Nuova pietra miliare sui dati personali e dati anonimi, che non sono affatto la stessa cosa. A stabilirne i confini è ancora una volta l’Autorità garante francese per la protezione dei dati (CNIL) la quale, nell’ammonire il motore di ricerca francese QWANT su come lo stesso tratta (ancora) i dati personali, chiarisce bene grazie anche ad approfondite analisi tecniche, le differenze tra dati personali pseudonimizzati e dati anonimi.
Seguiamo il ragionamento della CNIL.
Indice degli argomenti
L’importanza della classificazione del dato
La classificazione del dato è assolutamente importante. Bisogna infatti distinguere tra dati: anonimi fin da principio, personali anonimizzati, personali pseudonimizzati. Per conseguenza molteplici possono essere gli scenari e annesse conseguenze.
Non solo Bitcoin sotto i riflettori: Scopri i trend 2025 in ambito Blockchain e Web3
In primis, un dato è del tutto anonimo quando nasce così, cioè non ha alcun riferimento fin dall’inizio a elementi identificativi di una persona. Se così è fuoriesce dal perimetro di applicazione del GDPR e in quanto tale non necessita di alcuna tutela.
In secondo luogo, un dato è anonimizzato quando nasce personale ma, grazie a delle tecniche, diventa anonimo. In questo caso, trova applicazione fino al momento della anonimizzazione, il GDPR e il processo è irreversibile.
Da ultimo, in questa prospettiva, un dato è pseudonimizzato quando nasce personale ma con delle sofisticate tecniche viene parzialmente anonimizzato e quindi può tornare in chiaro, quindi il processo è reversibile.
Un dato comune ai due scenari è certo: si tratta di dati che possono senz’altro essere considerati come relativi a una persona fisica e quindi rispondenti a uno dei criteri essenziali della definizione di dati personali.
Il caso QWANT e la sua portata innovativa
La CNIL, traendo spunto dall’ammonimento/memento al noto motore di ricerca francese QWANT, stabilisce bene le differenze tra dati personali anonimi e dati pseudonimizzati.
Ricordiamo che QWANT è una società francese che ha lanciato, nel 2013, il suo motore di ricerca, la quale ha da sempre ritenuto di “non raccogliere dati personali, grazie alle forti misure di protezione della privacy implementate”, sin da principio. Era il loro cavallo di battaglia specie con riferimento a quando gli utenti effettuavano una ricerca, e in particolare nel contesto della “visualizzazione di annunci pubblicitari correlati all’oggetto della ricerca”, così si legge nell’ammonimento in parola.
Ne conseguiva pertanto che i dati usati nell’ambito della vendita di spazi pubblicitari sul motore di ricerca, gestito tramite Microsoft, veniva raccolti in forma anonima.
La CNIL, a seguito di approfondite analisi tecniche, ha ritenuto che “i dati trasmessi non potessero essere qualificati come anonimi, ma solo pseudonimi” o meglio solo pseudoanonimizzati, rammentando come già nel 2019, la CNIL avesse classificato i dati trattati da QWANT non come dati anonimi, ma come dati personali meritevoli di tutela. A seguito di questa riclassificazione, la società QWANT pubblicava, nel 2020, una nuova politica/informativa sulla privacy relativa a questi dati.
Il precedente del 2019
Il 15 marzo 2019, la CNIL riceveva un reclamo contro la società QWANT, con la motivazione che, come si legge testualmente, “i dati personali raccolti costituivano dati personali e non dati anonimi e che pertanto la normativa sui dati personali non era stata rispettata”.
Sulla base di ciò, la CNIL effettuava due ispezioni presso l’Azienda, seguite da numerosi colloqui con la stessa. Tali indagini permettevano di stabilire che “i dati personali trasmessi da QWANT alla società Microsoft erano essenzialmente di tipo tecnico (ad esempio l’indirizzo IP troncato o l’indirizzo IP sottoposto a hash per creare un identificativo generato da QWANT), in modo che Microsoft potesse, testualmente:
- visualizzare annunci pubblicitari contestuali, correlati alla ricerca dell’utente, che per loro natura non richiedono il monitoraggio delle attività dell’utente nel tempo, né alimentano un profilo;
- contare il numero di visualizzazioni pubblicitarie;
- offrire di visualizzare i propri risultati di ricerca nel caso in cui QWANT non sia in grado di fornire risultati sufficienti, in numero o qualità.
Nel corso delle indagini, QWANT precisava di “ritenere che i mezzi tecnici da essa stessa adottati avessero l’effetto di rendere anonimi i dati raccolti prima della loro trasmissione alla società Microsoft”. Di qui, la medesima società riteneva di non aver trasmesso né di trasmettere alcun dato personale.
Peccato che da approfondite analisi tecniche, tenuto anche in conto della “natura altamente tecnica degli elementi del caso e del fatto che si trattava del primo sistema del suo genere esaminato”, la CNIL continuava a ritenere che, nonostante le misure messe in atto da QWANT, “alla luce in particolare delle raccomandazioni e della giurisprudenza pertinente all’epoca dei fatti, i dati trasmessi alla società Microsoft non potessero essere qualificati come anonimi”.
Non solo, considerata anche la natura transfrontaliera del trattamento, nel 2020 la CNIL, in qualità di autorità capofila, condivideva le sue conclusioni con le altre per discutere in particolare dell’analisi e della misura correttiva più appropriata, da cui poi è scaturito il memento di cui stiamo narrando oggi.
Gli obblighi di legge e la ratio della mancata multa
Nella decisione in questione, la CNIL ha preferito adottare la tecnica del memento/promemoria/ammonimento piuttosto che la via sanzionatoria. Spiegheremo poi il perché.
Intanto, la CNIL ha ricordato espressamente che “nonostante le forti precauzioni adottate nel 2019 per evitare la reidentificazione degli individui, l’insieme dei dati trasmessi a MICROSOFT non è stato reso anonimo, ma solo pseudonimizzato”.
In questo modo, QWANT ha errato nell’indicare in informativa privacy che i dati fossero anonimi. Nient’affatto. Di qui, l’obbligo di citare la finalità pubblicitaria della trasmissione dei dati alla società Microsoft, e la conseguente base giuridica utilizzata per detto trattamento, in conformità agli artt. 12 e 13 del GDPR.
Ma allora perché un memento e non una sanzione?
Rammentiamo che il richiamo agli obblighi di legge è una delle misure correttive che il presidente della CNIL può pronunciare con la messa in mora e l’avvertimento/ammonimento, precedente alla sanzione, visto il mancato carattere (dell’ammonimento) sanzionatorio.
Non solo, anche l’intento di QWANT consistente nel “sviluppare un motore di ricerca che consumasse pochissimi o nessun dato personale, utilizzando la pubblicità contestuale e non quella comportamentale” determinando un livello di invadenza di molto inferiore, e da qui l’avvertimento.
Del resto, come si legge testualmente “i dati trasmessi a MICROSOFT, essenzialmente tecnici, non sono stati conservati allo scopo di stabilire il profilo pubblicitario dell’utente”.
Ergo, nessun monitoraggio dell’attività dell’utente nel tempo.
Le ragioni dell’avvertimento e il suo contenuto in sintesi
Secondo la CNIL, in definitiva, i dati trasmessi a Microsoft sono pseudonimi o meglio pseudoanonimizzati, a maggior ragione in considerazione delle numerose misure tecniche adottate da QWANT al fine di ridurre il più possibile il rischio di reidentificazione.
Quindi, conclude la CNIL si è trattato di “un errore di analisi iniziale sulla qualificazione dei dati trasmessi che ha portato alle violazioni commesse, senza alcuna intenzione da parte della società QWANT di eludere le disposizioni del GDPR”.
Ad alleggerire la posizione di QWANT è stata anche la modifica nel corso del 2020 dell’informativa sulla privacy aggiornandola anche nelle diverse lingue, in modo che tutte le traduzioni includano le stesse informazioni, così come indicate dal provvedimento della CNIL del 2019.
Non di meno la buona fede e la collaborazione di QWANT hanno fatto sì che potesse bastare un mero richiamo agli obblighi di legge.
Alcune domande aperte
In conclusione, ancora una volta la frontiera dell’anonimizzazione o pseudo tale, è una tematica centrale nella materia della protezione dei dati.
E al riguardo restano aperte talune domande come, ad esempio, se i dati che consentono di individuare una persona, senza poter risalire a priori all’identità della medesima, sono dati personali?
Deep Analytics: trasforma i tuoi dati in decisioni strategiche
