PSEUDONIMIZZAZIONE E ANONIMIZZAZIONE

DUE FACCE DELLA STESSA MEDAGLIA

In ambito privacy confondere pseudonimizzazione e anonimizzazione dei dati è un errore piuttosto comune.  

La differenza tra questi due tecniche è sottile ma importante. Mentre la pseudonimizzazione mira a rendere più difficile l’identificazione dell’interessato, l’anonimizzazione la preclude totalmente. 

PSEUDONIMIZZAZIONE 

Consiste nel separare dai dati personali tutte quelle informazioni che consentono l’identificazione diretta o indiretta dell’interessato. Ad esempio, il codice fiscale consente una identificazione diretta mentre la data di nascita consente una identificazione indiretta, ovvero che necessita di ulteriori informazioni per ricondurre in modo preciso all’identità dell’interessato. 

Il primo passo per pseudonimizzare una base dati è proprio quello di identificare quali delle informazioni in nostro possesso consentono l’identificazione diretta o indiretta. Dopodiché, occorre separare tali informazioni dai dati personali degli interessati. La separazione deve essere studiata, dal punto di vista tecnico, per non consentire un facile ricongiungimento delle informazioni. Questo accorgimento offre un grado di protezione sufficiente a garantire che durante le attività di manutenzione e movimentazione degli archivi, così come in caso di data breach, se uno dei due gruppi di informazioni cade in mani sbagliate è difficile che i dati trafugati possano essere utilizzati a danno degli interessati. 

La pseudonimizzazione nasce però con l’intento di essere reversibile, infatti, in qualsiasi momento, chi gode di un accesso autorizzato ai dati deve poter riunire il dato personale con l’identità della persona cui si riferisce.  Questo è possibile utilizzando una chiave di corrispondenza, ovvero di un codice univoco (generalmente un numero o un testo), che mette in correlazione le identità con i dati personali. 

Facciamo un esempio pratico. 

Supponiamo che il nostro archivio contenga nome, cognome, data di nascita e gruppo sanguigno dei nostri interessati. Ipotizziamo che i dati contenuti siano: 
Mario Rossi, 01/03/1990, A+ 
Riccardo Verde, 10/05/1992, A-

Nome e cognome sono dati identificativi diretti, la data di nascita è un dato identificativo indiretto, il gruppo sanguigno è il dato personale. 

Dividiamo la base dati in due e, a ogni riga, aggiungiamo la chiave di corrispondenza. Otteniamo da un lato le identità: 

K1, Mario Rossi, 01/03/1990 

K2, Riccardo Verde, 10/05/1992 

E il gruppo dei dati personali: 

K1, A+ 

K2, A- 

 

All’occorrenza tramite le chiavi K1 e K2 sarà possibile riunire le informazioni.  

ANONIMIZZAZIONE

Citando il considerando 26 del GDPR: “i dati anonimizzati sono dati personali resi sufficientemente anonimi da impedire o non consentire più l’identificazione dell’interessato”. 

L’anonimizzazione è quindi un processo irreversibile, pertanto richiede uno studio accurato che talvolta può diventare molto complesso. 

I dati devono essere privati di tutte le informazioni utili all’identificazione diretta e indiretta. Per raggiungere tale scopo si usano tecniche di rimozione o di offuscamento. La rimozione, come già si può intuire, consiste nel cancellare l’informazione. Si applica ad esempio cancellando nome e cognome.  L’offuscamento consiste invece nel confondere i dati. Si applica ad esempio rimuovendo il giorno dalla data di nascita. Un altro modo è quello di aggiungere informazioni plausibili ma non veritiere, atte a depistare il malintenzionato. 

È importante segnalare che in sede di controllo da parte degli organi ispettivi viene chiesta giustificazione in merito alle tecniche di anonimizzazione adottate. 

 

Sempre citando il considerando 26, per accertare l’efficacia delle misure adottate: “si dovrebbe prendere in considerazione l’insieme dei fattori obiettivi, tra cui i costi e il tempo necessario per l’identificazione, tenendo conto sia delle tecnologie disponibili al momento del trattamento, sia degli sviluppi tecnologici.  
 

In particolare è l’ultimo aspetto che rende difficile valutare la bontà delle proprie scelte: al giorno d’oggi chi è in grado di prevedere i prossimi sviluppi tecnologici, soprattutto nel campo dell’informatica? Grazie al deep learning, all’incrocio di basi dati diverse e all’aumento continuo delle capacità di calcolo dei computer, è possibile che l’anonimizzazione applicata con successo oggi sia inefficace nel giro di breve tempo. 

 

Ci si può proteggere dalle sanzioni in tali situazioni? 

 

Ancora una volta, a essere determinante è l’accountability del titolare.  Egli deve infatti essere in grado di dimostrare di aver fatto tutto quello che è necessario per il corretto trattamento dei dati. È pertanto necessario progettare in modo intelligente, documentare con cura le scelte fatte ed eventualmente prevedere procedure di ri-validazione periodica. 

CONCLUSIONE 

Pseudononimizzazione e anonimizzazione sono soltanto due delle svariate tecniche impiegate per la tutela dei dati personali. La prima è generalmente adottata per tutto il ciclo di vita del dato trattato, la seconda è utilizzata solitamente quando il dato cessa di avere una funzione “operativa” e diventa utile ai soli fini statistici.  

Condividi:

Facebook
LinkedIn

Articoli collegati