L’art. 32 del Reg. UE 2016/679 (GDPR) prevede l’obbligo, per i titolari e i responsabili del trattamento, di mettere in atto misure tecniche e organizzative idonee a garantire un livello di sicurezza dei dati personali adeguato al rischio.
A tal fine quest’ultimo deve essere valutato, di volta in volta, tenendo in considerazione vari parametri tra cui lo stato dell’arte e i costi di attuazione delle misure, la natura, l’oggetto, il contesto e le finalità del trattamento nonché il rischio, di varia probabilità e gravità, per i diritti e le libertà fondamentali delle persone fisiche che potrebbe derivare in caso di sinistro.
Tra le misure di sicurezza individuate in via generale dal legislatore europeo si annovera la pseudonimizzazione dei dati, di cui parla l’art. 25 del GDPR con riferimento all’attuazione dei principi di privacy by design e privacy by default.
In cosa consiste la pseudonimizzazione e quali sono le tecniche da utilizzare?
A fare chiarezza sul punto è intervenuta l’Agenzia Europea per la cybersecurity – ENISA – che il 3 dicembre 2019 ha pubblicato un documento sulle tecniche di pseudonimizzazione e le best practice da adottare nell’ambito delle operazioni di trattamento dei dati, nell’intento di promuovere lo sviluppo della tecnologia in conformità alle disposizioni in materia di protezione dei dati personali.
Pseudonimizzazione e anonimizzazione: che differenza c’è?
In primo luogo è fondamentale chiarire la differenza che intercorre tra due concetti che spesso vengono confusi: anonimizzazione e pseudonimizzazione.
Per anonimizzazione si intende un processo mediante il quale i dati personali vengono modificati in modo irreversibile, così che il titolare del trattamento non possa più in nessun modo risalire all’identità dell’interessato, né direttamente nè indirettamente.
Per pseudonimizzazione si intende, invece, il trattamento dei dati personali in modo tale che gli stessi non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive. Tali informazioni aggiuntive devono essere conservate separatamente e protette da misure tecniche e organizzative idonee a garantire che i dati personali non siano attribuiti a una persona fisica identificata o identificabile.
Come si realizza la pseudonimizzazione?
La pseudonimizzazione si realizza associando all’identificativo di un individuo o ad altri tipi di dati personali (es: dati relativi all’ubicazione) un’informazione, detta appunto pseudonimo o nome in codice.
Gli pseudonimi possono presentare diversi gradi di associabilità agli identificativi originali (più o meno complessi); tale aspetto va valutato al fine di progettare sistemi di pseudonimizzazione dei dati che consentano di raggiungere il grado di associabilità desiderato (che, a sua volta, sarà determinato dalla “delicatezza” del dato e dalle conseguenze di eventuali accessi o trattamenti non autorizzati).
Quali sono i vantaggi della pseudonimizzazione?
Il vantaggio più evidente legato alla pseudonimizzazione consiste nell’occultare l’identità degli interessati a terzi nell’ambito di una specifica operazione di trattamento di dati.
La pseudonimizzazione persegue l’obiettivo di proteggere i dati anche grazie alla non associabilità, riducendo il rischio che i dati personali oggetto di trattamento vengano collegati tra differenti domini di trattamento dei dati.
Ma la pseudonimizzazione costituisce anche una applicazione pratica del principio di minimizzazione del dato (art. 5 GDPR) in base al quale, ove per perseguire le finalità del trattamento il titolare non abbia necessità di avere accesso all’identità reale degli interessati ma solo ai loro pseudonimi, detto accesso dovrà essergli precluso.
L’approccio consigliato da ENISA per la scelta della tecnica di pseudonimizzazione
Secondo l’Agenzia i titolari e i responsabili del trattamento dei dati dovrebbero attuare la pseudonimizzazione secondo un approccio basato sul rischio, tenendo conto cioè dello scopo e del contesto generale del trattamento dei dati personali nonché dei livelli di funzionalità e scalabilità che intendono raggiungere. Tale approccio c.d. risk based è, peraltro, perfettamente coerente con quello adottato dal GDPR.
Sarà necessario dunque, preventivamente, un attento esame del contesto in cui avviene il trattamento al fine di individuare gli obbiettivi per il cui perseguimento si ricorre alla pseudonimizzazione (da chi devono essere nascoste le identità, qual è la funzionalità desiderata per gli pseudonimi derivati, ecc.).
In ogni caso va sempre tenuto presente che il fatto di proteggere i dati aggiuntivi necessari per la re-identificazione, requisito necessario perchè si possa parlare di pseudonimizzazione, riduce molto ma non azzera il rischio di accesso non autorizzato ai dati.