Informatica e diritto, XXXVII Annata, Vol. XX, 2011, n. 1-2, pp. 65-83

Eleonora Bassi

PSI, protezione dei dati personali, anonimizzazione

PSI, Personal Data Protection, Anonymization

Riassunto: La disciplina sul riutilizzo dell'informazione del settore pubblico (psi) è diretta principalmente al riutilizzo di dati pubblici (conoscibili da chiunque) e non di dati personali; tuttavia, la Dir. 2003/98/CE (recepita in Italia con il D.Lgs. 36/2006) non esclude dal proprio ambito di applicazione i dati personali, limitandosi a fare salva la disciplina prevista dalla Dir. 95/46/CE. Posta pertanto la necessità di individuare una disciplina per i dati personali suscettibili di riutilizzo, e dunque, di chiarire i limiti alla loro disponibilità, da più parti è stata indicata la strada dell'anonimizzazione dei dati (personali) quale indispensabile strumento per render effettiva una tutela della privacy in un contesto di riutilizzo di informazioni pubbliche. L'anonimizzazione rappresenta così un esempio importante di privacy by design (ormai considerato il principio guida affinché la tutela della privacy sia effettiva nell'amministrazione e nella società digitale). In particolare, lo sviluppo di tecniche di anonimizzazione (e di deanonimizzazione) richiede una chiara distinzione tra dato personale e dato anonimo. La distinzione è essenziale a scopi normativi, posto che il dato anonimo non è sottoposto alla rigida e inderogabile disciplina a tutela della privacy. Inoltre, accanto alla nozione di dato personale e di dato anonimo (perché anonimizzato) occorre considerare attentamente la nozione di dato statistico anonimo. Se tuttavia, sul piano normativo la distinzione può apparire chiara, la possibile reidentificazione dei soggetti cui si riferivano i dati anonimizzati (e la ragionevolezza dei mezzi necessari ad una possibile reidentificazione) rende mobili i confini della distinzione stessa, incidendo sul tipo di tutela giuridica da riconoscere a detti dati e, pertanto, sulla possibilità di riutilizzo degli stessi. Dal momento che l'anonimizzazione costituisce un passo indispensabile per poter procedere all'apertura dei dati rendendoli disponibili per altri riutilizzi, diventa cruciale stabilire quali siano i soggetti su cui debbano ricadere gli oneri e i costi dell'anonimizzazione di dati personali detenuti dalle pubbliche amministrazioni e dagli organismi di diritto pubblico, anche in ragione dei differenti concetti di anonimizzazione (e di personalità del dato) cui fa ricorso il legislatore italiano in materia di dati giudiziari, o di dati personali detenuti per scopi statistici.

Abstract: The Open Data debate and the PSI (public sector information) legislation are focused on the re-use of public data, rather than personal data. In this paper I examine the legal framework and the technical means that enable lawful re-use of personal data collected and owned by public bodies. The European PSI legislation (dir. 2003/98/EC) allows re-use of personal data, within the limits set up by the data protection legislation (dir. 95/46/EC). Moreover, the Working Party Art. 29 recommends the use of anonymization and other technical means for data protection in re-use processing. The importance of anonymization is also stressed by scholars: it is an important example of privacy by design and an essential tool to enforce data protection in the case of PSI re-use Whereas fair and lawful reuse of personal data is possible only within a privacy by design approach, the latter requires a deep examination of various types of personal data, of the different contexts of data processing, etc., in order to develop the most efficient anonymization technologies. In particular, the development of technologies for anonymization (and re-identification) suggests we further distinguish between personal and anonymous data. Such distinction is essential for regulatory purposes, since the anonymous data is not subject to the legislation on data protection.