Molte organizzazioni sono convinte che sostituire il nome e il cognome di una persona con le sole iniziali sia sufficiente a rispettare la normativa sulla protezione dei dati personali. Un recente provvedimento del Garante per la protezione dei dati personali dimostra invece che questa convinzione può rivelarsi un errore, con conseguenze anche sotto il profilo sanzionatorio.
Con il provvedimento n. 307 del 2026, l’Autorità ha infatti sanzionato un istituto scolastico per aver pubblicato sul proprio sito un avviso relativo all’istruzione domiciliare di uno studente. Pur riportando esclusivamente le iniziali del minore, il documento conteneva ulteriori informazioni – come la classe frequentata, il riferimento alla documentazione sanitaria e altri elementi contestuali – che rendevano comunque possibile identificarlo.
Secondo il Garante, la tutela della privacy non può limitarsi alla cancellazione del nominativo. Occorre valutare se l’insieme delle informazioni pubblicate consenta, direttamente o indirettamente, di ricondurre i dati a una persona determinata o determinabile. Quando ciò avviene, il trattamento resta soggetto a tutte le garanzie previste dal Regolamento generale sulla protezione dei dati (GDPR).
La decisione assume particolare rilievo perché coinvolge dati relativi alla salute, appartenenti alle categorie particolari di dati personali che il GDPR sottopone a un livello di protezione rafforzato. Anche un riferimento indiretto a una condizione sanitaria può determinare una violazione della riservatezza se il soggetto interessato risulta identificabile.
Il principio espresso dall’Autorità va ben oltre il settore scolastico. Ogni amministrazione pubblica, azienda o professionista che pubblichi atti, graduatorie, circolari, comunicazioni o documenti online è chiamato a verificare non soltanto quali dati vengano diffusi, ma anche se la loro combinazione possa consentire di individuare gli interessati.
Si tratta di un cambio di prospettiva ormai consolidato nella disciplina europea: l’anonimizzazione non dipende dall’eliminazione di un singolo elemento identificativo, ma dall’impossibilità concreta di risalire all’identità della persona attraverso tutte le informazioni disponibili.
Per questo motivo, le organizzazioni dovrebbero affiancare alle tradizionali procedure di oscuramento una valutazione preventiva del rischio di reidentificazione, soprattutto quando vengono trattati dati sanitari, informazioni riguardanti minori o altre categorie di dati particolarmente sensibili.
Iscriviti al canale Telegram di Servicematica
Notizie, aggiornamenti ed interruzioni. Tutto in tempo reale.
LEGGI ANCHE
172 nuovi addetti all’Ufficio del processo nel distretto di Venezia
Venezia – Il sottosegretario alla giustizia, Andrea Ostellari, ha annunciato l’assunzione di 172 nuovi addetti all’Ufficio del processo nel distretto di Venezia. Questi nuovi assunti…
Il Presidente dell’Unione Nazionale Camere Civili commenta l’approvazione del disegno di legge al Senato e richiama l’importanza del confronto tra tutti gli attori del sistema…
Trenitalia ha comunicato ai clienti una violazione dei sistemi informatici risalente all'ottobre 2025, con dati anagrafici e di viaggio esposti per milioni di passeggeri. Nessun…

