La recente decisione del Garante per la protezione dei dati personali ha fornito indicazioni sul vero significato di anonimizzazione dei dati personali e sull’importante distinzione tra il ruolo del DPO come supervisore – e non come esecutore. In un mondo dominato dall’intelligenza artificiale e dalla sorveglianza pubblica, entrambi i concetti sono più rilevanti che mai.
Il 10 aprile 2025, il Garante ha emesso una sanzione di € 9.000 nei confronti di AMAT, società partecipata dal Comune di Milano, per violazioni della privacy legate a un sistema di monitoraggio del traffico basato sull’intelligenza artificiale. Il progetto prevedeva l’uso di telecamere che riprendevano gli utenti della strada – inclusi pedoni e ciclisti – con dati trattati in tempo reale. Sebbene AMAT sostenesse che i dati fossero stati anonimizzati, l’Autorità ha riscontrato che l’anonimizzazione dei dati personali non era stata effettivamente realizzata.
Quando l’Anonimizzazione dei Dati Personali Non è Sufficiente
Il Garante ha ribadito che l’anonimizzazione dei dati personali richiede molto più che oscurare volti o targhe. Per essere considerati anonimi secondo il GDPR, i dati devono essere privati di ogni identificatore in modo tale che la reidentificazione risulti impossibile, anche combinando le informazioni con altre fonti ragionevolmente accessibili.
In questo caso, sebbene i volti e le targhe fossero stati offuscati, le persone potevano comunque essere indirettamente identificate tramite elementi contestuali come la corporatura, l’abbigliamento e la posizione. Di conseguenza, i dati mantenevano la loro natura di dati personali, attivando tutti gli obblighi previsti dal GDPR. Il concetto di anonimizzazione è stato quindi applicato in modo errato – e questo errore è stato uno dei principali elementi della violazione.
Il DPO Non è un Esecutore: L’Indipendenza È Fondamentale
Ancora più critica è stata la questione riguardante il Responsabile della Protezione dei Dati (DPO). AMAT aveva incaricato il proprio DPO interno di redigere e firmare la Valutazione d’Impatto sulla Protezione dei Dati (DPIA). Secondo il Garante, ciò è in diretto contrasto con quanto previsto dal GDPR – e con il ruolo del DPO come consulente indipendente e supervisore.
Il GDPR stabilisce chiaramente che un DPO non può essere esecutore delle attività di conformità. La sua indipendenza deve essere tutelata, e assegnargli responsabilità operative – come la redazione della DPIA – crea un conflitto d’interessi. Questa decisione rafforza i confini legali: il DPO non è un esecutore, e trattarlo come tale mina l’integrità dell’intero sistema di conformità.
È la terza volta in meno di due anni che il Garante prende una posizione pubblica sulla pericolosità di un DPO impiegato come esecutore – e appare chiaro che il Garante non intende più tollerare ambiguità su questo punto.
Carenze di Trasparenza e Governance Inefficace
Oltre ai due problemi principali – anonimizzazione dei dati e ruolo improprio del DPO – la decisione ha evidenziato anche carenze in materia di trasparenza. La cartellonistica informativa e le informative privacy erano assenti, ritardate o incomplete. Alcune informative descrivevano in modo inaccurato il processo di anonimizzazione e omettevano dettagli fondamentali, come i tempi di conservazione dei dati e la base giuridica del trattamento.
L’Autorità ha inoltre rilevato che la DPIA non era chiaramente datata né formalmente protocollata, sollevando dubbi sul fatto che fosse stata effettivamente completata prima dell’avvio delle attività di sorveglianza.
Considerazioni Finali
Questa decisione rappresenta un chiaro segnale per le autorità pubbliche e le aziende private:
- L’anonimizzazione dei dati personali deve soddisfare i rigorosi requisiti previsti dal GDPR – non è sufficiente un mascheramento tecnico o un offuscamento superficiale.
- Il DPO non deve mai essere trattato come un esecutore. Il suo ruolo è di supervisione, non di attuazione.
- I modelli di governance devono separare in modo netto la responsabilità giuridica dalla consulenza indipendente.
Man mano che città e aziende implementano strumenti di monitoraggio basati sull’intelligenza artificiale, questi principi devono essere integrati fin dall’inizio – non aggiunti successivamente come misure di mitigazione del rischio.
Su un argomento simile può risultare di interesse: “Il Garante emette la prima sanzione ai sensi del GDPR per violazione della privacy sui metadati delle e-mail dei dipendenti in Italia“.
About the Author: Giulio Coraggio
