Il corretto trattamento dei dati personali è un problema sempre più comune. Non è raro infatti che i dati passino da un’azienda ad un’altra e che in questi passaggi possa essere violata la privacy delle persone. Ovviamente veniamo a conoscenza di questi episodi solo quando hanno una portata eclatante ed occupano pagine web o quotidiani.
Esistono buone pratiche che possono essere utili per fare in modo che questo non accada:
- l’anonimizzazione dati;
- la pseudonimizzazione dati.
È facile capire di cosa stiamo parlando, cioè del rendere anonimi o parzialmente anonimi i dati, in modo che, passando di mano in mano, non si possa più risalire ai dati sensibili di chi li ha forniti. Spesso per passare dati da un’azienda che li raccoglie ad un’altra che li tratta o analizza, vengono eseguite delle procedure di anonimizzazione o pseudonamizzazione, ma se non effettuate correttamente potrebbero non bastare per mantenere la riservatezza dei dati.
Anonimizzazione e pseudonimizzazione, cosa sono
L’anonimizzazione e la pseudonimizzazione sono due tecniche utilizzate per proteggere la privacy delle persone quando vengono raccolti e utilizzati dati sensibili o personali.
Entrambe le tecniche mirano a rendere più difficile, o impossibile, identificare specifiche persone all’interno di un insieme di dati.
Anonimizzazione dati
Prevede la rimozione o la trasformazione delle informazioni che potrebbero essere utilizzate per identificare una persona. Questa tecnica cerca di rendere i dati non più identificabili, in modo che anche chi ha accesso ad essi non sia in grado di risalire all’identità delle persone coinvolte. L’anonimizzazione dati può comprendere diverse strategie, come la rimozione dei dati personali diretti (come nomi e indirizzi), l’aggregazione dei dati per rendere le informazioni individuali indistinguibili o la sostituzione di valori sensibili con valori generici.
Pseudonimizzazione dati
Riguarda la sostituzione delle informazioni identificative con un identificatore univoco, noto come pseudonimo. In questo caso, l’obiettivo è rendere i dati meno immediatamente identificabili, ma ancora associabili a una persona specifica utilizzando una chiave di corrispondenza. La pseudonimizzazione può coinvolgere l’uso di tecniche di crittografia per proteggere i dati sensibili, l’assegnazione di pseudonimi casuali o l’anonimizzazione dei dati diretti, mantenendo al contempo informazioni aggiuntive che possono essere utilizzate per collegare i dati pseudonimizzati alle persone coinvolte.
Vantaggi e Svantaggi delle due tecniche
Entrambe le tecniche hanno il vantaggio di preservare la privacy, ma l’anonimizzazione dati fra le due offre una maggiore protezione, in quanto li rende completamente non identificabili. La pseudonimizzazione può essere utile in contesti in cui è necessario mantenere un certo livello di collegamento tra i dati e le persone coinvolte, ad esempio per scopi di ricerca o analisi. È importante notare che nessuna di queste tecniche è completamente infallibile. Infatti sono diversi i casi in cui sono stati resi pubbliche alcune informazioni, ritenendole anonime o parzialmente anonime, quando così non era. Netflix che nel 2006 pubblicò un documento che conteneva milioni di recensioni di film, ritenendo che queste fossero anonime, invece emerse che in diversi casi era possibile risalire all’identità delle persone che avevo scritto il commento.
Potrebbe interessarti anche: I dati personali sono la nuova moneta nel mondo digitale
GDPR e anonimizzazione
Non esiste una disposizione certa che ne determini tecniche valide o meno, né tantomeno sono citate nel GDPR, che tutela la privacy dei cittadini europei, disposizioni secondo le quali sia chiaro quando un dato è da considerarsi abbastanza anonimo oppure no.
Nell’art.32, comma 1 si parla di pseudonimizzazione e di cifratura dei dati personali:
1. Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso:
=> Articolo: 24
a) la pseudonimizzazione e la cifratura dei dati personali;
=> Articolo: 4
b) la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
c) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;
d) una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
Come vediamo in questo caso si parla principalmente di conservazione dei dati, caso in cui sarebbe ammissibile e doveroso codificare i dati per non renderli più fonte di informazioni personali. In questo caso il detentore dei dati conosce la chiave di “cifratura” e ne diventa responsabile. Il concetto di pseudonimizzazione, torna anche nel Considerando 26 del Regolamento, dove si dice:
È auspicabile applicare i principi di protezione dei dati a tutte le informazioni relative a una persona fisica identificata o identificabile. I dati personali sottoposti a pseudonimizzazione, i quali potrebbero essere attribuiti a una persona fisica mediante l’utilizzo di ulteriori informazioni, dovrebbero essere considerati informazioni su una persona fisica identificabile. Per stabilire l’identificabilità di una persona è opportuno considerare tutti i mezzi, come l’individuazione, di cui il titolare del trattamento o un terzo può ragionevolmente avvalersi per identificare detta persona fisica direttamente o indirettamente. Per accertare la ragionevole probabilità di utilizzo dei mezzi per identificare la persona fisica, si dovrebbe prendere in considerazione l’insieme dei fattori obiettivi, tra cui i costi e il tempo necessario per l’identificazione, tenendo conto sia delle tecnologie disponibili al momento del trattamento, sia degli sviluppi tecnologici. I principi di protezione dei dati non dovrebbero pertanto applicarsi a informazioni anonime, vale a dire informazioni che non si riferiscono a una persona fisica identificata o identificabile o a dati personali resi sufficientemente anonimi da impedire o da non consentire più l’identificazione dell’interessato. Il presente regolamento non si applica pertanto al trattamento di tali informazioni anonime, anche per finalità statistiche o di ricerca.
In questo caso il principio espresso è che la tutela della privacy non vale per i dati resi anonimi, ma solo per le persone identificabili. Ma fino a quando possiamo ritenere un dato realmente anonimo?
Nell’approfondimento fornito per capire meglio l’applicabilità del GDPR si cita la ragionevolezza, quindi si stabilisce che questa sarà il termine ultimo per capire quanto si possa o meno risalire ai dati personali una vota resi parzialmente anonimi.
Il caso
Questo principio è quello che è stato applicato recentemente nella sentenza del 26 aprile 2023 espressa dal il Tribunale della Corte di Giustizia UE. Il caso vedeva coinvolta da una parte il Comitato di risoluzione creditizio Unico (CRU) e dall’altra fornitore di servizi Deloitte dall’altra. Il CRU è stato coinvolto da una serie di reclami da pare di persone che si sono rivolte all’EDPS (autorità di controllo per la protezione dei dati personali da parte delle istituzioni UE), lamentando che si supponeva ci fosse stato un presunto utilizzo illecito dei dati durante una procedura di indennizzo. I dimostranti hanno esposto che nell’informativa non era stato dichiarato che i dati sarebbero stati trasmessi a terzi.
L’EDPS si è pronunciata a favore dei reclamanti, ritenendo che le osservazioni trasmesse a Deloitte fossero qualificabili come “dati personali” per il solo fatto che il CRU, titolare del trattamento e soggetto diverso da Deloitte, disponesse delle informazioni aggiuntive per ricondurre tali osservazioni ai relativi autori. Il tribunale non è trovato d’accordo con quanto sostenuto dall’EDPS e ha “ribaltato la sentenza”. Da un lato dice che i dati erano solo parzialmente anonimi e che i codici per risalire ai dati fossero in mano del CRU e non di Deloitte, non permettendo di escludere a priori che le informazioni per la ricevente fossero dati personali.
Ma per stabilire se le informazioni trasmesse costituissero davvero informazioni sensibili, occorre porsi dal punto di vista di quest’ultima per determinare se le gli elementi che le sono stati trasmessi si riferiscano a «persone identificabili». In sostanza bisogna chiedersi se per Deloitte, che ha ricevuto i dati e non in possesso dei “codici identificativi”, questi dati possono ricondurre a persone identificabili.
In conclusione
Il GDPR lascia spazio alla presunzione dei fatti basando così le decisioni degli organi su ragionevolezza, supposizioni e buone intenzioni. Ma come espresso anche dalla Corte diventa quindi necessario arrivare ad eseguire dei test che validino o meno quanto si possa risalire ai dati resi anonimi o parzialmente anonimi. Ci torna in aiuto e sostegno il Considerando 26 che elenca, come visto diversi fattori per capire quando un dato è sufficientemente anonimo. Noi di Tutela Digitale possiamo ricordarti di controllare sempre e di leggere attentamente come verranno utilizzati i tuoi dati, ogni volta che li rilasci, e soprattutto se ne concedi o meno il trattamento a terzi. Contattaci!
Per Approfondire
https://www.garanteprivacy.it/regolamentoue
https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX:62020TJ0557
https://gdpr-text.com/it/read/recital-26/