La pseudonimizzazione è una tecnica che consiste “nel trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile” (art. 4 punto 5 del GDPR).
USA LEGALDESK, IL GESTIONALE IDEALE PER LO STUDIO LEGALE
Pseudonimizzazione: cos’è?
In sostanza, la pseudonimizzazione è caratterizzata da tre elementi:
- l’assenza di identificabilità diretta del soggetto interessato (“trattamento dei dati personali in modo tale che i dati non possano essere più attribuiti ad un interessato specifico senza l’utilizzo di informazioni aggiuntive”);
- l’adozione di misure di sicurezza ulteriori da aggiungere alla pseudonimizzazione (“a condizione che tali informazioni aggiuntive siano conservate separatamente”);
- l’incorporazione della pseudonimizzazione nella privacy-by-design (“e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile”).
Il GDPR (Regolamento Ue 2016/679 relativo alla protezione delle persone fisiche), in applicazione dal 25 maggio scorso, pone tra gli aspetti principali la pseudonimizzazione, menzionandola più volte all’interno del regolamento: come ad esempio nell’art. 25 dove nel sancire il principio della privacy by design, oppure nell’art. 32 a proposito della sicurezza del trattamento.
La pseudonimizzazione è uno strumento fondamentale per proteggere i dati personali e sensibili di persone fisiche e giuridiche al fine di garantire loro piena e totale riservatezza. Questa tecnica consiste nel conservare i dati in una forma che impedisce l’identificazione del soggetto senza l’utilizzo di informazioni aggiuntive.
Proprio per questo, al fine di limitare il rischio di violazioni di privacy e furti d’identità, il GDPR spinge le organizzazioni a pseudonimizzare i propri dati.
La nuova regolamentazione sulla protezione dei dati personali, ha proprio come obiettivo quello di garantire una maggiore riservatezza agli utenti ed una maggiore consapevolezza nella divulgazione dei loro dati personali.
La possibilità di generare e acquisire informazioni sugli individui nella società dell’informazione ha iniziato ad avere una facilità ed una rapidità tali da mettere fortemente a rischio le regole sulla privacy: il progresso tecnologico, da un lato ha compromesso la sicurezza dei dati che vengono conservati, dall’altro può consentire ai titolari del trattamento di aggregare informazioni acquisite su uno stesso individuo senza che il soggetto cui esse appartengono sia consapevole di poter essere identificato o di rendersi identificabile per il fatto di averle conferite.
Proprio per queste ragioni, oltre le varie “tecniche di anonimizzazione” dei dati già in campo, il Regolamento Europeo ha introdotto questa nuova soluzione che favorisce la tutela dell’individuo e dei suoi dati personali.
L’articolo 32 del GDPR, infatti, prescrive di mettere “in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio”; tra queste misure vi è la pseudonimizzazione dei dati, che è una tecnica particolarmente rilevante quando non vi è necessità di utilizzare i reali e completi dati personali degli interessati.
Il Considerando 28 del GDPR sottolinea, infatti che “l’applicazione della pseudonimizzazione ai dati personali può ridurre i rischi per gli interessati e aiutare i titolari del trattamento e i responsabili del trattamento a rispettare i loro obblighi di protezione dei dati”.
LEGGI ANCHE: Il GDPR, solamente un costo per le aziende o vera utilità?
Pseudonimizzazione: identificabilità di una persona
Per comprendere cosa si intende per identificabilità di una persona, il considerando 26 del GDPR prevede che i dati personali sottoposti a pseudonimizzazione, i quali potrebbero essere attribuiti a una persona fisica mediante l’utilizzo di ulteriori informazioni, dovrebbero essere considerati informazioni su una persona fisica identificabile.
Per stabilire l’identificabilità di una persona è opportuno considerare tutti i mezzi, come l’individuazione, di cui il titolare del trattamento o un terzo può ragionevolmente avvalersi per identificare detta persona fisica direttamente o indirettamente.
Per accertare la ragionevole probabilità di utilizzo dei mezzi per identificare la persona fisica, si dovrebbe prendere in considerazione l’insieme dei fattori obiettivi, tra cui i costi e il tempo necessario per l’identificazione, tenendo conto sia delle tecnologie disponibili al momento del trattamento, siadegli sviluppi tecnologici.
I principi di protezione dei dati non dovrebbero pertanto applicarsi a informazioni anonime, vale a dire informazioni che non si riferiscono a una persona fisica identificata o identificabile o a dati personali resi sufficientemente anonimi da impedire o da non consentire più l’identificazione dell’interessato.
Al fine di creare incentivi per l’applicazione della pseudonimizzazione nel trattamento dei dati personali, il GDPR auspica misure di pseudonimizzazione con possibilità di analisi generale all’interno dello stesso titolare del trattamento, qualora il titolare del trattamento abbia adottato le misure tecniche e organizzative necessarie ad assicurare, per il trattamento interessato, l’attuazione del regolamento, e che le informazioni aggiuntive per l’attribuzione dei dati personali a un interessato specifico siano conservate separatamente.
Il titolare del trattamento che effettua il trattamento dei dati personali deve indicare le persone autorizzate all’interno dello stesso titolare del trattamento (considerando 29).
LEGGI ANCHE: GDPR in sintesi
Tecniche di pseudonimizzazione
È bene chiarire un punto fondamentale.
Con la tecnica di pseudonimizzazione, è possibile modificare e mascherare i dati personali e sensibili di una persona fisica al fine di non renderli direttamente e facilmente attribuibili allo stesso senza l’utilizzo di informazioni aggiuntive. Ma, il titolare del trattamento, sarà quasi sempre in grado, grazie a tutti i dati in suo possesso, di risalire ai dati del singolo interessato a partire dal dato aggregato.
Infatti, non si tratta di “anonimizzazione dei dati ”, che si realizza solo quando il titolare non è in grado in nessun modo di risalire al dato specifico di un interessato, perché non possiede più o non ha mai posseduto le informazioni complete.
È chiaro che le informazioni aggiuntive, dette anche chiavi, debbano essere materialmente conservati in zone differenti, ad esempio server distinti, al fine di impedire un facile ricongiungimento.
Vi sono due tipologie di pseudonimizzazione (mascherare i dati di una persona fisica) in base alle chiavi utilizzate.
- Pseudonimizzazione simmetrica: Nella pseudonimizzazione simmetrica si utilizza la stessa chiave per cifrare, o mascherare, il dato e per renderlo nuovamente leggibile. Con questa tecnica c’è però il problema di come condividere la chiave senza che questa venga scoperta.
- pseudonimizzazione asimmetrica: Nella pseudonimizzazione asimmetrica si utilizzano due chiavi distinte: la prima per cifrare il dato, la seconda per decifrarlo. In questo modo è possibile facilitare la condivisione poiché si utilizza una chiave per crittografare, visibile a chiunque, e una chiave per decifrare che conosce solo il destinatario rendendo quindi non necessaria la sua condivisione.
Nella pratia, il titolare del trattamento deve individuare:
- quali variabili sono identificatori diretti (ad esempio il codice fiscale).
- quali variabili sono identificatori indiretti (ad esempio la data di nascita o di morte).
- quali variabili non è necessario prendere in considerazione nel processo di anonimizzazione del dato, in quanto non sono elementi identificativi diretti o indiretti.
Sarebbe opportuno non avere più di sei o al massimo otto identificatori indiretti: l’aumento del numero degli identificatori indiretti permette di migliorare le tecniche di incrocio e ricostruire l’interessato a cui il dato si riferisce, mentre se si ha un numero di identificatori indiretti superiore ad otto, è favorevole provvedere ad una aggregazione preliminare dei dati individuali, per poi procedere alla diffusione.
La tecnica di sostituzione consiste nel sostituire il contenuto di una colonna di un data base, con i dati che provengono da una lista predefinita di dati simili, ma non veritieri, di modo che il dato non possa essere ricondotto all’interessato originario.
Questa tecnica seppur garantisce l’integrità del dato, diventa poco efficace se i dati da trattare fanno riferimento a milioni di nomi, che richiedono la sostituzione; sarebbe necessario un elenco che sia almeno uguale o più lungo dei dati che devono essere sostituiti.
Una tecnica simile a quella di sostituzione è la tecnica di Shuffling: in questo caso il dato che deve essere reso anonimo è ricavato dalla stessa colonna nella quale si trova il dato originale. L’integrità del dato rimane intatta ed è anche facilmente calcolabile, dato che il dato è derivato dalla stessa colonna dove si trova al dato originale
La tecnica della variazione di numeri e date è una tecnica di anonimizzazione dei dati che si applica a colonne numeriche e di date. L’algoritmo utilizzato modifica ogni valore della colonna di una percentuale casuale, rispetto al valore effettivo. In questo modo si può alterare in maniera significativa il dato originale sino al punto di renderlo non ricostruibile a posteriori.