Lo scorso anno GEISTWERT ha presentato il “Sistema mobile per l’anonimizzazione di dati personali”. La giurisprudenza attuale dell’Autorità austriaca per la protezione dei dati e della Corte suprema austriaca conferma ora l’approccio di questo sistema:
quando il trattamento dei dati è soggetto al diritto sulla protezione dei dati in virtù del loro riferimento personale, è una domanda che GEISTWERT incontra da anni durante la sua quotidiana attività di consulenza. Per quanto riguarda questo nesso centrale del diritto sulla protezione dei dati, le basi giuridiche (in partic. RGDP e DSG, Datenschutzgesetz – Legge sulla protezione dei dati) sono soggette ad interpretazione; v. al riguardo il link sopra riportato al post sul blog di GEISTWERT, che giunge alla seguente conclusione:
secondo il parere di GEISTWERT una considerazione ex ante della legge sulla protezione dei dati si deve basare su quanto sia elevata la probabilità a discrezione generale di stabilire un riferimento personale nei file di dati concreti in una considerazione ex post. Secondo GEISTWERT si dovrebbero applicare a tal fine le seguenti dimensioni di valutazione, nel senso di un “sistema di valutazione mobile”:
- mezzi che a discrezione generale potrebbero essere utilizzati per stabilire un riferimento personale e inoltre:
- tipologia, entità, circostanze e finalità del trattamento;
- probabilità e gravità del rischio per i diritti e le libertà degli interessati;
- costi per l’identificazione; e
- tempo necessario,
- tenendo conto della tecnologia disponibile al momento del trattamento e degli sviluppi tecnologici.
- Se si giunge alla conclusione che senza uno sforzo proporzionato non è prevedibile un ripristino del riferimento personale, allora sono presenti dati anonimi.
Giurisprudenza recente in merito al “riferimento personale” – dati anonimi e pseudonimi
Nella sua sentenza del 27.11.2019, 6 Ob 150/19f (https://www.ris.bka.gv.at/Dokumente/Justiz/JJT_20191127_OGH0002_0060OB00150_19F0000_000/JJT_20191127_OGH0002_0060OB00150_19F0000_000.pdf) la Oberste Gerichtshof (OGH – Corte suprema) ha posto di nuovo alcuni “paletti” sulla questione della valutazione del riferimento personale dei dati e questi sembrano confermare, perlomeno nell’approccio, il sistema di GEISTWERT:
Dopo la sentenza dell’OGH, il concetto di “dati personali”, definito dal RGDP nell’art. 4 n. 1 (“tutte le informazioni che si riferiscono o sono riferibili ad una persona fisica”), deve essere inteso in senso lato. La definizione del concetto di dati personali contiene tre componenti: (i) una componente relativa al trattamento, (ii) una componente relativa al contenuto (iii) e una componente relativa all’identità. Per quanto riguarda la componente identità è sufficiente, in particolare nel caso di dati visivi, che gli interessati possano essere identificati anche in seguito. L’identificazione di una persona è inoltre possibile se l’informazione in sé non è sufficiente per essere associata ad una persona, ma ciò è possibile non appena questa informazione viene collegata ad altre informazioni, per cui deve essere applicato il considerando 26 frase 3 del RGDP: riguardo alla questione se si tratta di una persona identificabile, si devono considerare tutti i mezzi, che è probabile che il responsabile utilizzi a discrezione generale, per identificare direttamente o indirettamente la persona fisica. Ne consegue che un riferimento personale esistente può manifestarsi anche solo in un secondo momento perché, per determinare la probabilità che i mezzi vengano utilizzati a discrezione generale per l’identificazione della persona fisica, si deve considerare il momento del trattamento e non quello della raccolta. Ciò è in linea con la (precedente) giurisprudenza indicata all’art. 16 ABGB (Allgemeines Bürgerliches Gesetzbuch – Codice civile austriaco), secondo la quale una videoregistrazione è “identificante”, se alla fine può essere associata ad una determinata persona sulla base di una o più caratteristiche.
Purtroppo, a causa della scarsa importanza della sentenza, l’OGH non ha affrontato in modo concreto la questione di quando è probabile che i mezzi vengano utilizzati a discrezione generale per l’identificazione della persona fisica e ha enunciato: i dati delle immagini registrate costituiscono dati personali in quanto possono essere associati anche in un secondo momento ad una determinata persona, ovvero il ricorrente o la sua famiglia. Nelle riprese della via di accesso ai giardini è addirittura possibile riconoscere immediatamente il ricorrente dalla registrazione. Infine, si tratta anche di un trattamento (almeno in parte) automatizzato, poiché il convenuto utilizza un’applicazione per telefono cellulare e il software preinstallato per il controllo della propria telecamera.
La Österreichische Datenschutzbehörde (DSB – Autorità austriaca per la protezione dei dati) si è già occupata della questione del riferimento personale nell’ambito della rivendicazione del diritto all’informazione e dell’identificazione del richiedente le informazioni anche nella decisione del 8/11/2019 su DSB-D122.970/0004-DSB/2019 (https://www.ris.bka.gv.at/Dokument.wxe?Abfrage=Dsk&Entscheidungsart=Undefined&Organ=Undefined&SucheNachRechtssatz=True&SucheNachText=True&GZ=DSB-D122.970%2f0004-DSB%2f2019&VonDatum=01.01.1990&BisDatum=12.02.2020&Norm=&ImRisSeitVonDatum=&ImRisSeitBisDatum=&ImRisSeit=Undefined&ResultPageSize=100&Suchworte=&Position=1&SkipToDocumentPage=true&ResultFunctionToken=811b2766-0c86-48d0-becf-3e59e1c0b992&Dokumentnummer=DSBT_20191108_DSB_D122_970_0004_DSB_2019_00).
La DSB ha purtroppo ipotizzato la presenza di dati pseudonimi senza ulteriori motivazioni e senza mettere in dubbio l’eventuale possibilità che si trattasse di dati anonimi; per quanto riguarda l’indirizzo e-mail utilizzato come nome utente, si trattava palesemente di un formato “nome.cognome@provider.at”, per cui la questione della limitazione non si è posta nel caso specifico:
la DSB ha constatato che la convenuta ha in tal modo violato il diritto di cancellazione del ricorrente, che essa non ha soddisfatto la sua richiesta di cancellazione del profilo utente identificato dal “unique identifier” “Petra” + “j***@***isp.at” del 28 maggio 2018 e, con e-mail del 4 giugno 2018, ha invece invitato il ricorrente a compilare un modulo e quindi a rendere noti i dati completi del proprio nome e indirizzo come pure informazioni riguardanti i contatti precedenti (“codice cliente, numeri di procedure precedenti, numero di riferimento personale o simili”) o a presentare “documenti” non altrimenti specificati per dimostrare la propria identità.
La DSB ha enunciato: poiché la convenuta durante il trattamento dei dati del ricorrente non aveva l’intenzione di identificare il ricorrente, ossia di verificare l’esistenza e l’identità giuridica (conformità) del ricorrente come persona fisica (cfr. art. 16 ABGB, art. 4 n. 5 RGDP in cui si parla anche di un “interessato specifico”) con la “Online Person” rappresentata nel profilo utente creato e di memorizzare i dati corrispondenti (ovvero il nome completo, la data di nascita o un indirizzo di residenza verificabile), secondo la convenuta erano presenti dall’inizio dati pseudonimizzati ai sensi dell’art. 4 n. 5 RGDP. Sarebbe certamente stato possibile identificare il ricorrente mediante la raccolta di dati aggiuntivi, la convenuta tuttavia, cosa decisiva secondo l’Autorità per la protezione dei dati, ha espressamente lasciato liberi i suoi utenti in qualità di persone interessate dall’operazione di trattamento, di creare profili utente pseudonimi, non richiedendo alcuna prova dell’identità al momento della registrazione. La convenuta ha pertanto rinunciato dall’inizio, ai sensi dell’art. 11 comma 1 RGDP, ad un’identificazione del ricorrente come interessato specifico. Fino al momento della richiesta di cancellazione il ricorrente era per lei in certo qual modo solo uno pseudonimo, un nome e un indirizzo e-mail nel suo database utenti.
Ai sensi dell’art. 12 comma 2 RGDP, la convenuta ha l’obbligo esplicito di facilitare l’esercizio del diritto alla cancellazione da parte dell’interessato. Un’identificazione dell’interessato può però avvenire soltanto qualora ciò sia necessario per verificare la facoltà di esercitare il diritto di cancellazione. Nel presente caso di richiesta di cancellazione di un profilo utente pseudonimo si dovranno quindi utilizzare i dati del profilo memorizzati. Un utente pseudonimo può identificarsi ad esempio attraverso la conoscenza dei dati di login (codice utente e password), attraverso informazioni sul contenuto dei dati del profilo o attraverso il comprovato diritto di disporre della casella di posta elettronica il cui indirizzo è stato fornito al momento della registrazione. Nuovi dati (nome, cognome, indirizzo di residenza, una copia della carta di identità o l’immagine grafica di una firma autografa) non devono essere raccolti in tale occasione (cfr. art.11 comma 1 RGDP). Essi inoltre non sarebbero assolutamente adatti ai fini della verifica dell’identità, poiché presso la convenuta non sono memorizzati dati comparativi la cui identità (conformità) potrebbe essere verificata con i nuovi dati raccolti.
Se non fosse stato presente il nome utente nel formato “nome.cognome@provider.at“, la DSB avrebbe certamente dovuto verificare, secondo i criteri sopra citati, se sono di fatto presenti dati personali.L’osservazione conclusiva di GEISTWERT – in particolare perché nella quotidiana attività di consulenza di GEISTWERT si fa spesso riferimento a documenti e pareri delle autorità (tedesche) per la protezione dei dati: il modulo utilizzato dalla convenuta proveniva, conformemente alla decisione della DSB, dal sito web della DSB (denominazione: “Antrag an den Verantwortlichen Recht auf Löschung Art.17.pdf” [Richiesta al responsabile del diritto di cancellazione Art.17.pdf]); tale modulo contemplava la prova dell’identità mediante l’inserimento dei dati completi di nome e indirizzo, come pure informazioni su contatti precedenti (“codice cliente, numeri di procedure precedenti, numero di riferimento personale o simili”) o la presentazione di “documenti” non altrimenti specificati. Nonostante il suo stesso modello, la DSB ha qui ritenuto nel caso di specie che tali dati siano in eccedenza.