L’anonimizzazione è quell’operazione di de-identificazione mirata a trasformare irreversibilmente i dati personali in dati anonimi. Anonimizzare un determinato set di personal data significa poter fruire di quelle informazioni senza curarsi di obblighi e responsabilità imposti dalla normativa in materia di protezione dei dati personali. Ne consegue che per un’organizzazione anonimizzare – laddove possibile, in un mondo ormai datacentrico – è sempre una buona idea perché, così facendo, si elimina una fonte di rischio. La pseudonimizzazione, invece, è quell’operazione di de-identificazione reversibile che può ridurre il “rischio privacy” senza, tuttavia, poterlo azzerare. Con l’avvento del GDPR, che non ne fornisce definizione, molti hanno difficoltà a focalizzare correttamente il concetto di anonimizzazione, finendo spesso per non coglierne a pieno il valore e confondendone i contorni con quelli propri della pseudonimizzazione. Conviene dunque fare un po’ di chiarezza.
Definizioni
Il Regolamento 2016/679 – GDPR reca un glossario all’art. 4 ove è puntualmente definita la pseudonimizzazione come “il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile”.
Il GDPR non definisce, però, cosa si debba intendere per “anonimizzazione” né per “dato anonimo”.
Tale scelta, all’atto della pubblicazione della nuova regolamentazione europea avvenuta ormai un lustro fa, lasciò un poco interdetti alcuni osservatori italiani abituati per 20 anni a veder espressamente definita nella disciplina applicabile di privacy la nozione di dato anonimo. La Legge 675/96, il primo testo normativo appositamente dedicato alla tutela dei dati personali nel nostro Paese, all’art.2 specificava come per dato anonimo si dovesse intendere “il dato che in origine, o a seguito di trattamento, non può essere associato ad un interessato identificato o identificabile”. Identica definizione fu traslata nel Codice Privacy – D.Lgs. 196/2003 che riorganizzò la materia disciplinandola per 15 anni, ossia fino a quando il D.Lgs. 101/2018 ha emendato la normativa italiana per armonizzarla con il GDPR. A quel punto, l’art. 4 del Codice Privacy è stato abrogato – insieme a gran parte delle disposizioni al tempo vigenti – dovendosi ritenere valide per il diritto interno le definizioni fornite dall’art. 4 del GDPR. Definizioni GDPR che, come detto, non contemplano i “dati anomini” né la “anonimizzazione”; e così oggi ci ritroviamo senza una nozione formale di questi concetti.
Si potrebbe pensare che la circostanza non costituisca una problema esiziale, ma la mancanza di un riferimento espresso ha creato in alcuni operatori un gap conoscitivo che va colmato perché può comportare delle ricadute importanti. Dagli addetti alla compliance di aziende o PA per finire ai consulenti privacy e DPO dell’ultim’ora, abbiamo notato che tra coloro che si sono avvicinati alla materia solo con l’avvento del GDPR, in molti non hanno dimestichezza con il significato giuridico del termine “anonimizzazione”. E questo non è positivo, perché trattasi non solo di una nozione, ma soprattutto di una soluzione profondamente riconnessa allo spirito della normativa. Occorre dunque colmare la lacuna.
Va innanzitutto chiarito che, in passato, quella di fornire una definizione di dato anonimo è stata una scelta tutta italiana. Il legislatore europeo non aveva previsto una simile definizione nemmeno nella Direttiva 95/46, la “madre” di tutte data protection law che fino al 2018 hanno governato la materia nei vari Stati membri. Mentre il nostro Paese – nell’attuare i principi della Direttiva nella Legge 675/96 – decideva di introdurre una definizione, gli altri principali ordinamenti restarono allineati all’approccio comunitario lasciando inespressa la nozione (si veda, ad esempio, il Data Protection Act 1998 del Regno Unito).
Se la Direttiva 95/46 non forniva una definizione, questo non significa che rinunciasse a sottolineare il ruolo che l’anonimizzazione può svolgere in materia di trattamento dati. Non lo faceva nel proprio articolato, bensì nelle premesse: al Considerando 26, infatti, si specificava “che i principi della tutela non si applicano a dati resi anonimi in modo tale che la persona interessata non è più identificabile”. Un passaggio molto chiaro.
Il GDPR, su questo punto, resta nel solco della Direttiva che esso stesso ha soppiantato e reca a sua volta un Considerando 26 di più ampio respiro che recita: “È auspicabile applicare i principi di protezione dei dati a tutte le informazioni relative a una persona fisica identificata o identificabile. I dati personali sottoposti a pseudonimizzazione, i quali potrebbero essere attribuiti a una persona fisica mediante l’utilizzo di ulteriori informazioni, dovrebbero essere considerati informazioni su una persona fisica identificabile. Per stabilire l’identificabilità di una persona è opportuno considerare tutti i mezzi, come l’individuazione, di cui il titolare del trattamento o un terzo può ragionevolmente avvalersi per identificare detta persona fisica direttamente o indirettamente. Per accertare la ragionevole probabilità di utilizzo dei mezzi per identificare la persona fisica, si dovrebbe prendere in considerazione l’insieme dei fattori obiettivi, tra cui i costi e il tempo necessario per l’identificazione, tenendo conto sia delle tecnologie disponibili al momento del trattamento, sia degli sviluppi tecnologici. I principi di protezione dei dati non dovrebbero pertanto applicarsi a informazioni anonime, vale a dire informazioni che non si riferiscono a una persona fisica identificata o identificabile o a dati personali resi sufficientemente anonimi da impedire o da non consentire più l’identificazione dell’interessato. Il presente regolamento non si applica pertanto al trattamento di tali informazioni anonime, anche per finalità statistiche o di ricerca”.
Tirando le somme, si può affermare che fornire una definizione in più nel glossario avrebbe forse giovato dal momento che non tutti – colpevolmente – leggono attentamente i Considerando di normative così importanti (ed è indubbio che nel GDPR molti Considerando siano irrinunciabile strumento di corretta comprensione e interpretazione delle disposizioni articolate). Ma non per questo si può imputare al legislatore europeo di non aver esplicitato cosa significhi trattare un dato anonimo rispetto ad un dato personale (questo, fin dalla Direttiva del’95) o un dato anonimo rispetto un dato personale pseudonimizzato (distinzione, questa, formalmente introdotta con il GDPR). La rinuncia ad una definizione di “dato anonimo” è, probabilmente, da ricondursi alla valutazione secondo cui nell’articolato non debbano esser ospitate nozioni cui non si applicano le regole di data protection. Una definizione di “anonimizzazione” avrebbe – ad avviso di chi scrive – potuto trovare piena cittadinanza nel GDPR, essendo la stessa una particolare operazione di trattamento concernente dati che sono personali, quantomeno fino a che l’operazione non è conclusa.
Ciò detto, se si è in cerca di una buona definizione di “anonimizzazione” soccorre quella resa dallo standard in materia di Health Informatics ISO/TS 25237:20 secondo cui “L’anonimizzazione è un processo mediante il quale i dati personali vengono modificati in modo irreversibile così che il titolare del trattamento, da solo o in collaborazione con altre parti, non possa più identificare direttamente o indirettamente l’interessato”. Se si preferisce una formulazione più sintetica ci si può affidare ad un passaggio della Opinion 05/2014 on Anonymisation Techniques del Working Party art.29 che, al par. 2.1.1, afferma che “… l’anonimizzazione è una tecnica che si applica ai dati personali al fine di ottenere una deidentificazione irreversibile”.
Anonimizza quando/dove puoi
La disciplina europea di privacy ruota su un assunto di base: poter fruire di informazioni relative alle persone fisiche è un elemento strategico per favorire la competitività dell’iniziativa privata e l’efficienza dei servizi pubblici, ma chi tratta dati personali si assume un rischio perché maneggiarli in modo inappropriato può ledere altrui libertà e i diritti cui la legge riconosce un alto livello di tutela.
Il rischio è connaturato ed ineliminabile, tant’è che l’art. 15 del Codice Privacy in vigore fino al 2018 prevedeva che i danni cagionati per effetto del trattamento fossero da risarcirsi ai sensi all’art. 2050 del Codice Civile (ossia come “Responsabilità per l’esercizio di attività pericolose” – Art 2050: “Chiunque cagiona danno ad altri nello svolgimento di un’attività pericolosa, per sua natura o per la natura dei mezzi adoperati, è tenuto al risarcimento, se non prova di avere adottato tutte le misure idonee a evitare il danno”). Tramite quel richiamo, la cui portata fu comunque molto dibattuta in dottrina, il nostro legislatore:
- indicava ai titolari che trattare dati personali è un’attività intrinsecamente pericolosa e chi svolge l’attività deve farlo con una maggior cautela rispetto ad una attività non rischiosa, adottando proattivamente tutte le misure atte a ridurre il rischio che un danno si possa verificare;
- disponeva l’inversione dell’onere probatorio nella liability di privacy: sta a chi tratta i dati dimostrare di aver adottato tutte le misure necessarie ad evitare il danno lamentato (prova diabolica).
Dal 2018 l’art. 15 del Codice Privacy è abrogato, ma si ritiene che la responsabilità ex 2050 codice civile possa, insieme alla responsabilità aquiliana ex 2043, ancora riconoscersi come conseguenza della mancata osservanza degli obblighi imposti dal GDPR e dalla normativa ad esso correlata. L’art. 82 del GDPR al paragrafo 2 recita: “Un titolare del trattamento coinvolto nel trattamento risponde per il danno cagionato dal suo trattamento che violi il presente regolamento. (…) ”. E al paragrafo 3 si specifica: “Il titolare del trattamento (…) del trattamento è esonerato dalla responsabilità, a norma del paragrafo 2 se dimostra che l’evento dannoso non gli è in alcun modo imputabile”.
Come noto, il GDPR prevede inoltre sanzioni patrimoniali amministrative con massimali dissuasivi (fino a 4 milioni o 10% del fatturato globale annuo) per chi semplicemente non osserva i dettami della normativa, ossia a prescindere dal prodursi di un danno per uno o più interessati.
Tutto ciò premesso, si può affermare che ci sono un paio di “comandamenti” che l’Europa – diversamente, ad esempio, dagli USA – ha inteso indicare ad aziende, enti pubblici, associazioni e liberi professionisti:
- Se proprio devi trattare dati personali, trattali il meno possibile, lo stretto necessario al perseguimento di un legittimo scopo.
- Se puoi, non trattarli affatto.
Il primo dogma sostanzia il cosiddetto principio di minimizzazione del trattamento, che può essere declinato in vari modi: in termini quantitativi, qualitativi e temporali. Tra questi, un ruolo decisivo possono giocarlo le tecniche di pseudonimizzazione che intervengono rendendo momentaneamente indisponibile il dato personale, minimizzando così il trattamento e di conseguenza il rischio intrinseco (per saperne di più sulle best practice in tema di pseudonimizzazione, si vedano le Raccomandazioni dell’ENISA).
Il secondo precetto realizza a pieno il principio in base al quale evitando – laddove possibile – di trattare dati personali si rifugge dalle responsabilità di privacy. Il titolare può raggiungere questo traguardo astenendosi ab origine dall’acquisire uno o più insiemi di dati personali o anonimizzando quelli in suo legittimo possesso.
In parole semplici, anonimizzare un set di dati personali significa levarsi dalle spalle il peso del GDPR, almeno in quel determinato ambito. In un contesto socio-economico in cui l’informazione è un asset fondamentale e in cui tutti sono intenti a valorizzare (e a fagocitare) i dati personali, non sempre questo concetto appare sufficientemente chiaro. Se ogni organizzazione si prendesse il tempo per valutare se e quale database contenente dati personali può essere anonimizzato senza perdere la sua funzione o utilità, molti scoprirebbero che è possibile elidere un novero rilevante di rischi superflui. Ma in troppi ancora non focalizzano questa opportunità e mantengono archivi inutilmente colmi di personal identifiable information che restano esposti al pericolo di forza maggiore (ad esempio, distruzione per evento imprevedibile) o di errore umano (ad esempio, di divulgazione, alterazione) o al rischio di accesso indebito (ad esempio, di personale non autorizzato o, peggio, di un hacker).
Certo, anonimizzare non sempre è opera facile e talora può costare sia tempo che denaro. Ma chi, come il sottoscritto, assiste da oltre 20 anni aziende e PA può testimoniare che in tanti casi, se solo si cogliessero i benefici della trasformazione in forma anonima, si potrebbe intervenire senza troppi sforzi mantenendo integro il valore economico e/o funzionale dell’informazione.
Si consideri, infine, che il GDPR pone con forza l’accento sulla “responsabilizzazione” (accountability nell’accezione inglese), ossia sull’adozione di comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del Regolamento e, più in genere, il rispetto dei valori che esso intende tutelare. Va da sé che il titolare che dimostrasse di aver proceduto ad attenta valutazione del proprio patrimonio informativo per poi addivenire all’anonimizzazione di una o più banche dati, si porrebbe in una condizione estremamente positiva in termini di GDPR accountability.
Quale base giuridica?
L’anonimizzazione è, come detto, un’operazione che comporta un trattamento di dati personali. Come tale, deve trovare fondamento in una delle condizioni di liceità elencate all’art. 6 del GDPR (diversamente, se i dati sono di natura particolare occorrerà una condizione tra quelle elencate all’art. 9, se i dati sono relativi a condanne penali o reati occorrerà una condizione tra quelle elencate all’art. 10).
Limitando l’attenzione ai dati personali comuni, la base giuridica sarà il legittimo interesse del titolare (o del responsabile) ogniqualvolta l’operazione sarà frutto di una sua scelta intesa a mantenere il possesso delle informazioni irreversibilmente de-identificate per finalità lecite: può essere il caso dell’uso per fini statistici o storici, così come lo scopo di monitorare o migliorare i servizi offerti tramite analisi dei dati accuratamente anonimizzati.
In alcuni contesti, può accadere che l’anonimizzazione sia imposta per legge oppure in adempimento di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri o – ancora – in esecuzione di una specifica disposizione contrattuale tra le parti. Più raramente si ricorrerà al consenso dell’interessato.
Un’operazione non sempre agevole
Se l’anonimizzazione può costituire un’ottima strategia per preservare vantaggi abbattendo rischi, bisogna aver chiaro che, anche alla luce dell’evoluzione tecnologica e della crescente intelligenza degli algoritmi, non sempre è un’operazione facile da attuare in modi che garantiscano adeguatamente l’impossibilità di re-identificazione. Come sottolineato dal WP 29 nella citata Opinion 05/2014, “La ricerca, gli strumenti e la potenza di calcolo si evolvono continuamente. Pertanto, non è possibile né utile fornire un elenco esauriente delle circostanze in cui l’identificazione non risulta più possibile. (…) Va sottolineato che il rischio di identificazione può aumentare col tempo e dipende anche dallo sviluppo della tecnologia dell’informazione e della comunicazione”. Il Working Party asseriva inoltre che “Nella maggior parte dei casi non è possibile fornire raccomandazioni minime circa i parametri da utilizzare, in quanto ogni insieme di dati va studiato caso per caso”.
La Opinion 05/2014 – benché ormai datata – fornisce comunque un’utile panoramica sui pregi e i limiti di alcune tra le principali tecniche di anonimizzazione, come quelle “per randomizzazione” e “per generalizzazione” degli attributi. Per questo ne consigliamo la lettura a chi sia digiuno di rudimenti su questo argomento.
Quel che bisogna tenere a mente è che l’anonimizzazione deve essere ragionevolmente irreversibile sia per chi la esegue che per chiunque altro possa, utilizzando soluzioni consone allo stato dell’arte, incrociare i dati anonimizzati con altre informazioni in suo possesso o altrimenti raggiungibili.
La Opinion 05/2014 analizza come nel 2006, ad esempio, Netflix avesse pubblicato – previo ricorso a tecniche di randomizzazione – un dataset contenente 10 milioni di classifiche di film costruite con i giudizi resi da 500.000 clienti sostenendo che fosse anonimo; ma si è scoperto che bastava una piccola conoscenza dell’abbonato perché un soggetto ostile fosse in grado di identificarlo.
Attenzione ai misunderstanding
Occorre, per concludere, sgombrare il campo da alcune zone grigie e cattive interpretazioni. L‘European Data Protection Supervisor (EDPS) e il Garante Privacy spagnolo (AEPD) hanno recentemente pubblicato documento denominato 10 misunderstandings related to anonymisation con l’obiettivo di elevare la pubblica consapevolezza in tema di anonimizzazione. Vediamo allora, per concludere, quali sono i principali fraintendimenti individuati delle due Autorità e quali utili esempi sono portati per sgombrare – per quanto possibile – il campo dai dubbi maggiormente ricorrenti.
MISUNDERSTANDING 1
“La pseudonimizzazione è la stessa cosa dell’anonimizzazione”
DATO DI FATTO: la pseudonimizzazione non è la stessa cosa dell’anonimizzazione.
Il GDPR definisce la “pseudonimizzazione” come “il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile”. Ciò significa che l’uso di “informazioni aggiuntive” può portare all’identificazione degli individui, motivo per cui i dati personali pseudonimi sono ancora dati personali.
I dati anonimi, d’altra parte, non possono essere associati a individui specifici. Una volta che i dati sono veramente anonimi e gli individui non sono più identificabili, i dati non rientrano nell’ambito del GDPR.
MISUNDERSTANDING 2
“Crittografia uguale anonimizzazione”
DATO DI FATTO: la crittografia non è una tecnica di anonimizzazione, ma può essere un potente strumento di pseudonimizzazione.
Il processo di crittografia utilizza chiavi segrete per trasformare le informazioni in un modo che riduce il rischio di abuso, mantenendo la riservatezza per un determinato periodo di tempo. Poiché l’informazione originale deve essere accessibile, le trasformazioni applicate dagli algoritmi di crittografia sono progettate per essere reversibili, in ciò che è noto come decrittazione. Le chiavi segrete utilizzate per la decrittazione sono le suddette “informazioni aggiuntive” che possono rendere i dati personali leggibili e, di conseguenza, l’identificazione possibile.
In teoria, si potrebbe considerare che cancellare la chiave di encryption dei dati crittografati li renderebbe anonimi, ma non è questo il caso. Non si può assumere che i dati cifrati non possano essere decifrati perché la chiave è detta “cancellata” o “sconosciuta”. Ci sono molti fattori che influenzano la riservatezza dei dati criptati, specialmente a lungo termine. Tra questi fattori ci sono la forza dell’algoritmo di crittografia e della chiave, le fughe di informazioni, i problemi di implementazione, la quantità di dati crittografati o i progressi tecnologici (ad esempio, il quantum computing).
MISUNDERSTANDING 3
“L’anonimizzazione dei dati è sempre possibile”
DATO DI FATTO: non è sempre possibile abbassare il rischio di re-identificazione al di sotto di una soglia pre-definita, mantenendo un set di dati utile per un trattamento specifico.
L’anonimizzazione è un processo che cerca di trovare il giusto equilibrio tra la riduzione del rischio di re-identificazione e il mantenimento dell’utilità di un set di dati per gli scopi previsti. Tuttavia, a seconda del contesto o della natura dei dati, i rischi di reidentificazione non possono essere sempre sufficientemente mitigati. Questa potrebbe essere la situazione quando il numero totale di possibili individui (“universo di soggetti”) è troppo piccolo (ad esempio, un set di dati anonimo contenente solo i 705 membri del Parlamento europeo), quando le categorie di dati sono così diverse tra gli individui che è possibile individuare questi individui (ad esempio, il fingerprint di un dispositivo appartenente a sistemi che hanno avuto accesso a un certo sito web) o quando i dataset includono un numero elevato di attributi demografici o dati di localizzazione.
MISUNDERSTANDING 4
“L’anonimizzazione è per sempre “
DATO DI FATTO: esiste il rischio che alcuni processi di anonimizzazione divengano reversibili in futuro. Le circostanze potrebbero cambiare nel tempo e nuovi sviluppi tecnici e la disponibilità di informazioni aggiuntive potrebbero compromettere i precedenti processi di anonimizzazione.
Le risorse di calcolo e le nuove tecnologie (o i nuovi modi di applicare le tecnologie esistenti) a disposizione di un soggetto attaccante che potrebbe cercare di re-identificare un set di dati anonimi cambiano nel tempo. Oggi, il cloud computing fornisce capacità di calcolo accessibili a livelli e prezzi impensabili fino a pochi anni fa. In futuro, i computer quantistici potrebbero anche modificare quelli che oggi sono considerati “mezzi ragionevoli”.
Inoltre, la divulgazione di ulteriori dati nel corso degli anni (ad esempio, per effetto di un data breach) può rendere possibile collegare dati precedentemente anonimi a individui identificati. La divulgazione di molti record vecchi di decenni contenenti dati altamente sensibili (ad esempio i registri penali) potrebbe ancora avere un effetto gravemente dannoso su un individuo o sui suoi parenti.
MISUNDERSTANDING 5
“L’anonimizzazione riduce sempre a zero la probabilità di re-identificazione di un set di dati”
DATO DI FATTO: il processo di anonimizzazione e il modo in cui è implementato avrà un’influenza diretta sulla probabilità di rischi di re-identificazione.
Un processo di anonimizzazione robusto mira a ridurre il rischio di re-identificazione sotto una certa soglia. Tale soglia dipenderà da diversi fattori come gli accorgimenti di mitigazione (insussistenti se si procedere a divulgazione pubblica), l’impatto sulla privacy degli individui in caso di re-identificazione, i motivi e la capacità di un attaccante di re-identificare i dati.
Sebbene un’anonimizzazione al 100% sia l’obiettivo maggiormente desiderabile dal punto di vista della protezione dei dati personali, in alcuni casi il raggiungimento di un simile obiettivo non è possibile e bisogna considerare un rischio residuo di reidentificazione.
MISUNDERSTANDING 6
“L’anonimizzazione è un concetto abinario che non può essere misurato”
DATO DI FATTO: è possibile analizzare e misurare il grado di anonimizzazione.
L’espressione “dati anonimi” non può essere percepita come se i dataset potessero essere semplicemente etichettati come anonimi o meno. I record in qualsiasi set di dati hanno una probabilità di essere re-identificati in base a quanto è possibile individuarli. Qualsiasi processo di anonimizzazione robusto valuterà il rischio di re-identificazione, che dovrebbe essere gestito e controllato nel tempo.
Ad eccezione di casi specifici in cui i dati sono altamente generalizzati (ad esempio un set di dati che conta il numero di visitatori di un sito web per paese in un anno), il rischio di re-identificazione non è mai zero.
MISUNDERSTANDING 7
“L’anonimizzazione può essere completamente automatizzata”
DATO DI FATTO: gli strumenti automatizzati possono essere utilizzati durante il processo di anonimizzazione, tuttavia, data l’importanza del contesto nella valutazione complessiva del processo, è necessario l’intervento di un esperto umano.
L’anonimizzazione richiede un’analisi del dataset originale, dei suoi scopi, delle tecniche da applicare e del rischio di re-identificazione dei dati risultanti.
L’identificazione e la cancellazione degli identificatori diretti (nota anche come “masking”), pur essendo una parte importante del processo di anonimizzazione, deve sempre essere seguita da una cauta analisi per altre fonti di identificazione indiretta (generalmente attraverso quasi-identificatori). Mentre gli identificatori diretti sono in qualche modo agevoli da trovare, gli identificatori indiretti, d’altra parte, non sono sempre ovvi, e la loro mancata individuazione può comportare l’inversione del processo (cioè la re-identificazione), con conseguenze per la privacy degli individui.
L’automazione potrebbe essere la chiave per alcune fasi del processo di anonimizzazione, come la rimozione degli identificatori diretti o l’applicazione coerente di una procedura di generalizzazione riguardante una variabile. Al contrario, sembra improbabile che un processo completamente automatizzato possa identificare i quasi-identificatori in diversi contesti o decidere come massimizzare l’utilità dei dati applicando tecniche specifiche a variabili specifiche.
MISUNDERSTANDING 8
“L’anonimizzazione rende i dati inutili”
DATO DI FATTO: un processo di anonimizzazione adeguato mantiene i dati funzionali per un determinato scopo.
Lo scopo dell’anonimizzazione è quello di impedire l’identificazione degli individui in un set di dati. Le tecniche di anonimizzazione limiteranno sempre i modi in cui il dataset risultante può essere utilizzato. Per esempio, raggruppare le date di nascita in intervalli di anni ridurrà il rischio di re-identificazione mentre allo stesso tempo ridurrà l’utilità del dataset in alcuni casi. Questo non significa che i dati anonimi diventeranno inutili, ma piuttosto che la loro utilità dipenderà dallo scopo e dal rischio di re-identificazione accettabile.
D’altra parte, i dati personali non possono essere conservati permanentemente oltre il loro scopo originale, magari in attesa di un’occasione in cui potrebbero diventare utili per altre finalità. La soluzione per alcuni titolari di trattamento potrebbe essere l’anonimizzazione, specie quando i dati personali possono essere separati e scartati dal dataset il cui rimanente mantiene ancora un significato utile. Un esempio potrebbe essere l’anonimizzazione dei log di accesso di un sito web, conservando solo la data di accesso e la pagina visitata ma non le informazioni su chi vi ha avuto accesso.
Il principio di “minimizzazione dei dati” richiede che il titolare determini se è necessario trattare i dati personali per soddisfare uno scopo particolare o se tale scopo può essere raggiunto anche con dati anonimi.
In alcuni casi, questo potrebbe portare alla conclusione che rendere i dati anonimi non è adatto allo scopo previsto. In questi casi, il titolare dovrà scegliere tra il trattamento dei dati personali (e l’uso, ad esempio, della pseudonimizzazione) e applicare il GDPR, o non trattare affatto i dati.
MISUNDERSTANDING 9
“Seguire un processo di anonimizzazione che altri hanno usato con successo porterà la nostra organizzazione a risultati equivalenti”
DATO DI FATTO: i processi di anonimizzazione devono essere adattati alla natura, alla portata, al contesto e alle finalità del trattamento, nonché ai rischi di varia probabilità e gravità per i diritti e le libertà delle persone fisiche.
L’anonimizzazione non può essere applicata come se si seguisse una ricetta, perché il contesto (natura, ambito, contesto e scopi del trattamento dei dati) sono probabilmente diversi da una circostanza all’altra nonché da un’organizzazione all’altra. Un processo di anonimizzazione potrebbe comportare un rischio di re-identificazione al di sotto di una certa soglia quando i dati sono messi a disposizione solo di un numero limitato di destinatari, mentre il rischio di re-identificazione non potrà raggiungere quella soglia quando i dati sono messi a disposizione del pubblico in generale.
Insiemi di dati diversi potrebbero essere disponibili in contesti diversi. Questi potrebbero essere incrociati con i dati anonimi che influenzano il rischio di re-identificazione. Per esempio, in Svezia, i dettagli dei dati personali dei contribuenti sono disponibili al pubblico, mentre in Spagna no. Pertanto, anche se gli insiemi di dati che includono informazioni di cittadini spagnoli e svedesi verrebbero resi anonimi seguendo la stessa procedura, i rischi di re-identificazione potrebbero essere diversi.
MISUNDERSTANDING 10
“Non c’è nessun rischio e nessun interesse a scoprire a chi si riferiscono questi dati”
DATO DI FATTO: i dati personali hanno un valore in sé, per gli individui stessi e per terzi. La re-identificazione di un individuo potrebbe avere un serio impatto sui suoi diritti e libertà.
Gli attacchi contro l’anonimizzazione possono essere tentativi deliberati di re-identificazione, tentativi non intenzionali di re-identificazione, violazioni di dati o rilascio di dati al pubblico. La probabilità che qualcuno tenti di re-identificare un individuo riguarda solo il primo tipo. La possibilità che qualcuno re-identifichi almeno una persona in un set di dati, sia per curiosità, per caso o spinto da un interesse reale (ad esempio, ricerca scientifica, giornalismo o attività criminale) non può essere trascurata.
Può essere difficile valutare con precisione l’impatto della re-identificazione sulla vita privata di una persona, perché dipenderà sempre dal contesto e dalle informazioni che sono correlate. Per esempio, la re-identificazione di una persona interessata nel contesto apparentemente innocuo delle sue preferenze cinematografiche potrebbe portare a dedurre le inclinazioni politiche o l’orientamento sessuale di quella persona. Questi dati particolarmente sensibili sono oggetto di una protezione speciale nell’ambito del GDPR.
