ai sensi della direttivaISP, in linea di principio l'ente pubblico non deve considerare l'identità delriutilizzatore che richiede l'accesso. In base all'articolo 10 (Nondiscriminazione), "le condizioni poste per il riutilizzo non comportanodiscriminazioni per categorie analoghe di riutilizzo".

Inoltre, aisensi dell'articolo 11 (Divieto di accordi di esclusiva), "i documenti possonoessere riutilizzati da tutti gli operatori potenziali sul mercato (ä). Icontratti o gli altri accordi tra gli enti pubblici in possesso dei documenti eterzi non stabiliscono diritti esclusivi".

Pertanto, almomento di decidere se autorizzare o meno il riutilizzo, gli enti pubblicidevono considerare la compatibilità di tale autorizzazione non solo a favoredel richiedente in possesso di una licenza aperta, ma anche a favore dichiunque richieda l'accesso ai dati. Ciò richiede un livello elevato di fiduciache nessuno dei potenziali riutilizzatori possa fare uso illecito dei datipersonali resi accessibili.

La direttivaISP non esclude che i termini e le condizioni possano autorizzare iltrattamento esclusivamente per finalità specifiche. In tal caso l'ente pubblicodeve stabilire se il riutilizzo, per tali finalità, da parte di qualsiasi"operatore potenziale sul mercato" sia compatibile o meno con le finalitàspecificate dall'ente pubblico.

Il potenzialeriutilizzo di informazioni in materia di 13 adempimentofiscale da parte di istituti finanziari, ad esempio, per la stesura direlazioni creditizie, è in tal senso pertinente perchÈ questi istitutirappresentano ancora un potenziale riutilizzatore, in base al test"qualsiasi persona".

Pertanto, pertenere conto delle priorità in materia di protezione dei dati, e in particolareper garantire l'osservanza del principio di limitazione delle finalità, l'entepubblico (o il legislatore) deve avere la possibilità di limitare, ove ciò siapertinente, le finalità del riutilizzo.

VI. Riutilizzo di serie di dati aggregati e resi anonimi derivanti dadati personali

6.1. Quali sono i vantaggi dell'aggregazione e dell'anonimizzazione aifini del riutilizzo delle informazioni del settore pubblico?

Finora leiniziative in materia di riutilizzo delle informazioni del settore pubblicoavviate da enti pubblici mediante "portali di dati aperti" o altre piattaformeavevano l'obiettivo di aggregare e rendere anonimi dati disponibili per ilriutilizzo, anzichÈ i dati personali in sÈ. Questo approccio risulta infattipiù sicuro e andrebbe incoraggiato. Di solito le normative in materia diprotezione dei dati non consentono agli enti pubblici di divulgare datipersonali raccolti con un'altra finalità, in genere di natura amministrativa²².

Perciò, inquesti casi, non è possibile neppure riutilizzarli nell'ambito delle iniziativeriguardanti il riutilizzo di informazioni del settore pubblico. Di solito,anzichÈ i dati personali, sono i dati statistici derivati da quelli personali aessere e a dover essere - in linea di principio - resi disponibili per ilriutilizzo: è la soluzione più efficace per minimizzare i rischi connessi a unadivulgazione involontaria di dati personali.

Queste seriedi dati aggregati e resi anonimi non dovrebbero permettere la reidentificazionedelle persone e, di conseguenza, non dovrebbero contenere dati personali.

Decidere qualelivello di aggregazione possa essere adeguato e quali tecniche specifiche dianonimizzazione adottare è un compito arduo. Se l'aggregazione el'anonimizzazione non vengono eseguite in modo efficace, c'è il rischio che siapossibile risalire nuovamente all'identità delle persone dalle serie di datiaggregati.

Pertanto allanormativa sulla protezione dei dati spetta un ruolo importante nel contribuirea determinare la soglia sotto la quale la pubblicazione di dati resi anonimi eaggregati nell'ambito di un'iniziativa ISP è "sicura".

La direttiva95/46/CE stabilisce una soglia elevata per l'anonimizzazione

Nel presentedocumento il termine "anonimizzazione" si riferisce a dati che non possono piùessere considerati personali ai sensi dell'articolo 2, lettera a), delladirettiva 95/46/CE. Ai sensi del suddetto articolo 2, lettera a), si intendeper "dati personali" "qualsiasi informazione concernente una persona fisicaidentificata o identificabile ("persona interessata"); si consideraidentificabile la persona che può essere identificata, direttamente oindirettamente, in particolare mediante riferimento ad un numero diidentificazione o ad uno o più elementi specifici della sua identità fisica,fisiologica, psichica, economica, culturale o sociale"²³.

Anche ilconsiderando 26 della direttiva 95/46/CE è pertinente a tal fine e precisa che,"per determinare se una persona è identificabile, è opportuno prendere inconsiderazione l'insieme dei mezzi che possono essere ragionevolmenteutilizzati dal responsabile del trattamento o da altri per identificare dettapersona".

Vasottolineato che queste disposizioni fissano una soglia elevata, aspetto cheverrà esaminato più in dettaglio nel presente parere. A meno che, perrispettare tale soglia, i dati possano essere resi anonimi, si continua adapplicare la normativa sulla protezione dei dati.

Ciò significa,tra l'altro, che se la soglia non viene rispettata, la comunicazione delleinformazioni al pubblico (e qualsiasi altro utilizzo) deve essere "compatibili"con le finalità iniziali della raccolta dei dati ai sensi dell'articolo 6,paragrafo 1, lettera b) della direttiva 95/46/CE.

Dev'esserciinoltre una base giuridica appropriata per il trattamento ai sensidell'articolo 7, lettere da a) a f), della direttiva 95/46/CE (per esempio ilconsenso o un obbligo legale). Per contro, se i dati sono stati resi anonimi aisensi dell'articolo 2, lettera a) e del considerando 26 della direttiva95/46/CE, le norme in materia di protezione dei dati non si applicano più ed èpossibile riutilizzare i dati senza dover osservare queste restrizioni.

Occorreribadire nuovamente che, nel presente parere, per "dati resi anonimi" siintendono dati che non sono più considerati personali. In particolare, i datiresi anonimi devono essere distinti dai dati che sono stati manipolatiutilizzando varie tecniche per ridurre i rischi di reidentificazione dellepersone interessate, ma senza raggiungere la soglia stabilita dall'articolo 2,lettera a) e dal considerando 26 della direttiva 95/46/CE24.

In moltesituazioni queste tecniche sono adeguate soltanto se la diffusione è limitataai fini del riutilizzo da parte di terzi sottoposti a controllo, ma non in casodi diffusione pubblica e di riutilizzo con licenza aperta.

» altresìimportante evidenziare che, una volta messi a disposizione i dati per ilriutilizzo, non ha luogo alcun controllo su coloro che possono accedere aidati, per cui le probabilità che "altri" dispongano dei mezzi e li utilizzinoper reidentificare gli interessati aumentano considerevolmente.

Pertanto, e aprescindere dall'interpretazione del considerando 26 in altri contesti, inmerito alla messa a disposizione di dati per il riutilizzo ai sensi delladirettiva ISP, il Gruppo di lavoro "articolo 29" desidera chiarireinequivocabilmente che occorre la massima cura per garantire che le serie didati da comunicare non includano dati che possano essere nuovamenteidentificati con mezzi ragionevolmente utilizzabili da parte di chiunque,potenziali riutilizzatori compresi, ma anche di altri che abbiano interesseall'ottenimento dei dati, comprese le autorità di contrasto.

Altriorientamenti sull'anonimizzazione e sul concetto di dati personali

Per altriorientamenti sull'anonimizzazione e sul concetto di dati personali, cfr. ilparere 4/2007 del Gruppo di lavoro "articolo 29" sul concetto di datipersonali, adottato il 20 giugno 2007 (WP 136). Il Gruppo di lavoro "articolo29" fornirà inoltre ulteriori orientamenti sulle tecniche di anonimizzazionenella seconda metà del 2013 in un documento separato.

6.2. Quali sono le sfide e i limiti dell'anonimizzazione ai fini delriutilizzo delle informazioni del settore pubblico?

Con losviluppo della moderna tecnologia informatica e l'onnipresente disponibilitàdelle informazioni, l'anonimizzazione è un obiettivo sempre più difficile daraggiungere e la reidentificazione delle persone costituisce una minacciasempre più frequente e attuale²⁵.

In pratica sidetermina una zona grigia molto rilevante, generata dal fatto che ilresponsabile del trattamento dei dati, che li rende disponibili, potrebberitenere che una serie di dati sia stata anonimizzata, mentre invece un terzopuò essere in grado di risalire almeno all'identità di alcune persone, peresempio utilizzando altre informazioni accessibili al pubblico o accessibili alterzo stesso.

Uno deifattori di rischio principali è la quantità sempre maggiore di dati online eoffline, sia quelli accessibili al pubblico che quelli concentrati nellemani di organizzazioni commerciali, che possono essere utilizzati perl'elaborazione di profili personali per la pubblicità comportamentale e per unagamma di altre finalità sempre più vasta.

Quando leinformazioni del settore pubblico derivate dai dati personali e resedisponibili per il riutilizzo vengono incrociate con i "megadati", una realtàgià disponibile a queste organizzazioni, potrebbe aumentare la probabilità diidentificazione delle persone o che il loro profilo venga ulteriormentearricchito, spesso a loro insaputa.

6.3. Chi dovrebbe effettuare l'aggregazione e l'anonimizzazione, equando?

L'aggregazionee l'anonimizzazione dovrebbero avvenire quanto prima a cura del responsabiledel trattamento dei dati o di un terzo di fiducia che agisca per conto delresponsabile o di più responsabili (e che sia anche in possesso dellecompetenze specialistiche necessarie).

Il compito dieffettuare l'anonimizzazione non può essere lasciato al riutilizzatore, peresempio come criterio nella concessione di una licenza.

» importantealtresì garantire che l'eventuale organizzazione terza che si occupadell'aggregazione e dell'anonimizzazione non si trovi in conflitto di interessie sia chiaramente responsabile in modo tale da garantire che i dati personalivengano utilizzati esclusivamente per effettuare l'anonimizzazione e sianoadottate tutte le garanzie necessarie a tale scopo.

Il terzo deveinoltre essere in grado di assicurare che i dati personali da cui derivano leserie di dati aggregati e resi anonimi verranno cancellati non appena nonsaranno più necessari per tale finalità.

6.4. Valutare i rischi di reidentificazione

A meno che idati non si possano rendere anonimi ai sensi dell'articolo 2, lettera a) e delconsiderando 26 della direttiva 95/46/CE, si continua ad applicare la normativain materia di protezione dei dati.

I responsabilidel trattamento dovrebbero valutare se una persona possa essere ragionevolmenteidentificata a partire dalla serie di dati "anonimizzata" destinata alriutilizzo e a partire da altri dati. In altre parole si tratta di valutare sequalsiasi organizzazione o persona possa identificarne un'altra a partire daidati divulgati, anche combinandoli con altre informazioni.

Come indicatonella sezione 6.1, il presente parere non ha lo scopo di fornire orientamentiesaurienti e definitivi su come valutare i rischi di reidentificazione, nÈ didare una definizione conclusiva di "anonimizzazione" o di "dati resi anonimi".

Tuttavia, siribadisce che il lettore potrà trovare ulteriori orientamenti nelladocumentazione esistente (compresa quella indicata nella sezione 6.1) e che èin corso il lavoro del sottogruppo "tecnologia" del Gruppo di lavoro "articolo29" sulle tecniche di anonimizzazione, come osservato nella sezione 6.1 e nellasezione 2.2.

Ciò detto, esenza pretesa di esaustività, il Gruppo di lavoro "articolo 29" intendeevidenziare alcuni fattori/concetti utili da tener presente quando si valutanoi rischi di reidentificazione, tra cui, in particolare:

∑ quali altridati sono disponibili, sia al pubblico in generale che ad altre persone odorganizzazioni, e se i dati da pubblicare possano essere correlati ad altreserie di dati;

∑ laprobabilità che venga tentata una reidentificazione (alcuni tipi di datiattirano più di altri i potenziali intrusi), e

∑ laprobabilità che l'eventuale tentativo di reidentificazione abbia successo,considerando l'efficacia delle tecniche di anonimizzazione proposte²⁶.

Quali"altre" informazioni ci sono in giro?

Perdeterminare se una persona possa essere identificata indirettamente occorreconsiderare se l'identificazione sia possibile utilizzando i dati in questione(nel nostro caso la serie di dati "anonimizzati") o sulla base di quei dati edi altre informazioni di cui l'organizzazione o la persona che tenta dieffettuare la reidentificazione è (o potrebbe entrare) in possesso.

Le "altreinformazioni" necessarie per effettuare la reidentificazione potrebbero essereinformazioni accessibili a determinate aziende o ad altre organizzazioni,comprese le autorità preposte all'applicazione della legge o altri entipubblici, oppure a determinate persone o a chiunque perchÈ, per esempio, sonostate pubblicate su Internet.

Un caso ovvioè quello in cui i dati accessibili al pubblico - come le liste elettorali,l'elenco telefonico o altri dati facilmente reperibili con una ricerca in rete- possano essere combinati con i dati (inadeguatamente) "anonimizzati",permettendo l'identificazione di una persona (per esempio utilizzando la suadata di nascita e il suo codice postale).

I rischi direidentificazione possono aumentare quando una persona o un gruppo di personesanno già molte cose di un'altra, per esempio quando si tratta di un lorofamiliare, un collega, un contatto su un social network, un medico, uninsegnante, un agente delle forze dell'ordine o un altro professionista.

Ciò che quiconta, tuttavia, non è soltanto se l'interessato possa essere identificato dachi già lo conosce, bensì se questi riuscirà a saperne di più grazie alleinformazioni ottenute con la reidentificazione.

I due esempiche seguono spiegano l'importanza di questa distinzione.

Primo esempio:statistiche sul morbillo. Supponiamo che dati statistici resi anonimi possanorivelare che nella città A, nel 2012, X persone hanno contratto il morbillo.Non vengono forniti ulteriori suddivisioni nÈ dettagli. Un medico che,trasmettendo informazioni sui suoi pazienti alle autorità sanitarie competenti,ha contribuito alla produzione delle statistiche, possiede nel suo ufficio unadocumentazione più completa su tali pazienti, soggetta al segretoprofessionale. Il medico potrebbe reidentificare facilmente molti dei suoipazienti sulla base dei dati statistici. Analogamente, una madre che sappia chesuo figlio ha contratto il morbillo quell'anno potrebbe facilmentereidentificarlo sulla base di quegli stessi dati. Nondimeno, nÈ la madre nÈ ildottore potrebbero scoprire alcunchÈ che già non sapessero basandosi sui datianonimizzati resi accessibili al pubblico.

Secondoesempio: abuso di droga e alcol, abuso sessuale e rendimento scolastico.L'esempio appena visto può essere confrontato con il seguente. Viene condottauna ricerca sulle relazioni tra l'abuso di droga e alcol da parte dei genitori,l'abuso sessuale ai danni dei minori e il loro rendimento scolastico.

I dati dellaricerca, che si presume siano stati "anonimizzati", vengono pubblicati con lemigliori intenzioni, ma senza una valutazione accurata dei rischi direidentificazione.

Le statisticherivelano, tra l'altro, che nella Scuola A, dove sono iscritti 500 allievi in tutto,nel 2012 il 20% (ossia 100 allievi) ha vissuto in una famiglia in cui almeno ungenitore è alcolista o tossicomane.

Di questiallievi, l'8% (ossia 8 allievi) ha subito abusi sessuali. La relazionespecifica inoltre che non si sono verificati altri abusi sessuali ai dannidegli altri allievi della Scuola A.

I datimostrano inoltre che, nel 96% dei casi (96 allievi), i bambini con genitorialcolizzati o tossicomani hanno avuto difficoltà a scuola (definiti "lentinell'apprendere" in base a standard appropriati di valutazione scolastica), main questa determinata scuola solo il 50% di coloro che hanno subito abusisessuali (4 allievi) hanno avuto gravi difficoltà nello studio.

Nella scuola ènoto che AA, un ragazzo intelligente e studioso, vive in un ambiente familiaredifficile e che sua madre è alcolista. Spesso viene fatto oggetto di prepotenzeda parte dei compagni di scuola. Ora questi stessi compagni, per via dellestatistiche pubblicate sul giornale della scuola, scoprono che AA deve far partedi quel 50% di bambini che hanno subito abusi sessuali che non hanno difficoltàa scuola ("allievi diligenti"). Così scoprono informazioni nuove (e in questocaso molto sensibili) servendosi di una serie di dati che sono stati resianonimi in modo inefficace.

Il rischio chei dati vengano combinati per ottenere informazioni personali aumenta con losviluppo delle tecniche di correlazione dei dati e della potenza dielaborazione e man mano che quantità sempre maggiori di informazionipotenzialmente "abbinabili" vengono rese accessibili al pubblico.

Infatti, ognianno la potenza di elaborazione raddoppia e i dati memorizzati, anche per viadella disponibilità di servizi di cloud, possono diventare una merce.

Pertanto, nonsi può prevedere il rischio di reidentificazione mediante la correlazione deidati perchÈ in nessun caso è possibile valutare con certezza quali dati sianogià disponibili o quali dati potranno essere pubblicati in futuro.

Nonostantetutte queste incertezze, di solito i rischi di reidentificazione si possonoridurre, almeno fino a un certo punto, attenendosi al principio diminimizzazione dei dati, ovvero garantendo che vengano pubblicati solo i datinecessari per una particolare finalità.

La probabilitàche il tentativo di reidentificazione abbia successo: il test dell'"intrusomotivato"

Il testdell'"intruso motivato" è un concetto emergente che deve essere ancoracollaudato a fondo, e che può essere utile per determinare:

∑ se unapersona abbia motivo di effettuare una reidentificazione e

∑ se siapossibile/probabile che la reidentificazione avvenga con successo.

Il testdell'intruso motivato consiste in sostanza nel valutare se un "intruso" sarebbein grado di effettuare la reidentificazione se è motivato a tentarla.

L'"intrusomotivato" è una persona (o un'organizzazione) che vuole identificarel'individuo dai cui dati personali sono derivati i dati resi anonimi. Questotest ha l'obiettivo di valutare se l'intruso motivato possa riuscire nel suointento.

Si presume chel'"intruso motivato" sia competente e abbia accesso a risorse commisurate allamotivazione che lo spinge ad effettuare la reidentificazione. Alcuni tipi didati possono attrarre più di altri un "intruso motivato". Per esempio, ingenerale un intruso potrebbe essere più motivato a reidentificare datipersonali se questi:

∑ possiedonoun valore commerciale importante (anche sul mercato nero o al di fuoridell'Unione europea) e pertanto si possono acquistare e vendere a scopo dilucro²⁷;

∑ possonoessere utilizzati a fini di intelligence o di contrasto;

∑ rivelanoinformazioni degne di nota su personaggi pubblici;

∑ possonoessere utilizzati a fini politici o propagandistici (per es. nell'ambito di unacampagna contro una determinata organizzazione o persona);

∑ sipresterebbero ad essere utilizzati per motivi personali con intenzioni malevole(per es. stalking, molestie, bullismo, o anche solo per mettere inimbarazzo qualcuno);

∑ potrebberodestare curiosità (per es. un abitante della zona vuole scoprire chi è statocoinvolto in un reato riportato su una mappa del crimine).

Pur essendoutile analizzare a fondo le possibili motivazioni dei potenziali intrusi, ilGruppo di lavoro "articolo 29" fa presente che questo approccio presenta anchelimiti considerevoli:

∑ l'analisirischia di essere in parte speculativa;

∑ in assenzadi "elementi motivanti" ovvi come quelli sopra descritti, l'analisi puòingenerare false sicurezze e potrebbe indurre a credere che i dati personalirelativamente innocui possano essere resi disponibili per il riutilizzo senzaun'efficace anonimizzazione;

∑ ci possonoessere intrusi sofisticati e innovativi, "con una marcia in più", che scopronofinalità di utilizzo di dati resi anonimi che non sono evidenti per gli altri;

∑ con lacrescente tendenza all'analisi di "megadati", aumenta il rischio che, una voltaresi anonimi, dati apparentemente innocui possano fondamentalmente comportarerischi più gravi qualora vengano combinati con altre informazioni.

6.5. Il test di reidentificazione

In alcunecircostanze può essere difficile determinare il rischio di reidentificazione,in particolare quando c'è la possibilità che un terzo si serva di metodistatistici complessi per abbinare diversi dati anonimizzati. Pertanto, nel quadrodi una valutazione globale per individuare il rischio di reidentificazione, èbuona prassi ricorrere al test di reidentificazione - una sorta di test dipenetrazione - per rilevare e risolvere le vulnerabilità. Questo test consistenel tentare di reidentificare alcune persone all'interno delle serie di datiche si prevede di divulgare.

Nella primafase del test si dovrebbe fare il punto della situazione sulle serie di datiche l'ente ha pubblicato o intende pubblicare. Nella fase seguente si cerca dideterminare quali altri dati disponibili - personali o meno - potrebbero esserecorrelati ai dati suddetti per effettuare la reidentificazione. Ci si serve inparticolare di "test di penetrazione" mirati per valutare quali siano i rischidella jigsaw identification, che consiste nel mettere insieme varieinformazioni per ottenere un profilo più completo di qualcuno.

Naturalmente,il test di reidentificazione non va considerato una panacea, nÈ deve ingenerareun falso senso di sicurezza. Innanzitutto potrebbe essere difficile da eseguireperchÈ richiede competenze tecniche elevate e strumenti adeguati, nonchÈ laconoscenza degli altri tipi di dati che potrebbero essere disponibili. Insecondo luogo, i responsabili del trattamento dei dati devono essere ancheconsapevoli che il rischio di reidentificazione può variare nel tempo.

Per esempio,oggi sono a disposizione strumenti e tecniche di analisi dei dati sempre piùpotenti e abbordabili e la correlazione con altre serie di dati diventa semprepiù facile, man mano che vengono generate quantità sempre maggiori di dati.Pertanto le organizzazioni dovrebbero rivedere periodicamente le loro politichein materia di pubblicazione dei dati e le tecniche utilizzate per renderlianonimi. Inoltre non bisognerebbe mai basare le proprie decisioni soltanto suminacce attuali, ma anche su minacce future prevedibili.

Una voltavalutati i rischi di reidentificazione in base alle indicazioni fornite nellasezione 6.4, e - ove necessario - dopo aver effettuato il test di reidentificazione,l'ente pubblico può stabilire se la serie di dati si possa considerareanonimizzata o meno, in altre parole se non contenga più alcun dato personaleai sensi dell'articolo 2, lettera a) e del considerando 26 della direttiva95/46/CE. In tal caso, la serie di dati può essere divulgata senza esseresoggetta a restrizioni in materia di protezione dei dati²⁸.

D'altra parte,se un test dà esito positivo, tali dati non possono (o non possono più) essereresi disponibili come dati anonimizzati, ma devono essere considerati datipersonali (e, pertanto, potrebbero non essere pubblicabili o potrebbero esserloesclusivamente fatti salvi i requisiti discussi nella sezione VII).

6.6. Ritiro di serie di dati compromesse

Nel caso incui sia stata accertata l'avvenuta reidentificazione di dati a partire da unaserie di dati aperti, l'ente pubblico da cui provengono deve essere in grado didisattivare il flusso di informazioni o di rimuovere quella serie di dati dalsito Internet. Se opta per la seconda possibilità, l'ente pubblico deve ancheinformare i riutilizzatori, avvertendoli di interrompere il trattamento ecancellare tutti i dati appartenenti alla serie di dati compromessa. PoichÈinformare tutti i riutilizzatori sarà difficile nel regime di licenza apertarichiesto dalla direttiva ISP, gli enti pubblici sono tenuti ad attuareprovvedimenti ragionevolmente efficaci per affrontare il problema. Il ritirodei dati può rivelarsi una soluzione troppo tardiva per evitare danni, ma è unatto necessario che contribuisce a ridurre qualunque ripercussione negativa neiconfronti degli interessati.

VII. Apertura di dati personali per il riutilizzo

7.1. Esempi di dati personali accessibili al pubblico divulgati da entipubblici

Se la messa adisposizione di serie di dati resi anonimi rappresenta la situazione tipicanelle iniziative in materia di riutilizzo delle informazioni del settorepubblico, in alcuni casi gli enti pubblici possono anche mettere a disposizionedati personali per il riutilizzo.

Molti registriaccessibili al pubblico, come quelli catastali o delle imprese, contengonograndi quantità di dati personali e sempre più spesso, per via di iniziative die-governement, sono disponibili anche in rete.

Ci sono moltialtri esempi in cui i legislatori di determinati Stati membri 20 hannostabilito una base giuridica per la messa a disposizione di dati personali inInternet o di documenti accessibili su richiesta. Tali documenti possonoincludere, per esempio²⁹:

∑ note spese,stipendi o dichiarazioni sui conflitti di interessi di taluni funzionaripubblici o beneficiari di aiuti di Stato (per esempio, sovvenzioniall'agricoltura);

∑ nominatividi organizzazioni o di persone che effettuano donazioni a partiti politici;

∑ dichiarazionidei redditi di persone fisiche³⁰;

∑ decisionigiudiziarie (contenenti i nomi delle parti o di altre persone, talvoltacancellate o sostituite dalle iniziali per ridurre il rischio direidentificazione);

∑ listeelettorali;

∑ ruoli erepertori di tribunali (per es. il calendario delle cause da trattare dinanzial tribunale in determinati giorni).

In ciascuno diquesti casi gli enti pubblici o i legislatori possono considerare in modoproattivo se intendano rendere questi dati disponibili per il riutilizzo (peresempio per migliorare servizi pubblici quali la fornitura di accesso alregistro catastale o al registro delle imprese).

I potenzialiriutilizzatori possono inoltre contattare gli enti pubblici per chiedere ilriutilizzo dei dati. In alcuni altri casi è anche possibile che i potenzialiriutilizzatori si limitino a prendere i dati personali che sono già disponibilionline e li usino senza dover necessariamente contattare l'ente pubblicoche li ha diffusi. In tutti e tre i casi, i riutilizzatori devono ovviamenteattenersi alla normativa in materia di protezione dei dati perchÈ stannogestendo dati personali.

7.2. Differenze nei regimi di accesso nazionali

Gli obblighilegali in materia di pubblicazione di determinati dati personali variano considerevolmenteda uno Stato membro all'altro per via delle differenti tradizioni giuridiche eculturali. In alcuni Stati membri esiste una base giuridica per la messa adisposizione di determinati dati personali, mentre altri vietano la diffusionedegli stessi dati nella stessa situazione. La direttiva ISP ammette e affermachiaramente di basarsi sui regimi di accesso esistenti negli Stati membri e nonmodifica le norme nazionali in materia di accesso ai documenti³¹.

7.3. L'esigenza di una valutazione d'impatto sulla protezione dei dati edi garanzie adeguate

Di norma,quali che siano i dati personali che si prevede di rendere disponibili per ilriutilizzo, è assolutamente necessario un approccio cauto.

Inparticolare, il Gruppo di lavoro "articolo 29" raccomanda di effettuareun'accurata valutazione d'impatto sulla protezione dei dati prima dipubblicarli (o prima di introdurre una misura legislativa che ne richieda lapubblicazione), valutando anche le possibilità e il potenziale impatto delriutilizzo. In generale, occorre evitare l'apertura di dati personali per ilriutilizzo, in regime di licenza aperta, senza alcuna restrizione tecnica nÈlegale.

7.4. L'importanza di un regime di licenze

Inoltre, ilGruppo di lavoro "articolo 29" raccomanda l'introduzione di un regime dilicenze rigoroso, che dev'essere anche adeguatamente applicato per garantireche i dati personali non vengano utilizzati per finalità incompatibili, peresempio per messaggi commerciali non richiesti, o ancora in un modo che le personeinteressate reputerebbero inaspettato, inadeguato o inaccettabile.

7.5. L'importanza di una base giuridica solida per la pubblicazione e ilriutilizzo

Il Gruppo dilavoro "articolo 29" ribadisce l'importanza di stabilire una base giuridicasolida per la messa a disposizione al pubblico di dati personali, considerandole norme pertinenti in materia di protezione dei dati, tra cui il principio diproporzionalità, di minimizzazione dei dati e di limitazione delle finalità.

Il Gruppo dilavoro raccomanda inoltre che qualsiasi normativa che richieda l'accessopubblico a una serie di dati specifichi con chiarezza le finalità delladiffusione di dati personali. Se ciò non avvenisse, o avvenisse solo in terminivaghi e generici, ne deriverebbe un pregiudizio per la certezza e laprevedibilità del diritto.

Inparticolare, in merito a qualsiasi richiesta finalizzata al riutilizzo, sarebbemolto difficile per l'ente pubblico e i potenziali riutilizzatori interessatistabilire quali fossero gli scopi iniziali previsti della pubblicazione e,conseguentemente, quali altri scopi sarebbero compatibili con quelli iniziali.

Come è giàstato affermato, anche se vengono pubblicati dati personali su Internet, non èdetto che tali dati possano essere ulteriormente trattati per ogni finalitàpossibile. In questi casi, ogni ulteriore riutilizzo deve avere una basegiuridica adeguata (per esempio il consenso o l'obbligo legale) ai sensidell'articolo 7, lettere da a) a f), della direttiva 95/46/CE ed essereconforme a tutti gli altri principi in materia di protezione dei dati.

7.6. Limitazione delle finalità

Nel caso delriutilizzo delle informazioni del settore pubblico, applicare il principio dilimitazione delle finalità in modo efficace è un compito arduo. Da una parte,l'idea centrale nonchÈ l'elemento trainante dell'innovazione alla base delconcetto di "dati aperti" e del riutilizzo delle informazioni del settorepubblico risiedono nel fatto che le informazioni debbano essere disponibili peril riutilizzo per nuovi prodotti e servizi innovativi e, di conseguenza, perfinalità non previamente definite e non chiaramente prevedibili. La direttivaISP prevede inoltre che le licenze non limitino indebitamente le possibilità diriutilizzo.

D'altra parte,la limitazione delle finalità è un principio fondamentale per la protezione deidati e comporta che i dati personali raccolti per una finalità specifica nonpossano essere riutilizzati per un'altra finalità incompatibile³².Questo principio si applica parimenti ai dati personali accessibili alpubblico. Il semplice fatto che i dati personali siano accessibili al pubblicoper una finalità specifica non significa che tali dati siano aperti alriutilizzo per qualsiasi altra finalità.

Per esempio,le spese effettuate da alti funzionari pubblici vengono pubblicate su Internetper garantire la trasparenza, ma consentire il riutilizzo a favore di qualsiasimembro del pubblico per altre finalità potrebbe non risultare compatibile conil principio in questione.

Come espostopiù dettagliatamente nel parere 3/2013 del Gruppo di lavoro "articolo 29",sulla limitazione delle finalità (cfr. la sezione III.2.2 e l'allegato 1), pervalutare se il trattamento di dati personali sia incompatibile con le finalitàper cui tali dati sono stati raccolti occorre una valutazione basata su piùelementi. Occorre, in particolare, prendere in considerazione:

(a) ilrapporto tra le finalità per cui i dati sono stati raccolti e le finalità di unulteriore trattamento;

(b) ilcontesto in cui i dati personali sono stati rilevati e le ragionevoliaspettative degli interessati in merito al loro ulteriore utilizzo;

(c) la naturadei dati personali e l'impatto dell'ulteriore trattamento sulle personeinteressate;

(d) legaranzie applicate dal responsabile per garantire un trattamento corretto eprevenire qualsiasi impatto indebito sulle persone interessate.

Questielementi fondamentali devono essere valutati prima di decidere se renderepubblici dati personali di qualsiasi tipo e ogni volta che i dati personaliverranno riutilizzati. Si forniscono qui di seguito alcuni esempi:

∑ un entepubblico divulga informazioni di contatto, tra cui nominativi, cariche,indirizzi e numeri di telefono di servizio dei propri dipendenti pubblici in unelenco. L'ovvia (benchÈ non espressamente definita) finalità dell'elenco èaiutare il pubblico a individuare le persone alle quali rivolgersi perrichieste e altre funzioni d'ufficio.

Supponiamo cheun riutilizzatore desideri "rastrellare" il contenuto di questo elenco,combinarlo con gli indirizzi e i numeri di telefono di casa dei dipendenti (nelcaso in cui siano accessibili al pubblico, per esempio in un elenco telefonico)e pubblicare gli indirizzi e i numeri telefonici di casa e di servizio su unamappa interattiva per avere una visione globale dei luoghi in cui diversifunzionari pubblici vivono e lavorano. Combinare e riutilizzare i dati inquesto modo è da considerarsi incompatibile con la finalità iniziale.

Un'impiegatapubblica i cui contatti di servizio siano stati divulgati affinchÈ il pubblicopossa rivolgersi a lei non potrebbe ragionevolmente aspettarsi che quelleinformazioni siano state successivamente combinate con altri dati che lei hareso accessibili al pubblico per finalità non connesse al suo lavoro;

∑ in alcuniStati membri, ai sensi della normativa nazionale, le pubblicazioni dimatrimonio sono pubbliche e possono essere consultate da tutti, allo scopo dinotificare la volontà della coppia di fidanzati di sposarsi e permettere allepersone che ne abbiano interesse di opporsi. Il fatto che i dati personalicontenuti nelle pubblicazioni siano accessibili a chiunque, tuttavia, nonpermette a terzi di utilizzare tali informazioni per inviare alla coppiacomunicazioni commerciali. Questo ulteriore utilizzo sarebbe incompatibile conlo scopo dell'affissione delle pubblicazioni, ossia permettere la presentazionedi eventuali opposizioni al matrimonio, come previsto dalla legge.

7.7. Finalità commerciali e finalità non commerciali

Il parere 7/2003sottolinea che le attività commerciali costituiscono l'incentivo principale alriutilizzo delle informazioni del settore pubblico, a differenza dell'accessoai dati, in cui la finalità delle leggi sulla libertà d'informazione è quelladi garantire la trasparenza, l'apertura e la responsabilità nei confronti deicittadini.

Il parere7/2003 afferma inoltre che "generalmente i dati richiesti [dai cittadini] sonoutilizzati a fini personali e non commerciali". Quest'affermazione vaaggiornata alla luce dell'esperienza maturata nel frattempo in fatto diriutilizzo delle informazioni del settore pubblico e con le iniziative sui datiaperti, esperienza che ha dimostrato che il riutilizzo delle informazioni delsettore pubblico può anche contribuire significativamente ad aumentare latrasparenza e l'affidabilità e a migliorare l'uso dei servizi pubblici.

La distinzionetra riutilizzo per finalità commerciali e riutilizzo per finalità noncommerciali non dovrebbe essere determinante per stabilire la compatibilitàdell'utilizzo ulteriore di dati personali, nÈ la valutazione di compatibilitàdovrebbe dipendere principalmente dal fatto che il modello economico di unpotenziale riutilizzatore si basi o meno sul profitto.

Ciò cheoccorre valutare attentamente è, piuttosto, se le finalità e il modo in cui idati vengono ulteriormente trattati siano compatibili con le finalità inizialiin base ai criteri citati nella sezione 7.6.

In riferimentoal riutilizzo delle informazioni del settore pubblico, si dovrà inevitabilmenteconsiderare una serie di scenari possibili di trattamento, anzichÈ uno solo.

7.8. Proporzionalità e altre priorità

Un altroprincipio fondamentale sancito dalla direttiva 95/46/CE è quello dellaproporzionalità³³.Per rendere accessibili al pubblico dei dati personali si può fare ricorso atutta una serie di diversi metodi e modalità; taluni possono risultare piùinvadenti di altri e comportare rischi maggiori. Di conseguenza, alcunesoluzioni possono essere considerate proporzionate allo scopo e altre no.

Per quantoriguarda la finalità, è problematico stabilire come controllare l'ulterioretrattamento dei dati e garantire il rispetto degli altri principi stabilitidalla normativa sulla protezione dei dati, ivi compreso, ma non solo, quello dellaproporzionalità. Una volta resi accessibili i dati al pubblico, specialmente suInternet, è molto difficile limitarne efficacemente l'utilizzo e garantirel'osservanza delle norme in materia di protezione dei dati.

Qui di seguitosono elencate alcune priorità legate all'osservanza della normativa sullaprotezione dei dati:

∑ garantirel'aggiornamento e l'accuratezza dei dati non collegati alla fonte originaria diprovenienza;

∑ garantireche l'uso dei dati personali resti limitato alle funzionalità previste per loscopo iniziale della pubblicazione;

∑ garantire latempestiva cancellazione dei dati se la pubblicazione dei dati personali eraprevista solo per un periodo di tempo limitato³⁴;

∑ garantirel'esercizio dei diritti soggettivi relativamente ai dati personali residisponibili per il riutilizzo (compreso il diritto di richiederne lacorrezione, l'aggiornamento o la cancellazione).

7.9. Restrizioni legali e/o tecniche al riutilizzo

Talvolta, lanormativa o le caratteristiche tecniche dei sistemi pongono limiti adoperazioni di trattamento specifiche o istituiscono altre garanzie che limitanol'uso dei registri pubblici (eventualmente riducendo la possibilità discaricare l'intero contenuto del registro o limitando le query diricerca, per esempio quelle basate sul nome e sul cognome di una persona). Inquesto caso il riutilizzo andrebbe consentito, in linea di principio, solo inconformità con queste restrizioni e condizioni specifiche.

In talecontesto è fondamentale considerare attentamente quali misure - sia giuridicheche tecniche - si possano introdurre per contribuire a garantire che venganorispettate le priorità in fatto di protezione dei dati, comprese quelleindicate nella sezione 7.8.

»particolarmente importante considerare la modalità di accesso dei dati per iriutilizzatori - per esempio tramite una funzione di download in bloccoo un'interfaccia personalizzata con possibilità di accesso limitato e soggettea determinate condizioni. A questo proposito è di importanza cruciale laquestione dei controlli di sicurezza supplementari che verranno adottati, comead esempio un sistema di verifica "captcha³⁵"per impedire l'accesso automatizzato e minimizzare il rischio che qualcuno siimpossessi dell'intera banca dati.

L'uso dimisure tecniche specifiche potrebbe contribuire a ridurre l'abuso dei datipersonali e gli effetti negativi sugli interessati, che potrebbero altrimentiverificarsi se i riutilizzatori avessero accesso illimitato e incondizionato aintere serie di dati.

Vasottolineato che in molti casi può essere necessario garantire che iriutilizzatori possano effettuare solo ricerche mirate mediante l'uso ditecnologie finalizzate ad impedire i download in blocco di dati, peresempio tramite interfacce di programmazione per applicativi (API) progettatesu misura. In tal modo si può cercare di garantire la proporzionalitàdell'utilizzo e ridurre i rischi di abusi su intere banche dati.

Inoltre,queste interfacce personalizzate possono anche servire a garantire che i datisiano costantemente aggiornati e non siano più disponibili tramite le API unavolta che l'ente pubblico che gestisce la banca dati decida in tal senso.D'altra parte, queste tecnologie rischiano di limitare i modi in cui èpossibile riutilizzare i dati.

7.10. Accuratezza, aggiornamenti e cancellazione

Un altroproblema specifico è costituito da ciò che accade nel caso in cui venganopubblicati (o comunque resi accessibili al pubblico) dati personali soltantoper un periodo di tempo limitato.

L'articolo 6,paragrafo 1, lettera e) della direttiva 95/46/CE prevede che i dati personalisiano conservati in modo da consentire l'identificazione degli interessati perun arco di tempo non superiore a quello necessario al conseguimento dellefinalità per le quali sono rilevati o sono successivamente trattati.

Inoltre, inbase al considerando 18 della direttiva ISP, "se l'autorità competente decidedi non rendere più disponibili per il riutilizzo determinati documenti, o diterminarne l'aggiornamento, essa deve tempestivamente rendere pubbliche talidecisioni, possibilmente per via elettronica". Tuttavia è difficile, talvoltaimpossibile, accertarsi che i dati vengano cancellati o rimossi, una voltapubblicati e resi disponibili per il riutilizzo.

A questoriguardo, potrebbe costituire una soluzione (benchÈ assolutamente nondefinitiva) la messa a disposizione dei dati in formato scaricabile solotramite API personalizzata e fatte salve determinate restrizioni e misure disicurezza, come si è osservato sopra.

VIII. Dati della ricerca

Inquest'ambito è importante distinguere tra la pubblicazione di dati resianonimi, da una parte (cfr. la sezione VI), e l'accesso limitato, dall'altra. »chiaro che, per i dati aperti, la pubblica disponibilità dei dati è essenziale.Tuttavia, molta ricerca (soprattutto quella scientifica, sia per finalitàcommerciali che non commerciali, ma anche altri tipi di ricerca) si svolgetramite la pubblicazione di dati all'interno di una comunità chiusa, in cui peresempio un numero limitato di ricercatori o di istituti ha accesso ai dati ed èpossibile limitare l'ulteriore divulgazione o utilizzo dei dati, nonchÈgarantirne la sicurezza.

L'accessolimitato è particolarmente importante per il trattamento dei dati personali(spesso in forma pseudonimizzata³⁶)provenienti da fonti sensibili o dove sussistano forti rischi direidentificazione. I rischi possono sussistere anche in caso di divulgazionecon accesso limitato, ma sono minori ed è possibile ridurli più agevolmente sei dati sono divulgati all'interno di una comunità chiusa che opera con normestabilite.

Un problemacon cui spesso si confrontano coloro che trattano dati a scopi di ricerca è ilfatto, da una parte, di volere che i dati siano abbondanti, granulari esufficientemente utilizzabili per le proprie finalità, e dall'altra di volergarantire che non si verifichi la reidentificazione delle persone.

In uno dei duecasi estremi della gamma di possibili situazioni, i dati pseudonimizzati alivello di persone singole (per esempio semplici dati codificati) possonorivelarsi preziosissimi per i ricercatori per via della loro granularitàestremamente elevata e perchÈ i dati pseudonimizzati provenienti da fontidiverse si possono abbinare con relativa facilità.

Tuttavia, ciòsignifica anche che il rischio di reidentificazione è elevato: la possibilitàdi ricollegare più serie di dati (pseudonimizzati o meno) alla stessa personapotrebbe preludere all'identificazione o persino permettere l'identificazionediretta.

» pertantonecessario garantire un livello di controllo più elevato e adottare ulterioricautele prima di pubblicare o di rendere disponibile per il riutilizzoqualsiasi serie di dati pseudonimizzati. In generale, più i dati sonodettagliati, collegabili e riferiti a singoli individui, più l'accesso andrebbelimitato e controllato. Più i dati sono aggregati e meno collegabili, piùsaranno pubblicabili e adatti ad essere messi a disposizione per il riutilizzosenza che ciò comporti rischi significativi.

Si tratta diun settore complesso e in evoluzione e non sarebbe opportuno escluderecategoricamente la pubblicazione e il riutilizzo di tutte le serie di dati aldi sotto della soglia elevata di "anonimizzazione" descritta nella sezione VI.

Ciò detto, eper quanto rimanga indispensabile effettuare una valutazione accurata eun'analisi caso per caso, come regola pratica, il Gruppo di lavoro "articolo29" ritiene che, in generale, spesso non sia opportuna la pubblicazione aisensi della direttiva ISP di serie di dati riferiti a singole persone o dialtre serie di dati che comportino forti rischi di reidentificazione.

Inoltre èimportante sottolineare che, qualora dovessero comunque essere pubblicate erese disponibili tali serie di dati, previa accurata valutazione dei rischi edei vantaggi, la divulgazione e qualsiasi ulteriore riutilizzo andrebberoeffettuati nel pieno rispetto della normativa sulla protezione dei dati (cfr.la sezione VII).

Ciò perchÈquesti dati, malgrado l'adozione di alcune misure (spesso molto sofisticate)per ridurre il rischio di reidentificazione, continuano nondimeno ad essereconsiderati dati personali.

IX. Archivi storici

Anche i museie gli archivi storici presentano caratteristiche specifiche che richiedonogaranzie specifiche. In molti casi, e a seconda di elementi quali l'età e lasensibilità dei dati, e del contesto in cui si situa la raccolta, si offronoaltre soluzioni, (come l'accesso limitato soggetto esclusivamente agli obblighidi riservatezza) che possono rivelarsi più adeguate della digitalizzazione edella messa a disposizione dei dati in rete per il riutilizzo senzalimitazioni.

Riguardo agliarchivi, è importante altresì evidenziare che, per quanto la sensibilità deidati diminuisca col passare del tempo, la pubblicazione impropria di datipluridecennali potrebbe sortire un effetto gravemente negativo non solo sullapersona direttamente interessata, ma anche su altre, come i suoi familiari o idiscendenti.

Ciò èparticolarmente vero nel caso di dati molto sensibili. Per esempio, lapubblicazione dei precedenti penali di una persona farebbe perdurare lastigmatizzazione nei suoi confronti e ne ostacolerebbe il reinserimento nellasocietà.

Inoltre,informazioni in base alle quali si scopre che una persona deceduta era un agentesegreto o collaborava con un regime repressivo, era un pedofilo, un criminale osoffriva di una malattia mentale legata a pregiudizi o di una malattiaereditaria, possono tutte avere un impatto negativo sulla famiglia (per es. perla vedova, i figli o altri discendenti) del defunto.

Anche per icampioni di DNA di persone decedute, talvolta conservati negli archivi distrutture sanitarie pubbliche, potrebbe essere necessaria la protezione permotivi analoghi. Pertanto informazioni di questo tipo, anche se relative apersone defunte, possono richiedere la protezione ai sensi di normative inmateria di tutela dei dati e/o di altri diritti fondamentali, a seconda deicasi.

Spesso gliStati membri hanno leggi specifiche che disciplinano l'accesso agli archivinazionali, ad archivi di periodi storici recenti di particolare interesse (comearchivi che testimoniano la collaborazione con regimi repressivi) e agli attiin possesso degli organi giudiziari³⁷.

Spesso questeleggi dispongono adeguate misure di sicurezza e restrizioni all'accesso, nonchÈaltre garanzie volte a equilibrare gli interessi in gioco e a garantirel'accessibilità di determinati dati personali per ricerche storiche, latrasparenza e l'attività giornalistica, assicurando nel contempo che la lorodivulgazione, ove necessaria, sia soggetta a restrizioni al fine di nonarrecare pregiudizio alla vita privata, alla vita familiare e alla dignitàdelle persone interessate.

Per quantoriguarda la "limitazione delle finalità", va osservato che normalmente gliarchivi storici immagazzinano informazioni per finalità di ricerca storica.Queste finalità sono differenti da quelle originarie per cui i dati sono statiraccolti. I materiali che, in ultima analisi, finiscono nelle collezioni degliarchivi erano stati inizialmente approntati da diversi enti pubblici perfinalità amministrative specifiche.

Di norma, dopoun determinato periodo, quando il documento non è più necessario per lefinalità amministrative originarie, viene attuato un processo di selezione conil quale i documenti ritenuti di valore "storico" vengono trasferiti agliarchivi storici. A questo punto si pone la domanda su quali siano le finalità percui i dati personali contenuti negli archivi dovrebbero essere disponibili peril riutilizzo.

In talecontesto, è importante effettuare una valutazione accurata, considerando nonsolo la potenziale importanza della messa a disposizione di materiale d'archivioper il riutilizzo, ma anche l'impatto potenziale per i diritti, le libertà e ladignità delle persone interessate.

Nel complessosi può concludere che, mentre la digitalizzazione di determinati archivi checontengono dati personali e la loro messa a disposizione per il riutilizzopossono essere opportune in talune situazioni e alcuni dati possono ancheessere pubblicati in forma anonima, in altri casi è d'importanza fondamentaleprevedere restrizioni alla divulgazione e al riutilizzo di dati personali eadottare misure di sicurezza adeguate per proteggerli.

Una rigorosavalutazione d'impatto sulla protezione dei dati dovrebbe garantire che nonvengano messe a disposizione collezioni di archivi ai fini del riutilizzo, ameno che non si escluda qualsiasi impatto negativo sulle persone interessate oche rischi di questo tipo non vengano ragionevolmente ridotti al minimo. Ilsettore degli archivi potrebbe inoltre considerare l'idea di elaborare codicidi condotta o di modificare quelli esistenti per diffondere buone prassi.

X. Concessione di licenze per il riutilizzo di dati personali

10.1. Disposizioni pertinenti della direttiva ISP

Conformementeal considerando 15 della direttiva ISP, "affinchÈ possa svilupparsi un mercatodelle informazioni esteso all'intera Comunità è indispensabile far sì che lecondizioni di riutilizzo dei documenti del settore pubblico siano chiare eaccessibili a tutti. Tutte le condizioni poste per il riutilizzo dei documentidovrebbero pertanto essere esposte chiaramente ai potenziali riutilizzatori.

Gli Statimembri dovrebbero incoraggiare la creazione di indici accessibili online, sedel caso, dei documenti disponibili in modo da promuovere ed agevolare lerichieste di riutilizzo".

Ilconsiderando 26 della modifica ISP stabilisce inoltre che "in relazione alriutilizzo di un documento, gli enti pubblici possono imporre condizioni alriutilizzatore, se del caso tramite una licenza (ä)"; inoltre "gli Stati membridovrebbero, se del caso, promuovere l'impiego di formati aperti leggibilimeccanicamente".

Oltre a ciò,ai sensi dell'articolo 8, paragrafo 1, "gli enti pubblici possono autorizzareil riutilizzo incondizionato o possono imporre condizioni, se del caso medianteuna licenza. Tali condizioni non riducono indebitamente le possibilità diriutilizzo e non sono utilizzate per limitare la concorrenza".

10.2. Concessione di licenze e protezione dei dati

Le licenzerappresentano un aspetto centrale del regime di informazione del settorepubblico. Esse possono anche incidere sul modo in cui i dati personali vengonotrattati e dovrebbero far parte delle garanzie da applicare quando vengonomessi a disposizione per il riutilizzo dati personali (o dati anonimizzatiderivati da dati personali).

Le licenze noneliminano la necessità di osservare la normativa sulla protezione dei dati, mal'inserimento di una clausola di protezione dei dati al loro internocontribuirebbe a garantire l'osservanza di tale normativa conferendole"esecutività". Una clausola di questo genere potrebbe anche contribuire asensibilizzare i riutilizzatori ricordando loro gli obblighi cui sono tenuti inqualità di responsabili del trattamento dei dati. Per quanto concerne ilcontenuto delle licenze, è utile distinguere tra due scenari differenti.

10.3. Condizioni di licenza per serie di dati resi anonimi

In primoluogo, per i dati anonimizzati (ossia serie di dati che non contengono più datipersonali), le condizioni di concessione della licenza dovrebbero

∑ ribadire chele serie di dati sono state anonimizzate;

∑ vietare ailicenziatari di reidentificare qualsiasi persona³⁸;

∑ vietare ailicenziatari l'utilizzo dei dati per adottare misure o decisioni di qualsiasigenere che riguardino le persone interessate e

∑ prevedereinoltre l'obbligo, per il licenziatario, di notificare al licenziante i casi incui si rilevi che delle persone possano essere o siano state reidentificate.

Una soluzionealternativa alle condizioni di concessione potrebbe essere un chiaro messaggiodi avvertenza ai riutilizzatori sul portale dei dati aperti.

Si dovrebbecomunque promuovere l'adozione di condizioni per la concessione della licenza,per il vantaggio supplementare dell'esecutività contrattuale che verrebbeapportato.

Ritiro diserie di dati compromessi

Tutti glialtri utenti del web, compresi gli stessi interessati, devono avere lapossibilità di avvertire il licenziante se si verifica o può verificarsi unareidentificazione. Nei casi in cui il licenziante scopra che il rischio direidentificazione è aumentato, la licenza dovrebbe prevedere una procedura chedia al licenziante facoltà di "ritirare" la serie di dati "compromessa".

In altreparole, la clausola di protezione dei dati dovrebbe conferire al licenziante ildiritto di disporre la sospensione o la cessazione dell'accesso ai dati (peresempio il diritto di disattivare l'API o rimuovere il file dalla piattaforma).

Il licenziantedovrebbe mettere in atto tutti gli sforzi ragionevoli per richiedere airiutilizzatori di cancellare in tutto o in parte le serie di dati che sonostate compromesse (ovvero sono diventate reidentificabili), compreso inserireavvisi ben visibili su siti Internet quali portali di dati aperti e forum /mailing list / social media cui accedono persone o gruppi dipersone che possono riutilizzare i dati. La richiesta di registrazione puòessere il mezzo più efficace per ritirare delle serie di dati, ma non andrebbeincentivata se comporta la raccolta di nuovi dati personali dei riutilizzatorie sortisce in generale l'effetto di scoraggiare l'uso di siti web e dialtri servizi di ISP.

10.4. Condizioni di licenza per dati personali

Se laconcessione della licenza riguarda il trattamento di dati personali, occorredefinire i limiti di tale uso. La questione principale è garantire chequalsiasi riutilizzo non esuli da quanto sia "compatibile con le finalitàiniziali per cui i dati sono stati rilevati"³⁹.A tale scopo le condizioni di licenza devono almeno specificare per qualifinalità i dati sono stati pubblicati per la prima volta e indicare quale usodei dati personali verrebbe considerato compatibile e quale no.

Occorreosservare, tuttavia, che le suddette condizioni non dovrebbero "ridurreindebitamente le possibilità di riutilizzo" (articolo 8, paragrafo 1, dellamodifica ISP). Spesso ciò può significare che i termini generici delle licenzeaperte standard non sono adeguati e che si dovrebbero sviluppare licenzespecifiche per determinati dati personali o usare dei modelli che potrebberoessere adattati allo scopo. Attualmente alcune licenze aperte standard (comela licenza aperta governativa del Regno Unito) escludono i dati personaliperchÈ i loro termini non li prevedono affatto.

10.5. Occorre un'applicazione rigorosa delle disposizioni in caso direidentificazione o di uso incompatibile

Una volta che idati siano stati pubblicati sulla base di una licenza - per esempio una licenzaaperta governativa - può risultare difficile impedirne un ulteriore utilizzoincompatibile, la divulgazione o garantirne la sicurezza. In tale contesto èmolto importante monitorare il riutilizzo e punire qualsiasi violazione, che sitratti della reidentificazione di interessati o dell'ulteriore utilizzo daparte di chi si avvale della licenza per una finalità incompatibile.

Il Gruppo dilavoro "articolo 29" ribadisce l'importanza del ruolo che gli enti pubblicidovrebbero svolgere, ma sottolinea anche che quando un riutilizzatore raccogliedati personali avvalendosi di un processo di reidentificazione, è moltoprobabile che li stia trattando illegalmente e potrebbe andare incontro allesanzioni applicate dalle autorità preposte alla protezione dei dati. Questesanzioni comprendono multe severe ai sensi della proposta di regolamento sullaprotezione dei dati.

XI. Conclusioni

Inconclusione, il Gruppo di lavoro "articolo 29" ribadisce che il riutilizzodelle informazioni del settore pubblico può comportare vantaggi tali dafavorire una maggior trasparenza e un riutilizzo innovativo delle informazionidel settore pubblico. Tuttavia, la maggiore accessibilità delle informazioniche ne consegue non è priva di rischi. Per garantire la tutela della vitaprivata e dei dati personali occorre seguire un approccio equilibrato e lanormativa in materia di protezione dei dati deve contribuire a guidare ilprocesso di selezione dei dati personali che si possano o meno renderedisponibili per il riutilizzo e delle misure da adottare per salvaguardarli.

A prescinderedal "principio del riutilizzo" formulato nella modifica ISP, il riutilizzo aqualsiasi scopo commerciale o non commerciale ai sensi della direttiva ISP nonè sempre appropriato in casi in cui le informazioni del settore pubblico dariutilizzare contenga dati personali. Spesso, anzichÈ i dati personali, sono idati statistici derivati da quelli personali a essere e a dover essere residisponibili per il riutilizzo.

Tuttavia puòanche succedere, in alcune situazioni, che ai sensi della direttiva ISP venganoconsiderati disponibili per il riutilizzo dati personali, ove necessario, fattesalve le misure giuridiche, tecniche e organizzative supplementari per tutelarele persone interessate. In merito a questi casi il Gruppo di lavoro "articolo29" ribadisce l'importanza di stabilire una base giuridica solida per la messaa disposizione al pubblico di dati personali, considerando le norme pertinentiin materia di protezione dei dati, tra cui il principio di proporzionalità, diminimizzazione dei dati e di limitazione delle finalità.

In talecontesto, è importante altresì sottolineare ancora che qualunque informazionerelativa a una persona fisica identificata o identificabile, sia taleinformazione accessibile o meno al pubblico, costituisce un dato personale.Pertanto l'accesso e il riutilizzo di dati personali che siano stati resiaccessibili al pubblico rimangono soggetti alla normativa applicabile inmateria di protezione dei dati. Alla luce di queste considerazioni, il Gruppodi lavoro "articolo 29" raccomanda quanto segue:

∑ quando siconsidera l'eventualità di rendere le informazioni del servizio pubblicoaccessibili al pubblico, bisognerebbe in primis tenere presente,seguendo i principi della "protezione dei dati fin dalla progettazione" e della"protezione di default", che alcune di queste informazioni possonocontenere dati personali;

∑ ciòpremesso, l'ente pubblico interessato (o il legislatore, a seconda dei casi)dovrebbe condurre una valutazione d'impatto sulla protezione dei dati prima chequalsiasi informazione del servizio pubblico contenente dati personali possaessere resa disponibile per il riutilizzo (o prima di adottare una misuralegislativa che consenta la pubblicazione di dati personali e conseguentementeli renda potenzialmente disponibili per il riutilizzo); andrebbe effettuata unavalutazione d'impatto sulla protezione dei dati anche nei casi in cui s'intendarendere disponibili per il riutilizzo una serie di dati anonimizzati derivatida dati personali;

∑ quando sianonimizzano serie di dati, è essenziale valutare il rischio direidentificazione ed è buona prassi effettuare un test di reidentificazione;

∑ l'esitodella valutazione potrebbe servire a individuare garanzie adeguate perminimizzare i rischi, comprese, ma non solo, misure tecniche, giuridiche eorganizzative, quali condizioni 30 di licenzaappropriate e provvedimenti di natura tecnica per evitare il download inblocco di dati, nonchÈ tecniche adeguate di anonimizzazione; l'esito può ancheindurre alla decisione di astenersi dal pubblicare e/o rendere disponibili idati per il riutilizzo;

∑ lecondizioni della licenza per il riutilizzo delle informazioni del settorepubblico dovrebbero comprendere una clausola di protezione dei dati per tutti icasi in cui vengano trattati dati personali, compresi quelli in cui venganorese disponibili per il riutilizzo serie di dati resi anonimi derivati da datipersonali;

∑ qualoradalla valutazione d'impatto sulla protezione dei dati si desuma che una licenzaaperta non sia sufficiente per scongiurare i rischi in materia di tutela deidati, gli enti pubblici non dovrebbero rendere disponibili i dati personali aisensi della direttiva ISP. (Tuttavia, l'ente pubblico può comunque esercitareil suo potere discrezionale nel considerare il riutilizzo al di fuori deitermini e dell'ambito di applicazione della direttiva ISP e può anche esigeredai richiedenti di dimostrare l'esistenza di adeguate contromisure per tutti irischi inerenti alla protezione dei dati personali e di trattare i dati inconformità alla normativa applicabile in materia di protezione dei dati);

∑ oveopportuno, gli enti pubblici dovrebbero garantire che i dati personali venganoresi anonimi e le condizioni di licenza vietino espressamente lareidentificazione di persone e il riutilizzo dei dati personali per finalitàche possano arrecare pregiudizio agli interessati;

∑ infine, gliStati membri dovrebbero anche considerare l'idea di istituire e assistere retidi conoscenza/centri di eccellenza, promuovendo in tal modo la condivisione dibuone prassi in fatto di anonimizzazione e di dati aperti.

Fatto aBruxelles il 5 giugno 2013

Peril Gruppo di lavoro

Ilpresidente

JacobKOHNSTAMM

NOTE                                                

1GU L 175 del 27.6.2013, pag. 1.

2Sull'ambito di applicazione della direttiva ISP modificata esulle disposizioni relative alla tutela dei dati, cfr. infra la sezioneV.

3Si noti che, in base all'articolo 8, paragrafo 1, delladirettiva ISP modificata, le condizioni della licenza "non riduconoindebitamente le possibilità di riutilizzo e non sono utilizzate per limitarela concorrenza".

4Sul riutilizzo di serie di dati aggregati e resi anonimi,derivate da dati personali, cfr. la sezione VI.

5Direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995,relativa alla tutela delle persone fisiche con riguardo al trattamento dei datipersonali, nonchÈ alla libera circolazione di tali dati (GU L 281 del23.11.1995, pag. 31).

11» prevista l'adozione di un parere sull'argomento nellaseconda metà del 2013.

12Cfr., per esempio, il codice di anonimizzazione "Anonymisation:Managing data protection risk code of practice" (Anonimizzazione: codiceper la gestione dei rischi per la protezione dei dati) a cura dell'InformationCommissioner's Office del Regno Unito, del novembre 2012, e gliOrientamenti per l'analisi dei rischi adottati dall'autorità francese garantedella protezione dei dati del giugno 2012.

13Cfr., per esempio, la raccomandazione politica della retetematica LAPSI del settembre 2012 (pagg. 4-14).

14Cfr. l'articolo 6, paragrafo 1, lettera b) della direttiva95/46/CE.

6LAPSI è una rete tematica europea sugli "aspetti legalidell'informazione del settore pubblico", istituita dalla Commissione europea(cfr. http://www.lapsi-project.eu/). La raccomandazione politica in questione èconsultabile all'indirizzo http://www.lapsi-project.eu/lapsifiles/lapsi_privacy_policy.pdf. 7 Cfr. il considerando 7.

8Cfr. il parere del Gruppo di lavoro "articolo 29" del 7/2003sul riutilizzo delle informazioni del settore pubblico e la tutela dei datipersonali - Trovare il giusto equilibrio, adottato il 12 dicembre 2003 (WP 83).Cfr. anche due pareri precedenti in materia del Gruppo di lavoro "articolo 29":il parere 3/1999, relativo all'informazione del settore pubblico e allaprotezione dei dati personali, adottato il 3 maggio 1999 (WP 20), e il parere5/2001, su una relazione speciale del Mediatore europeo, adottato il 17 maggio2001.

9Parere del Garante europeo della protezione dei dati del 18aprile 2012 sul "pacchetto dati aperti" della Commissione europea, costituitoda una proposta di direttiva che modifica la direttiva 2003/98/CE relativa alriutilizzo dell'informazione del settore pubblico, da una comunicazione suidati aperti e dalla decisione 2011/833/UE della Commissione relativa alriutilizzo dei documenti della Commissione. Il parere (in italiano una sintesi)è disponibile all'indirizzo:https://secure.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Consultation/Opinions/2012/12-04-18_Open_data_IT.pdf.

10Parere del Gruppo di lavoro "articolo 29" per la protezionedei dati, del 3/2013, sulla limitazione delle finalità, adottato il 2 aprile2013 (WP 203).

15Il Gruppo di lavoro "articolo 29" intende altresìpuntualizzare che, dal punto di vista del riutilizzatore, la direttiva ISP nonrappresenta di per sÈ un motivo legittimo per il trattamento dei dati (suimotivi legittimi cfr. il parere 7/2003 e la sezione 7.5.)

16Qualora, alla luce della valutazione, si decida di nonrendere disponibili dati personali per il riutilizzo, bensì di metterli adisposizione sotto forma di serie di dati resi anonimi, si dovrebbe valutare ilrischio di reidentificazione. Cfr. la sezione VI sull'anonimizzazione e lavalutazione del rischio di reidentificazione.

17Il 25 gennaio 2012 la Commissione ha adottato un pacchettodi misure per la riforma del quadro europeo della protezione dei dati. Ilpacchetto è costituito da: (i) una "comunicazione" (COM(2012)9 final), (ii) una"proposta di regolamento sulla protezione dei dati" (COM(2012)11 final) e (iii)una "proposta di direttiva sulla protezione dei dati" (COM(2012)10 final).

18Per ulteriori orientamenti su come effettuare unavalutazione d'impatto sulla protezione dei dati cfr., per esempio, il sitoInternet del progetto PIAF (Privacy Impact Assessment Framework for dataprotection and privacy rights, quadro per la realizzazione di valutazionidi impatto sulla riservatezza per i diritti alla protezione dei dati e dellavita privata) all'indirizzo http://www.piafproject.eu/Index.html. Il PIAF è unprogetto cofinanziato dalla Commissione europea con lo scopo di incoraggiarel'UE e i suoi Stati membri ad adottare una politica graduale di valutazionid'impatto sulla tutela della vita privata come mezzo per rispondere alleesigenze e alle sfide in materia di privacy e di trattamento dei datipersonali. In alcuni Stati membri sono disponibili testi di orientamento. Cfr.,per esempio, il manuale sulla valutazione d'impatto sulla tutela della vitaprivata (PIA) pubblicato dall'Information Commissioner del Regno Unitoall'indirizzo http://ico.org.uk/for_organisations/data_protection/topic_guides/privacy_impact_assessment; gli Orientamenti per l'analisi deirischi elaborati dall'autorità francese garante della protezione dei dati, giàcitati alla nota 12, nonchÈ gli orientamenti forniti dall'InformationCommissioner sloveno, in particolare su "Privacy Impact Assessments ine-Government Projects" (Valutazioni d'impatto sulla privacy nei progetti die-Government), disponibili all'indirizzohttps://www.iprs.si/fileadmin/user_upload/Pdf/smernice/PIASmernice__ENG_Lektorirano_10._6._2011.pdf

19Per esempio, nel Regno Unito unconsorzio guidato dall'Università di Manchester, insieme all'Università diSouthampton, l'Ufficio nazionale di statistica e il nuovo Open DataInstitute (ODI) del governo, gestisce la UK Anonymisation Network perconsentire la condivisione di buone prassi in materia di anonimizzazione intutto il settore pubblico e in quello privato. La rete effettua studi di casi,gruppi di lavoro e seminari e dispone di un sito Internet all'indirizzo http://www.ukanon.net.

20Cfr. la direttiva ISP, articolo 1, paragrafo 2, lettera c).

21 Cfr.sentenza della Corte del 20 maggio 2003, Rundfunk, cause riunite C-465/00,C-138/01 e C-139/01 e sentenza della Corte del 9 novembre 2010, Volker undMarkus Schecke, cause riunite C-92/09 e C-93/09.

22Ovviamente, ove applicabile, la normativa in materia dilibertà d'informazione può richiedere la divulgazione di dati personali, e inalcuni casi l'interesse per la trasparenza e la disponibilità delleinformazioni può prevalere sulle priorità in materia di protezione dei dati edi tutela della vita privata. Questo è un settore in evoluzione che potrebbedar luogo a futuri cambiamenti.

23Nella sua dichiarazione del 27 febbraio 2013 sulle "attualidiscussioni sul pacchetto di riforma della protezione dei dati", il Gruppo dilavoro ha sottolineato che una persona fisica può essere considerataidentificabile quando, all'interno di un gruppo di persone, essa può esseredistinta dagli altri membri del gruppo e di conseguenza essere trattata diversamente.Ciò significa che la nozione di identificabilità include la distinzione. Ladichiarazione spiega inoltre che numeri di identificazione, dati relativiall'ubicazione, indirizzi IP, identificativi online o altri fattorispecifici relativi a una persona dovrebbero essere considerati dati personali.

24La dichiarazione del 27 febbraio 2013 sottolinea che qualorasia possibile risalire a una persona o identificarla (indirettamente) con altrimezzi, si continuano ad applicare le norme in materia di protezione dei dati.

25Cfr., per esempio, "Transparent Government, Nottransparent Citizens" (Governo trasparente, cittadini non trasparenti), unarelazione per lo UK Cabinet office redatta nel 2011 dal prof. KieronO'Hara dell'Università di Southampton, in cui l'autore metteva in guardiacontro il rischio che le persone venissero identificate partendo da dati resianonimi, utilizzando, tra l'altro, il metodo della "jigsaw identification"(ricostruzione di puzzle), e affermava che non esistono soluzioni tecnichecomplete al problema della deanonimizzazione. La relazione è disponibileall'indirizzohttp://www.cabinetoffice.gov.uk/sites/default/files/resources/transparency-and-privacy-review-annex-b.pdf.Cfr. anche "Broken Promises of Privacy: Responding to the SurprisingFailure of Anonymization" (Le promesse non mantenute della privacy:come reagire ad un'imprevista errata anonimizzazione), a cura del prof. PaulOhm della University of Colorado Law School, 57 UCLA Law Review 1701 (2010),disponibile in rete all'indirizzohttp://papers.ssrn.com/sol3/papers.cfm?abstract_id=1450006.

26Sulle tecniche di anonimizzazione, cfr. il parere specificodel Gruppo di lavoro "articolo 29" sull'argomento, di cui si prevedel'imminente uscita.

27Tali informazioni possono includere, per esempio, datirelativi a transazioni o altri dati comportamentali da cui si possono ricavareprofili di singoli consumatori, successivamente riutilizzabili a scopipubblicitari o di discriminazione dei prezzi; informazioni di carattere finanziarioo di altro tipo che possono dar luogo a furti d'identità; informazionisensibili che potrebbero essere utilizzate per ricattare delle persone odiscriminarle; informazioni mediche che potrebbero essere utilizzate dallecompagnie assicurative, per esempio, per negare la copertura a causa di unacondizione sanitaria preesistente; informazioni da cui si possa desumere lasolvibilità della persona interessata e che potrebbero essere utilizzate pervalutare i rischi di credito, ecc.

28Cfr., tuttavia, la sezione 10.3 concernente "Condizioni dilicenza per serie di dati resi anonimi" e, in particolare, la necessità diintrodurre garanzie per continuare ad assicurare che le persone non venganoreidentificate.

29Cfr. anche gli esempi forniti nella sezione V a propositodell'ambito di applicazione della direttiva ISP.

30Cfr. per es. la sentenza della Corte di giustizia del 16dicembre 2008, causa C-73/07, Tietosuojavaltuutettu/SatakunnanMarkkinapˆrssi Oy en Satamedia Oy.

31Ciò detto, come affermato nella sezione 5.4, la normativanazionale deve comunque osservare l'articolo 8 della CEDU e gli articoli 7 e 8della Carta dell'UE, secondo l'interpretazione della giurisprudenza in materia.

32Solo in via eccezionale, fatte salve le rigorose garanzie dicui all'articolo 13 della direttiva 95/46/CE, i dati possono essere utilizzatiin modo incompatibile con le finalità specificate al momento della raccolta.Cfr. la sezione III.3 del parere 3/2013 del Gruppo di lavoro "articolo 29",sulla limitazione delle finalità.

33Cfr. l'articolo 6, paragrafo 1, lettera c) della direttiva95/46/CE.

34Cfr., per esempio, la sentenza della Corte di giustizia Volkerund Markus Schecke GbR/Land Hessen, cause riunite C 92/09 e C 93/09,punto 31: "[S]arebbe impossibile rimuovere i dati da Internet dopo la scadenzadel periodo di due anni previsto dall'art. 3, n. 3, del regolamento n.259/2008".

35Un CAPTCHA (Completely Automated Public Turing test totell Computers and Humans Apart, ossia Test di Turing pubblico completamenteautomatizzato per distinguere computer ed esseri umani) è un test di un sistemadi autenticazione per distinguere le persone dai programmi automatizzati. UnCAPTCHA effettua questa distinzione per mezzo di un esercizio che risultaperlopiù facile da svolgere per le persone, ma è più difficile da completareper gli attuali programmi informatici.

36Cfr. ancora il parere 4/2007, adottato il 20 giugno 2007,sul concetto di dati personali (WP 136), in particolare le pagg. 12-21 (i "datipseudonimizzati", i "dati codificati con chiave" e i "dati anonimi" sonodiscussi alle pagg. 18-21). Il problema dell'informazione "concernente" unapersona viene trattato alle pagg. 9-12. » rilevante anche il fatto, rilevato apag. 3, che il Gruppo di lavoro "articolo 29" stia attualmente lavorando perdare ulteriori orientamenti in fatto di tecniche di anonimizzazione.

37Altri esempi potrebbero includere gli archivi di registri distato civile, che in alcuni Stati membri riportano, inter alia, la causadi morte, il cambio di genere, il nome del partner (da cui si puòdesumere l'orientamento sessuale) o il fatto che la persona sia stata adottata.Anche l'accesso a questi archivi è soggetto a condizioni specifiche.

38Si potrebbero applicare eccezioni limitate, per esempio, neicasi in cui viene effettuato in buona fede il test di reidentificazione. Anchein tali casi, tuttavia, i risultati dei test dovrebbero essere portati aconoscenza del responsabile del trattamento e dell'ente pubblico interessato e idati reidentificati non andrebbero pubblicati nÈ comunque diffusi ad una plateapiù ampia.

39Cfr. ancora il parere 3/2013 del Gruppo di lavoro "articolo29" sulla limitazione delle finalità.