Molte organizzazioni sono convinte che sostituire il nome e il cognome di una persona con le sole iniziali sia sufficiente a rispettare la normativa sulla protezione dei dati personali. Un recente provvedimento del Garante per la protezione dei dati personali dimostra invece che questa convinzione può rivelarsi un errore, con conseguenze anche sotto il profilo sanzionatorio.
Con il provvedimento n. 307 del 2026, l’Autorità ha infatti sanzionato un istituto scolastico per aver pubblicato sul proprio sito un avviso relativo all’istruzione domiciliare di uno studente. Pur riportando esclusivamente le iniziali del minore, il documento conteneva ulteriori informazioni – come la classe frequentata, il riferimento alla documentazione sanitaria e altri elementi contestuali – che rendevano comunque possibile identificarlo.
Secondo il Garante, la tutela della privacy non può limitarsi alla cancellazione del nominativo. Occorre valutare se l’insieme delle informazioni pubblicate consenta, direttamente o indirettamente, di ricondurre i dati a una persona determinata o determinabile. Quando ciò avviene, il trattamento resta soggetto a tutte le garanzie previste dal Regolamento generale sulla protezione dei dati (GDPR).
La decisione assume particolare rilievo perché coinvolge dati relativi alla salute, appartenenti alle categorie particolari di dati personali che il GDPR sottopone a un livello di protezione rafforzato. Anche un riferimento indiretto a una condizione sanitaria può determinare una violazione della riservatezza se il soggetto interessato risulta identificabile.
Il principio espresso dall’Autorità va ben oltre il settore scolastico. Ogni amministrazione pubblica, azienda o professionista che pubblichi atti, graduatorie, circolari, comunicazioni o documenti online è chiamato a verificare non soltanto quali dati vengano diffusi, ma anche se la loro combinazione possa consentire di individuare gli interessati.
Si tratta di un cambio di prospettiva ormai consolidato nella disciplina europea: l’anonimizzazione non dipende dall’eliminazione di un singolo elemento identificativo, ma dall’impossibilità concreta di risalire all’identità della persona attraverso tutte le informazioni disponibili.
Per questo motivo, le organizzazioni dovrebbero affiancare alle tradizionali procedure di oscuramento una valutazione preventiva del rischio di reidentificazione, soprattutto quando vengono trattati dati sanitari, informazioni riguardanti minori o altre categorie di dati particolarmente sensibili.
Iscriviti al canale Telegram di Servicematica
Notizie, aggiornamenti ed interruzioni. Tutto in tempo reale.
LEGGI ANCHE
Nordio, “Grave travisamento. Investimenti aumentati del 25%”
Roma, 13 marzo 2024 – “Sono indignato dal grave e strumentale travisamento – da parte di alcuni esponenti dell’opposizione – delle mie parole pronunciate questa…
Corruzione, arrestato il Direttore generale di Sogei: contratti milionari sotto inchiesta
Sorpreso in flagranza di reato, con 15.000 euro, dai militari delle Fiamme gialle. Diciotto gli indagati, tra i quali il referente italiano di Elon Musk
Incidenti stradali nell’UE causano la morte di 20400 persone nel 2023
Nel 2023 20400 persone hanno perso la vita in incidenti stradali in tutta l'UE, con un calo dell’1% rispetto all'anno precedente, per un totale di…

