Pseudonimizzazione e anonimizzazione dei dati

Nell’era più digitale che ci sia, tecniche come pseudonimizzazione e anonimizzazione dei dati mirano a proteggere la riservatezza degli utenti. L’utilità di tali tecniche, tuttavia, è rilevante non solo nel digitale ma in tutti gli ambiti nei quali, in linea con i principi generali previsti dall’Unione europea per la protezione dei dati, siano trattati dati personali.

Introduzione a pseudonimizzazione e anonimizzazione

Come ogni buon giurista farebbe, si prendano le mosse da qualche riferimento normativo che sia d’aiuto nell’inquadrare il tema della pseudonimizzazione e dell’anonimizzazione quali tecniche utili nell’ambito della tutela dei dati personali in linea con quanto previsto dal GDPR. E si parta proprio da qui: ormai anche ai non esperti sarà giunto almeno una volta all’orecchio il Regolamento Generale sulla Protezione dei Dati[1]. Succede, banalmente, all’inizio di ogni chiamata telefonica verso un qualche ente pubblico e, talvolta, tale regolamento è indicato con il suo titolo per esteso appena menzionato, talaltra con l’acronimo inglese GDPR; ancora, si fa riferimento al medesimo quando si trova indicazione degli estremi di entrata in vigore nell’Unione Europea – 679/2016 – o di ratifica – d.lgs. 101/2018 –, rispettivamente indicanti l’adozione del regolamento europeo e il decreto legislativo che l’ha reso operativo in Italia.

Detto questo, è bene tenere a mente i principi cardine di questo corpo normativo in quanto moventi anche delle tecniche di pseudonimizzazione e anonimizzazione che ci apprestiamo a vedere:

  • liceità, correttezza e trasparenza del trattamento, nei confronti dell’interessato[2];
  • limitazione della finalità del trattamento;
  • minimizzazione dei dati nei termini in cui i dati devono essere adeguati, pertinenti e limitati a quanto necessario alle finalità del trattamento;
  • esattezza e aggiornamento dei dati, compresa la tempestiva cancellazione dei dati che risultino inesatti rispetto alle finalità del trattamento;
  • limitazione della conservazione poiché è necessario provvedere alla conservazione dei dati per un tempo non superiore a quello necessario rispetto agli scopi per i quali è stato effettuato il trattamento;
  • integrità e riservatezza dal momento che occorre garantire la sicurezza adeguata dei dati personali oggetto del trattamento.

Riferimenti normativi e questioni applicative

Quelli appena esposti, quindi, sono i principi ai quali si ispirano pseudonimizzazione e anonimizzazione come emerge, ancor prima che dal regolamento europeo, dai considerando che lo precedono. In particolare, sembra molto utile leggere il considerando 26 che fornisce una prima guida di applicazione del GDPR rispetto alle due tecniche in esame.

“È auspicabile applicare i principi di protezione dei dati a tutte le informazioni relative a una persona fisica identificata o identificabile. I dati personali sottoposti a pseudonimizzazione, i quali potrebbero essere attribuiti a una persona fisica mediante l’utilizzo di ulteriori informazioni, dovrebbero essere considerati informazioni su una persona fisica identificabile. Per stabilire l’identificabilità di una persona è opportuno considerare tutti i mezzi, come l’individuazione, di cui il titolare del trattamento o un terzo può ragionevolmente avvalersi per identificare detta persona fisica direttamente o indirettamente. Per accertare la ragionevole probabilità di utilizzo dei mezzi per identificare la persona fisica, si dovrebbe prendere in considerazione l’insieme dei fattori obiettivi, tra cui i costi e il tempo necessario per l’identificazione, tenendo conto sia delle tecnologie disponibili al momento del trattamento, sia degli sviluppi tecnologici. I principi di protezione dei dati non dovrebbero pertanto applicarsi a informazioni anonime, vale a dire informazioni che non si riferiscono a una persona fisica identificata o identificabile o a dati personali resi sufficientemente anonimi da impedire o da non consentire più l’identificazione dell’interessato. Il presente regolamento non si applica pertanto al trattamento di tali informazioni anonime, anche per finalità statistiche o di ricerca.”

Una prima nota può essere circa l’ambito di applicazione del GDPR: il regolamento generale sulla protezione dei dati si applica ai dati pseudonimizzati ma non a quelli adeguatamente anonimizzati poiché i primi non perdono la qualità di dati personali come, invece, accade per i secondi.

In altre parole, per il momento trascurando i passaggi dei quali si costituiscono le tecniche, si evidenzia come l’applicazione del GDPR dipenda dalla possibilità di identificare la persona da cui quell’informazione è provenuta. Nel caso di dati pseudonimizzati è possibile, anche se difficile e attraverso informazioni aggiuntive conservate separatamente, ripercorrere il processo all’indietro e tornare alla persona interessata. Da qui l’applicazione del GDPR. Nel caso di dati anonimizzati, in linea di massima il processo non è reversibile e non è possibile tornare alla persona interessata; da qui la non applicazione del GDPR.

A ben pensarci, questo spiega anche il fatto che, eccetto per il considerando 26 visto pocanzi, nella norma in esame non si trovi riferimento all’anonimizzazione mentre la pseudonimizzazione trova definizione all’art. 4, par. 5 GDPR.

Le tecniche: pseudonimizzazione

Chiariti gli ambiti applicativi, è giunto il momento di rispondere alla domanda che a questo punto sorge spontanea: in cosa consistono le tecniche di pseudonimizzazione e anonimizzazione?

La pseudonimizzazione, ai sensi dell’art. 4, par. 5 GDPR, consiste nel “trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile.

Si tratta di un’operazione reversibile ma solo con l’ausilio di informazioni aggiuntive che consentono di risalire all’identità dell’interessato e che, per questo, vanno tenute

  • separate dai dati pseudonimizzati. Se un malintenzionato ne venisse in possesso, infatti, potrebbe rintracciare la persona interessata legata al dato pseudonimizzato. In questo senso è opportuno
  • attuare azioni preventive, quali l’aggiornamento e il monitoraggio periodici, più genericamente misure e tecniche organizzative previste dall’art. 32, I comma a) GDPR. Così sarà mitigato il rischio di danni di natura discriminatoria, finanziaria o all’integrità fisica degli interessati.

Le tecniche di pseudonimizzazione sono molteplici. A titolo esemplificativo si prenda l’hashing consistente nella codificazione dell’input in una stringa binaria di dimensioni fisse attraverso algoritmi progettati in modo unico e funzionanti come generatori casuali di codici. Le peculiarità di questa tecnica sono quella di essere unidirezionale essendo molto difficile, se non impossibile, decifrare la stringa e quella di amplificare le distanze tra input simili.

Ambito applicativo tipico della pseudonimizzazione è un ambiente nel quale sia presente una scala di privilegi come nel caso del medico e dell’operatore diverso dal medico: per l’operatore non è indispensabile conoscere nome e cognome del paziente e, anzi, la pseudonimizzazione tutelerà la privacy del paziente.

Le tecniche: anonimizzazione

L’anonimizzazione è una tecnica che viene applicata ai dati personali in modo tale che le persone fisiche interessate non possano più essere identificate in nessun modo; elimina la correlazione tra i dati personali e una determinata persona fisica interessata, rendendo impossibile l’identificazione della stessa. Tra le più comuni si trova la randomizzazione che può prevedere l’aggiunta di rumore statistico[3] o la permutazione[4]. Diffusa è anche la generalizzazione che, con tecniche di aggregazione e k-anonimato impedisce l’individuazione di persone interessate mediante il loro raggruppamento con almeno k altre persone.

Queste sono solo alcune tecniche; in ogni caso, per il raggiungimento dell’obiettivo deidentificazione dei dati, il Comitato Europeo per la Protezione dei dati (o EDPB dall’acronimo inglese) suggerisce che più tecniche siano combinate tra loro.

Infine, una precisazione: nel caso dell’anonimizzazione, l’operazione è irreversibile ma la decodifica dei dati resi anonimi non sembra del tutto impossibile. In questi termini, sarebbe falso attestare un rischio zero assoluto. Infatti, è possibile che alcuni processi di anonimizzazione possano essere annullati in futuro dallo sviluppo di nuove tecnologie. Basti pensare a foto nelle quali siano stati immortalati dei soggetti in lontananza che in un determinato momento storico non erano riconoscibili ma che lo siano diventati grazie a software capaci di migliorare la qualità dell’immagine.

Conclusione

Pseudonimizzazione e anonimizzazione dei dati, in conclusione, si dimostrano molto simili e differenti allo stesso tempo. Viste le peculiarità tecniche e applicative delle due metodologie, si può dire che le stesse abbiano in comune l’obiettivo di sfumare il percorso che lega il dato personale alla persona interessata, in entrambi i casi per ridurre al minimo il rischio di reidentificazione laddove non sia possibile garantire che i soggetti non possano essere reidentificati. Le stesse si distinguono, invece, in termini di reversibilità e conseguenze. In particolare, nel caso della pseudonimizzazione, si è visto come i dati non perdano la qualità di dati personali e, pertanto, rimangano soggetti alla disciplina del GDPR; diversamente, si è visto come nel caso dell’anonimizzazione i dati non siano più considerati dati personali e l’applicazione del GDPR non sia obbligatoria.

Questo articolo è stato scritto da un autore di DirittoConsenso, partner di LegalTech Italia.

Bibliografia

E. Limone, Pseudonimizzazione e anonimizzazione dei dati: differenze tecniche e applicative, 17/10/2019.

M. Massimini, Anonimizzazione dei dati personali: significato, benefici e dubbi in ottica GDPR, 11/05/2021.

Garante per la protezione dei dati personali, Principi generali del trattamento di dati personali, https://www.garanteprivacy.it/home/doveri .


[1] Per una breve ma chiara introduzione al GDPR, si consiglia la lettura dell’articolo reperibile al seguente link: https://www.dirittoconsenso.it/2021/11/26/il-gdpr/

[2] Per una rapida ed efficace serie di definizioni di base sul tema, si consiglia la lettura dell’articolo reperibile al seguente link: https://www.dirittoconsenso.it/2018/01/07/la-privacy-e-il-trattamento-dei-dati-personali/

[3] Modificando gli attributi in modo tale da renderli meno accurati pur mantenendo allo stesso tempo la distribuzione generale

[4] Mescolando i valori degli attributi così che alcuni di essi risultino artificialmente collegati a diverse persone interessate

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.