Revenge Porn: l’impronta di hash su immagini e video oggetto di segnalazione ex art. 144-bis Codice Privacy
Massimazione e Commenti ai Provvedimenti del Garante a cura dell’Osservatorio Privacy collegato con il Corso di Alta Formazione in Data Protection e Privacy Officer dell’Università di Bologna https://site.unibo.it/dpo
Massima (1) – Va disposta, da parte dell’Internet Service Provider (ISP) gestore di una piattaforma online per la condivisione di contenuti digitali da parte degli utenti, l’immediata adozione di misure volte ad impedire la diffusione, sulla propria piattaforma, del materiale oggetto della segnalazione in materia di revenge porn, effettuata ai sensi dell’art. 144-bis del Codice in materia di protezione dei dati personali, con file contraddistinto mediante impronta di hash.
Massima (2) – L’eventuale materiale oggetto di segnalazione in tema di revenge porn di cui all’art. 144-bis del Codice in materia di protezione dei dati personali, che dovesse essere acquisito in chiaro dalla relativa piattaforma, deve essere conservato, a soli fini probatori, per dodici mesi a decorrere dal ricevimento del provvedimento utilizzando misure idonee a impedire la diretta identificabilità degli interessati da comunicarsi tempestivamente all’Autorità garante per la protezione dei dati personali.
Provvedimento: GPDP, Docweb nn. 9793939 e 9793975 del 21 luglio 2022
Link: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9793939
https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9793975
Keywords: Revenge porn, impronta di hash, cyberbullismo, piattaforme digitali, misure di sicurezza, misure idonee a impedire la diretta identificabilità degli interessati, segnalazione, rimozione materiale illecito, acquisizione in chiaro, diffusione dei dati, conservazione a fini probatori, comunicazione al Garante.
Riferimenti normativi: art. 58 Reg. UE 2016/679 (GDPR); artt. 143, 144 e 144-bis Codice privacy; Deliberazione del 27 gennaio 2022 – Modifiche al regolamento n. 1/2019 in materia di revenge porn (Docweb n. 9744477); art. 612-ter cod. pen.; dir. 2000/31/CE; d.lgs. 70/2003; Digital Services Act (DSA); Digital Markets Act (DMA).
Data del commento: 22 agosto 2022
Massime e Commento di Stefania Calosso
1. Il caso
Oggetto di entrambi i provvedimenti in commento, resi dal Garante per la protezione dei dati personali in data 21 luglio 2022, Docweb n. 9793939 e Docweb n. 9793975, è una segnalazione con la quale l’interessato ha dichiarato di versare in una delle ipotesi di revenge porn previste dall’art. 144-bis Codice privacy chiedendo l’intervento dell’Autorità nei confronti dei gestori delle piattaforme You Tube, Facebook e Instagram, nel secondo caso (Docweb n. 9793975), e Facebook, nel primo caso (Docweb n. 9793939), al fine di impedire la diffusione del materiale oggetto della segnalazione medesima.
Il Garante, con i provvedimenti in commento, ha ratificato le determinazioni con le quali il Dirigente del Dipartimento libertà manifestazione del pensiero e cyberbullismo, previa verifica della compatibilità di quanto segnalato con l’art. 144-bis Codice privacy, ha provveduto, in via d’ urgenza, a:
(i) «ingiungere a Google Italy S.r.l. ed a Google LLC l’immediata adozione di misure volte ad impedire la diffusione sulla piattaforma You Tube del materiale oggetto della suindicata segnalazione, riportato mediante impronta di hash del relativo file; ingiungere a Facebook Italy e Meta Platforms Ireland Limited l’immediata adozione di misure volte ad impedire la diffusione mediante le piattaforme Facebook ed Instagram del materiale oggetto della suindicata segnalazione, trasmesso dall’Ufficio secondo le modalità indicate da Facebook Italy per questa prima fase di attuazione del disposto normativo», la prima;
(ii) «ingiungere a Facebook Italy e Meta Platforms Ireland Limited l’immediata adozione di misure volte ad impedire la diffusione sulla piattaforma Facebook del materiale oggetto della suindicata segnalazione, trasmesso dall’Ufficio secondo le modalità indicate da Facebook Italy per questa prima fase di attuazione del disposto normativo», la seconda.
In entrambi i casi, veniva altresì prescritta alle società ingiunte «la conservazione dell’eventuale materiale oggetto della segnalazione che dovesse essere acquisito in chiaro dalla relativa piattaforma, a soli fini probatori, per dodici mesi a decorrere dal ricevimento del provvedimento utilizzando misure idonee a impedire la diretta identificabilità degli interessati da comunicarsi tempestivamente all’Autorità».
2. Le questioni
Entrambi i casi, che vertono sul medesimo argomento, presentano analoghe questioni e possono essere trattati congiuntamente.
Nel presente commento si pone l’attenzione su due questioni di particolare interesse:
la prima riguarda la tipologia dello strumento tecnologico con cui si è inteso dare attuazione alla misura prescelta dal Garante per l’individuazione dei file oggetto della segnalazione di revenge porn, al fine di agire con adeguate misure volte ad impedirne la diffusione a prescindere dalla sua ubicazione online e, dunque, a prescindere dall’URL individuato dal segnalante, facendo così in modo che l’obbligo di impedire la diffusione del materiale illecito riguardi il medesimo file, da individuare a cura del provider anche là dove sia stato oggetto di duplicazioni o ulteriori condivisioni sulle proprie piattaforme.
Nei provvedimenti in esame la scelta del Garante è ricaduta sulla funzione di hash, tecnica che consente di imprimere un’“impronta” (un codice alfanumerico univoco) ad un determinato file, consentendo in tal modo di individuare altri fileidentici da rimuovere, qualora, applicando la medesima funzione, diano come risultato la medesima impronta.
Con il provvedimento del 21 luglio 2022, Docweb n. 9793975, infatti, il Garante ha trasmesso alle Società ingiunte il materiale oggetto di segnalazione mediante impronta di hash del relativo file (e non più, come in passato, tramite l’URL), mentre nel provvedimento Docweb n. 9793939, precedentemente emesso in pari data, ha recepito, facendole proprie, le modalità indicate da Facebook Italy che pure contemplano l’utilizzo di tale strumento.
Tali provvedimenti, peraltro allineati a quelli adottati in precedenza successivamente alle modifiche normative introdotte al codice privacy nel dicembre 2021, offrono lo spunto per meglio chiarire in cosa consista la tecnica di hashing, come venga utilizzata nelle fattispecie in esame e quale sia il grado di sicurezza in relazione alla finalità per la quale è stata adottata.
La seconda questione riguarda l’obbligo, per il gestore della piattaforma digitale destinatario dell’ingiunzione, di conservare in chiaro, ove in tal forma lo abbia acquisito, a soli fini probatori, il materiale illecito oggetto di segnalazione di revenge porn, nonostante sia al contempo oggetto di adeguate misure volte a impedirne la diffusione.
2.1. Le misure volte a individuare e impedire la diffusione di materiale illecito, oggetto di segnalazione di revenge porn ex art. 144-bis Codice privacy
2.1.1. La funzione di hash
La funzione di hash (o tecnica o sistema di hashing) è una funzione unidirezionale, cosidetta One Way Function, che genera a partire dal documento, sia esso di testo, immagine, video-immagine e/o audio, di qualsivoglia formato e dimensione, una stringa alfanumerica la cui lunghezza (detta “digest” o “impronta” o, ancora, “valore di hash”) varia a seconda dell’algoritmo utilizzato ed è costante (cioè non varia al variare della dimensione dei dati di input).
Le Regole tecniche sulle firme elettroniche avanzate, qualificate e digitali adottate nel 2013 in attuazione del Codice dell’amministrazione digitale definiscono all’art. 1 la funzione di hash come «una funzione matematica che genera, a partire da una evidenza informatica, una impronta in modo tale che risulti di fatto impossibile, a partire da questa, ricostruire l’evidenza informatica originaria e generare impronte uguali a partire da evidenze informatiche differenti».
L’algoritmo di hash è quindi unidirezionale, nel senso che il suo valore non consente, partendo dall’impronta, di risalire direttamente al documento originario e si caratterizza per la forte resistenza alle collisioni, nel senso che è pressoché impossibile determinare due impronte uguali partendo da due differenti documenti.
Le caratteristiche del sistema di hashing sopradescritte ne hanno determinato il rilievo anche come tecnica di pseudonimizzazione particolarmente efficace nella protezione dei dati personali ai fini della rimozione del materiale illecito, dato che, una volta calcolata l’impronta (o digest), non è più necessaria la conservazione del file originale, contenente dati che possono portare ad identificare la vittima di revenge porn, utilizzato come “campione” di confronto per individuare tutti gli altri file nei cui confronti agire per impedirne la circolazione. Tuttavia, è bene tenere a mente che la sicurezza di tale misura postula che il documento in chiaro, a cui applicare la funzione di hash, sia conservato separatamente dall’impronta, a soli fini probatori, e che entrambi siano oggetto delle opportune misure tecniche e organizzative in modo tale da ridurre il più possibile il rischio di re-identificazione che è possibile avendo accesso ai dati di input e all’ impronta.
2.1.2. Le modalità indicate di Facebook Italy
Nel 2017 Meta (all’epoca Facebook) ebbe a creare un c.d. “progetto pilota” avviato inizialmente in Australia in collaborazione con l’Agenzia governativa per l’E-Safety, The eSafety Commissioner, e successivamente in alti Paesi fra i quali gli Stati Uniti, il Regno Unito, Canada e India, volto a bloccare, in via preventiva, la diffusione non consensuale di immagini e video a contenuto esplicitamente sessuale.
Il programma consiste nella messa a disposizione della potenziale vittima di un canale sicuro di trasferimento per la trasmissione del materiale audiovisivo di cui teme la diffusione e che la piattaforma, una volta ricevutolo, contrassegna con una tecnica di hashing; l’impronta viene conservata e il materiale cancellato entro il settimo giorno dal ricevimento.
In Italia, dal 2020, tramite l’associazione no-profit «Permesso negato», è stato reso possibile alle potenziali vittime partecipare a tale programma.
Successivamente, a decorrere dall’8 marzo 2021 Facebook ne ha esteso l’accesso al Garante, sicchè a partire da tale data chiunque – purché ultra quattordicenne – tema la pubblicazione sulla piattaforma di immagini e/o video intimi può dare impulso alla segnalazione accedendo alla pagina https://www.garanteprivacy.it/temi/revengporn, scaricando l’apposito modello di segnalazione e inviandolo, una volta completato, all’indirizzo email ivi indicato.
Più nello specifico, l’iter è il seguente: a seguito della richiesta di accesso al programma da parte dell’utente, il partner – l’organizzazione no-profit «Permesso negato» – invia una scheda di accettazione – nel caso particolare del Garante la potenziale vittima può invece, come detto poc’anzi – scaricare e compilare direttamente in autonomia il modello da inviare all’indirizzo e-mail dedicato – a Facebook Italy nella quale sono indicati, oltre al nome della potenziale vittima e il link del suo profilo Facebook, un indirizzo e-mail sicuro a cui il team di Facebook Italy invia successivamente un URL protetto e monouso dove l’utente potrà caricare il materiale del quale teme la pubblicazione. Entro 48 ore dal ricevimento del materiale il team crea, attraverso una tecnica di hashing, un digest che verrà confrontato con quella di altri video e immagini online sulla piattaforma e, qualora venga riscontrata una corrispondenza tra l’hash e un contenuto pubblicato, ne verrà disposto l’immediato blocco. Per tutte le comunicazioni in merito allo stato della segnalazione e/o eventuali informazioni aggiuntive verrà utilizzato l’indirizzo e-mail dedicato.
2.1.3. La funzione di hash come misura per impedire la diretta identificabilità dell’interessato ex art. 144-bis, co. 5, Codice privacy
Con i due provvedimenti in esame, che, come detto, non si discostano sul punto dai precedenti adottati dopo l’introduzione dell’art. 144-bis Codice privacy, il Garante ha indicato come misura per impedire la diretta identificabilità della persona interessata la tecnica di hashing. Lo ha fatto in maniera diretta nei confronti di Google relativamente alla piattaforma You Tube e, indirettamente, nei confronti di Facebook Italy e Meta Platform Ireland LLC con riguardo alle piattaforme Facebook e Instagram richiamando le modalità da queste ultime adottate, che contemplano l’utilizzo di tale tecnica.
Pare, quindi, potersi affermare che il sistema di hashing assurga a misura ritenuta dal Garante idonea a individuare con sicurezza i file illeciti da rimuovere e, al contempo, impedire nella fattispecie la diretta identificabilità dell’interessato, nel senso che si è sopra precisato, ossia senza necessità di individuare di volta in volta, nel merito, i contenuti del file, che possano portare all’identificazione della vittima e ad un’ulteriore esposizione a possibili pregiudizi.
Ciò è senz’altro vero, tuttavia, giova rammentare che il digest, nelle fattispecie in esame, è un dato pseudonimo e, come tale, un dato personale a tutti gli effetti, dal quale è possibile re-identificare la persona ritratta nel file oggetto di misura volta a impedirne la diffusione.
La pseudonimizzazione, infatti, altro non è che la sostituzione, effettuata tramite differenti tecniche, tra cui la funzione di hash, di un attributo univoco di un dato con un altro ugualmente univoco e non immediatamente intelleggibile, tale per cui risulta più complessa l’identificazione, restando tuttavia inalterato il quadro di certezza nella concatenazione dei passaggi necessari per l’attribuzione del dato alla persona, passaggi che, seppur difficoltosi, ove ripercorsi a ritroso possono ricondurre nuovamente alla identificazione della persona. In tal caso, stante le caratteristiche della funzione di hash, che come detto si presenta unidirezionale, è possibile ricollegare l’impronta (il digest) all’identità della vittima riapplicando la funzione di hash al file originale, utilizzato come “campione” a fini probatori.
Ciò vale a sottolineare che, in una fattispecie così delicata qual è quella in esame, l’adozione di tale misura sul materiale segnalato non esaurisce affatto gli accorgimenti che le gli ISP sono comunque tenuti ad adottare, i quali non consistono soltanto in misure tecniche ma anche organizzative, nell’ ottica del perseguimento di una piena compliance al GDPR, da raggiungersi anche, ma non soltanto, attraverso l’utilizzo delle nuove tecnologie.
Imprescindibile si ritiene debba essere una accorta valutazione del rischio che tenga conto delle vulnerabilità della tecnica di hashing non solo con riguardo alle modalità di conservazione separate di impronta e dati di input, ma altresì a quelle di conservazione e/o accesso di ulteriori informazioni che non necessariamente devono anch’esse essere dati personali.
Il rischio di re-identificazione, infatti, aumenta ove sia possibile collegare all’impronta ulteriori informazioni e in particolare: dati personali direttamente e indirettamente identificativi, nonché informazioni desumibili dalle misure tecnico-organizzative impiegate nel trattamento dei dati.
Sulla prima tipologia, nulla quaestio. Occorre che tali dati siano conservati separatamente e in modo altamente sicuro; sulla seconda tipologia, poiché in sostanza si tratta di tutti quei dati che rimangono all’interno del dataset successivamente all’applicazione della funzione di hash, il ricorso a tecniche di randomizzazione o generalizzazione ridurrebbe alquanto il rischio che la loro intersezione con altre informazioni riduca l’efficacia dell’hashing fornendo, di fatto, indicazioni sul contenuto dell’impronta; medesima considerazione vale altresì per la terza tipologia di informazioni.
Quali potrebbero essere, quindi, le misure per contenere il rischio di re-identificazione?
Lo studio AEPD-EDPS (AEPD-EDPS, Introduction to the hash function as a personal data pseudonymisation technique, 2019) ne indica alcune, quali l’impiego di algoritmi di crittografia in combinazione con la funzione di hash, l’aggiunta di “salt” (sequenza casuale di bit) ai dati di input e tecniche di privacy differenziale, come ad esempio quella che aggiunge a questi ultimi un “valore di rumore”.
In conclusione, come ha sottolineato l’ENISA «il campo della pseudonimizzazione dei dati in infrastrutture informatiche complesse risulta impegnativo, poiché dipende strettamente da questioni di contesto, entità coinvolte, tipologie di dati, conoscenze generali e dettagli di implementazione. È in effetti emerso come non esista una soluzione semplice e univoca per la pseudonimizzazione, in grado di funzionare per tutti gli approcci e in tutti gli scenari possibili. Al contrario, per applicare un processo di pseudonimizzazione solido è necessaria un’elevata competenza, riducendo possibilmente la minaccia di discriminazioni o di attacchi di re-identificazione, e mantenendo al contempo il grado di funzionalità necessario per il trattamento dei dati pseudonimizzati» (ENISA, Pseudonymisation Techniques and best practice, 2019). Ancora, prosegue l’ENISA, «Per scegliere la corretta tecnica di pseudonimizzazione risulta pertanto necessario adottare un approccio basato sul rischio, così da valutare in maniera adeguata e ridurre le relative minacce alla privacy. In effetti, il semplice fatto di proteggere i dati aggiuntivi necessari per la re-identificazione, sebbene si tratti di un prerequisito, non garantisce necessariamente l’eliminazione di tutti i rischi» (Ibidem).
È pertanto imprescindibile, in special modo nelle fattispecie in commento, attesa la tipologia “sensibilissima” di dati personali da proteggere, che gli ISP attuino la pseudonimizzazione secondo un approccio basato sul rischio in relazione allo scopo e al contesto del trattamento dei dati personali, tenuto conto dei livelli di funzionalità e scalabilità che occorre raggiungere.
2.2. L’obbligo di conservazione in chiaro, per soli fini probatori, del materiale illecito, oggetto di segnalazione exart. 144-bis Codice privacy
Qualora i gestori delle piattaforme abbiano acquisito in chiaro il materiale oggetto della segnalazione ex art. 144-bis Codice privacy, l’Autorità Garante per la protezione dei dati personali con le pronunce in commento ne ha prescritto loro la conservazione nella medesima forma, a soli fini probatori, per un periodo di dodici mesi «utilizzando misure idonee a impedire la diretta identificabilità degli interessati da comunicarsi tempestivamente all’Autorità».
Premesso che il co. 4 dell’art. 144-bis Codice privacy dispone che «i gestori delle piattaforme digitali destinatari dei provvedimenti di cui al comma 1 conservano il materiale oggetto della segnalazione, a soli fini probatori e con misure idonee a impedire la diretta identificabilità degli interessati, per dodici mesi a decorrere dal ricevimento del provvedimento stesso», si osserva che nel decisum dei provvedimenti resi dal Garante v’è un duplice quid pluris rispetto al dato normativo.
Il primo è costituito dall’estensione dell’obbligo di conservazione anche in chiaro dei files che dovessero essere stati acquisiti dagli ISP in tale forma, così da garantire, per il periodo prescritto, la genuinità della prova che dovesse essere oggetto di acquisizione agli atti dell’eventuale procedimento penale e/o civile, quest’ultimo a fini risarcitori; il secondo, è rappresentato dalla rimessione ai gestori delle piattaforme della scelta delle misure idonee a impedire la diretta identificabilità delle vittime unitamente all’obbligo della loro comunicazione all’Autorità medesima, il che conduce a presupporre la formulazione ex post, da parte di quest’ultima, di un giudizio di idoneità, il cui esito negativo andrebbe verosimilmente a sfociare in un provvedimento correttivo.
Infine, per completezza argomentativa, si richiama l’art. 144-bis, co. 7, Codice privacy il quale statuisce che «quando il Garante, a seguito della ricezione della segnalazione di cui al comma 1, acquisisce notizia della consumazione del reato di cui all’art. 612-ter del codice penale, anche in forma tentata, nel caso di procedibilità d’ufficio trasmette al pubblico ministero la segnalazione ricevuta e la documentazione acquisita»; tale norma, infatti, ove letta in combinato disposto con l’art. 17, co. 2, lett. a), d.lgs. 70/2003, secondo cui l’ISP è tenuto «ad informare senza indugio l’autorità giudiziaria o quella amministrativa avente funzioni di vigilanza, qualora sia a conoscenza di presunte attività o informazioni illecite riguardanti un suo destinatario del servizio della società dell’informazione» evidenzia una “zona grigia” in relazione alla individuazione, da parte dell’ISP, della corretta condotta da adottare in tali casi: è sufficiente che provveda alla sola segnalazione al Garante, il quale poi, a suo volta, ricorrendo la fattispecie di cui al richiamato art. 144-bis, co. 7, Codice privacy provvederà a trasmetterla al pubblico ministero, ovvero dovrà procedere altresì a informare l’Autorità Giudiziaria? Quid facere in relazione ai casi che integrano il reato di diffusione illecita di immagini o video sessualmente espliciti di cui all’art. 612-ter cod. pen. procedibili a querela di parte e non d’ufficio, nonché alla data retention dei files e relativa forma?
Non senza rammentare che tali quesiti hanno breve sopravvivenza, atteso che saranno emanate in questi mesi le disposizioni contenute nel c.d. “Digital Service Package” approvato dal Parlamento europeo il 5 luglio 2022, composto dal c.d. “Digital Markets Act” (DMA) e dal “Digital Services Act” (DSA), sui quali è stato raggiunto l’accordo istituzionale tra il Parlamento e il Consiglio dell’UE rispettivamente il 24 marzo e il 23 aprile del 2022 (cfr. European Parliament, Digital Services: landmark rules adopted for a safer, open online environment, comunicato stampa del 5 luglio 2022).
Il DSA, infatti, sostituirà, novandolo, il precedente regime di responsabilità dei fornitori di servizi della società dell’informazione costituito dalla dir. 2000/31/CE sull’e-commerce al precipuo scopo di delineare un nuovo quadro della responsabilità dei gestori delle piattaforme digitali con riguardo alla diffusione di contenuti illegali e dannosi, introducendo nuove procedure per una più celere rimozione dei contenuti illegali.
Al riguardo ci si limita a osservare che l’emananda normativa unionista (le cui norme saranno applicabili, salvo diversa disposizione, quindici mesi dopo la loro pubblicazione nella G.U.U.E.) non pare andare esente da dubbi e problematiche interpretative, anche sotto il profilo del suo coordinamento con le norme domestiche, incluso quelle considerate nel presente commento, sicché se ne auspica, nell’attesa di future pronunce, una attenta riflessione, attesa la grande delicatezza della materia.
3. Precedenti
In materia di revenge porn (successivamente all’introduzione con d.l. 8 ottobre 2021, n. 139, convertito, con modificazioni, dalla l. 3 dicembre 2021, n. 205, dell’art. 144-bis codice privacy, nonché all’integrazione con Deliberazione del 27 gennaio 2022 – Modifiche al regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali (Deliberazione 4 aprile 2019) di cui all’art. 33-bis, come formulata nell’Allegato A alla deliberazione medesima (Docweb n. 9744477) si vedano: Docweb nn. 9775414, 9775327 e 9775401 del 28 aprile 2022, e Docweb nn. 9775948 e 9775932 del 22 maggio 2022.
In tutti i richiamati provvedimenti, il Garante, parimenti a quelli in commento, ha indicato ex art. 144-bis, co. 5, Codice privacy, quale misura da adottare per impedire la diretta identificabilità degli interessati, la funzione di hash e/o le modalità indicate da Facebook Italy, oltre all’obbligo di conservazione in chiaro, a soli fini probatori, del materiale per un periodo di dodici mesi.
Con riguardo ai dati pseudonimi, si vedano invece:
(i) il provv. del 15 ottobre 2015, Docweb n. 4541143, in materia di profilazione degli utenti nell’ambito dei servizi di comunicazione elettronica, secondo cui:
«Il processo di cifratura (hashing) …omissis… coinvolge informazioni che presentano caratteristiche tali da consentire, anche successivamente all’applicazione di meccanismi criptografici, di mantenere un collegamento tra l’informazione originaria e quella ottenuta a seguito della suddetta applicazione.
Come è noto, la direttiva 95/46/CE (art. 2, lett. a) ed il Codice (art. 4, comma 1, lett. b), nel delineare il concetto di dato personale definiscono un´ informazione riferibile ad una persona fisica identificata o identificabile sia direttamente che indirettamente.
Con riguardo a tale ultimo aspetto la possibilità di identificare indirettamente un soggetto può sostanzialmente declinarsi, così come emerge anche dai pareri resi dal Gruppo ex art. 29, sulla base di due direttrici interpretative.
La prima delinea tale possibilità qualora i dati trattati, anche combinati con altre informazioni contestuali nella disponibilità del titolare del trattamento, consentano di pervenire ad un dato intellegibile e, quindi, di distinguere la persona da tutte le altre (Opinion del WP 29 n.4 /2007).
La seconda prospetta la possibilità di identificare la persona anche nel caso in cui il dato, pur se non intellegibile, consenta comunque al titolare o ad una terza parte di assumere decisioni che producono effetti sulla persona stessa, persino a sua insaputa.
Pertanto, una procedura di anonimizzazione non può dirsi compiuta qualora mantenga la possibilità di isolare un soggetto all’interno di un gruppo e ciò anche quando l’identificativo che viene usato per consentire al titolare di assumere decisioni che riguardano tale soggetto sia non immediatamente intellegibile per effetto dell´ applicazione di una tecnica crittografica (Opinion del WP 29 n. 05/2014).
Del resto, già il Considerando 26 della citata direttiva 95/46/CE offre una serie di elementi che consentono di valutare l´ efficacia di una tecnica di anonimizzazione, prevedendo espressamente che per determinare se una persona è identificabile è opportuno prendere in considerazione l´ insieme dei mezzi che possono essere ragionevolmente utilizzati dal titolare del trattamento o da altri per identificare detta persona.
Peraltro, anche laddove il titolare del trattamento non disponga o non disponga più di strumenti tecnici (come ad es. una chiave o tabella di de-codifica) che consentano di “risalire a ritroso” all’identità dell’utente, deve sempre valutarsi la possibilità di assumere comunque nei confronti dello stesso decisioni che lo riguardano.
Del resto, sempre nel citato parere del Gruppo di lavoro n. 05/2014, è evidenziato come la pseudonimizzazione che costituisce una misura di sicurezza utile e non un metodo di anonimizzazione implichi frequentemente il ricorso alla crittografia spesso con chiave segreta, ovvero alla funzione di hash».
(ii) il provv. del 22 maggio 2018, Docweb n. 9022068, in risposta ad una richiesta di verifica preliminare concernente la raccolta, l’analisi e l’elaborazione di dati attraverso l’installazione di apparecchiature per finalità di marketing e ricerche di mercato, ove si afferma che «gli indirizzi Mac sono dati personali e lo restano anche dopo l’adozione di misure di sicurezza quali l’hashing».
4. Bibliografia
In materia di revenge porn si vedano: A. Sorgato (a cura di), Revenge porn. Aspetti giuridici, informatici, psicologici, Milano, 2019; V. Casalnuovo-S. Colella, Il nuovo reato di diffusione illecita di immagini o video sessualmente espliciti (c.d. “revenge porn”) introdotto dal codice rosso, in Riv. pen., 2019, 10, pp. 863-866; M. Fabozzo, Analisi normativa e profili problematici del reato di “diffusione illecita di immagini o video a contenuto sessualmente esplicito” (c.d. “revenge porn”) ex art. 612-ter c.p., in Riv. pen., 2020, 2, pp. 149-154; C. Zannelli, “Revenge porn”. Pregi e aporie della nuova fattispecie di cui all’art. 612-ter c.p., in Dir. fam. e pers., 2021, 3, II, pp. 1428-1456.
Sulla funzione di hash si vedano invece, per un inquadramento: E. Bassoli, Aspetti tecnici della firma digitale: la crittografia, in F. Celentano (a cura di), Manuale breve di informatica del giurista, Pisa, 2020, pp. 320 ss.; M. Martoni, Documento informatico e firme elettroniche, in C. Di Cocco-G. Sartor (a cura di), Temi di diritto dell’informatica, Torino, 2017, pp. 48 ss.; G. Rognetta, La firma digitale e il documento informatico, Napoli, 1999, pp. 12 ss.
Sul medesimo tema si segnalano, altresì: AEPD-EDPS, Introduction to the hash function as a personal data pseudonymisation technique, 2019; ENISA, Tecniche di pseudonimizzazione e migliori pratiche – Raccomandazioni per sviluppare tecnologie conformi alle disposizioni in materia di protezione dei dati e privacy, 2019; ENISA
Recommendations on shaping technology according to GDPR provisions An overview on data pseudonymisation, 2018; ENISA, Report – Data Pseudonymisation – Advanced Techniques and Use Cases, 2021.
Quanto alla disciplina in tema di responsabilità degli Internet Service Provider di cui alla dir. 2000/31/CE sul commercio elettronico e alle norme interne di attuazione (d.lgs. 70/2003) si veda F. Bravo, voce Commercio elettronico, in Enc. dir., Milano, 2012 (Annali V), pp. 253 ss.; nonché F. Bravo, La responsabilità civile degli Internet Service Providers, in G. Alpa-G. Conte (a cura di), La responsabilità d’impresa, Milano, 2015, pp. 688-770. Sul Digital Service Act (DSA) si vedano invece S. Scola, Digital Services Act: occasioni mancate e prospettive future nella recente proposta di regolamento europeo per il mercato unico dei servizi digitali e F. Mollo, La responsabilità del provider alla luce del Digital Service Act, entrambi in Contr. e impr. Europa, 2022, 1, rispettivamente a pp. 127 ss. e pp. 173 ss.
Massimazione e Commenti ai Provvedimenti del Garante a cura dell’Osservatorio Privacy collegato con il Corso di Alta Formazione in Data Protection e Privacy Officer dell’Università di Bologna https://site.unibo.it/dpo
