Esistono dati “sufficientemente anonimi”?
E, se si, possono essere inseriti in un app per il controllo e il tracciamento del contagio coronavirus?
La questione non è banale, perché dalla sua risoluzione dipende l’applicazione o meno all’app delle regole in materia di protezione dei dati personali.
Il regolamento generale privacy, che, ricordiamo, si applica alla stessa maniera e senza bisogno
di una direttiva che lo recepisca all’interno del nostro ordinamento, prevede solo due tipi
di dato: quello anonimo, sottratto all’ambito di applicazione del GDPR, e il dato personale vero e proprio, eventualmente pseudononimizzato, che ricade integralmente nell’ambito di applicazione del Regolamento.
Non c’è spazio per alcun altro tipo di dato.
Lo chiarisce anche il considerando n 26 del GDPR, che, in ogni caso, come tutti i “recitals” comunitari non fa parte dell’articolato normativo vero e proprio.
Il “recital” prevede espressamente che : The principles of data protection should therefore not apply to anonymous information, namely information which does not relate to an identified or identifiable natural person or to personal data rendered anonymous in such a manner that the data subject is not or no longer identifiable.
Peraltro la disposizione riproduce esattamente ciò che la Direttiva 95/46 prevedeva in tema di dati anonimi.
La disposizione, come è evidente, non prevede in alcun modo l’esistenza di “dati sufficientemente anonimi”, che costituirebbero un “ossimoro”, ma solo di dati “resi anonimi”, ovvero di dati personali all’origine, che poi vengono resi anonimi.
La disposizione, che ricordiamo ancora, non ha valore giuridico diretto, in quanto si tratta di un “recital”, è stata malamente tradotta in italiano, confondendo il termine “rendered”, ossia reso, con “sufficientemente”.
Ora, la questione è arcinota da almeno 4 anni, anche per il meritorio lavoro di analisi e “ripulitura “ dagli errori formali del GDPR, di giuristi del calibro di Luca Bolognini ed Enrico Pelino.
L’intera comunità scientifica, accademica, professionale, conosce il tema, talchè non si è mai posto il dubbio se esistesse un “tertium genus” di dati, né alcuno si è sognato di fare affermazioni pubbliche di questo tipo.
Ora però il rischio è che all’interno dell’art 6 del Decreto legge 30 aprile 2020, n 28, in tema di intercettazioni, processo penale da remoto, ordinamento penitenziario e tracciamento di contatti e contagi da COVID-19, che dovrà essere convertito in legge e che stabilisce le regole per l’app anti-contagio, una non perfetta conoscenza del tema possa ingenerare ancora qualche equivoco, per cui si spera che il legislatore possa essere più attento alla formulazione finale della norma.