13 Luglio 2026 - Protezione dati

Privacy, le iniziali non bastano: il Garante cambia le regole dell’anonimato

Una scuola sanzionata per aver reso identificabile uno studente nonostante l'uso delle sole iniziali. Il provvedimento del Garante chiarisce un principio destinato a incidere su scuole, pubbliche amministrazioni e imprese: anonimizzare un dato significa impedire l'identificazione della persona, non semplicemente nasconderne il nome

Molte organizzazioni sono convinte che sostituire il nome e il cognome di una persona con le sole iniziali sia sufficiente a rispettare la normativa sulla protezione dei dati personali. Un recente provvedimento del Garante per la protezione dei dati personali dimostra invece che questa convinzione può rivelarsi un errore, con conseguenze anche sotto il profilo sanzionatorio.

Con il provvedimento n. 307 del 2026, l’Autorità ha infatti sanzionato un istituto scolastico per aver pubblicato sul proprio sito un avviso relativo all’istruzione domiciliare di uno studente. Pur riportando esclusivamente le iniziali del minore, il documento conteneva ulteriori informazioni – come la classe frequentata, il riferimento alla documentazione sanitaria e altri elementi contestuali – che rendevano comunque possibile identificarlo.

Secondo il Garante, la tutela della privacy non può limitarsi alla cancellazione del nominativo. Occorre valutare se l’insieme delle informazioni pubblicate consenta, direttamente o indirettamente, di ricondurre i dati a una persona determinata o determinabile. Quando ciò avviene, il trattamento resta soggetto a tutte le garanzie previste dal Regolamento generale sulla protezione dei dati (GDPR).

La decisione assume particolare rilievo perché coinvolge dati relativi alla salute, appartenenti alle categorie particolari di dati personali che il GDPR sottopone a un livello di protezione rafforzato. Anche un riferimento indiretto a una condizione sanitaria può determinare una violazione della riservatezza se il soggetto interessato risulta identificabile.

Il principio espresso dall’Autorità va ben oltre il settore scolastico. Ogni amministrazione pubblica, azienda o professionista che pubblichi atti, graduatorie, circolari, comunicazioni o documenti online è chiamato a verificare non soltanto quali dati vengano diffusi, ma anche se la loro combinazione possa consentire di individuare gli interessati.

Si tratta di un cambio di prospettiva ormai consolidato nella disciplina europea: l’anonimizzazione non dipende dall’eliminazione di un singolo elemento identificativo, ma dall’impossibilità concreta di risalire all’identità della persona attraverso tutte le informazioni disponibili.

Per questo motivo, le organizzazioni dovrebbero affiancare alle tradizionali procedure di oscuramento una valutazione preventiva del rischio di reidentificazione, soprattutto quando vengono trattati dati sanitari, informazioni riguardanti minori o altre categorie di dati particolarmente sensibili.


LEGGI ANCHE

Nordio, “Grave travisamento. Investimenti aumentati del 25%”

Roma, 13 marzo 2024 – “Sono indignato dal grave e strumentale travisamento – da parte di alcuni esponenti dell’opposizione – delle mie parole pronunciate questa…

Corruzione, arrestato il Direttore generale di Sogei: contratti milionari sotto inchiesta

Sorpreso in flagranza di reato, con 15.000 euro, dai militari delle Fiamme gialle. Diciotto gli indagati, tra i quali il referente italiano di Elon Musk

macchine incidente

Incidenti stradali nell’UE causano la morte di 20400 persone nel 2023

Nel 2023 20400 persone hanno perso la vita in incidenti stradali in tutta l'UE, con un calo dell’1% rispetto all'anno precedente, per un totale di…

TORNA ALLE NOTIZIE

Iso 27017
Iso 27018
Iso 9001
Iso 27001
Iso 27003
Acn
RDP DPO
CSA STAR Registry
PPPAS
Microsoft
Apple
vmvare
Linux
veeam
0
    Prodotti nel carrello
    Il tuo carrello è vuoto