Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

L'APPROFONDIMENTO

Tecniche di pseudonimizzazione e anonimizzazione: differenze e campi di applicazione

Le tecniche di pseudonimizzazione e anonimizzazione sono entrate nel linguaggio comune degli operatori perché è attorno al concetto di identificazione di una persona fisica che orbita la stessa applicabilità del GDPR. Ecco, dunque, quali sono le differenze tra le due tecniche e i relativi campi di applicazione

18 Lug 2019
M
Luigi Mischitelli

Privacy & Data Protection Specialist at IRCCS Casa Sollievo della Sofferenza


A più di un anno dall’applicazione del GDPR (Regolamento UE 2016/679[1]), ed a più di tre anni dalla sua entrata in vigore, le tecniche di pseudonimizzazione e anonimizzazione sono entrate nel linguaggio comune degli operatori che – nei più disparati ambiti professionali – vi fanno fronte.

Scopo del presente articolo è di tracciare un “solco giuridico” tra i due trattamenti di dati – evidenziandone differenze e campi di applicazione – anche alla luce dell’entrata in scena del FFD (Free-Flow-Data), il Regolamento UE 2018/1807 sulla libera circolazione dei dati non personali[2].

Pseudonimizzazione e dati personali

Nell’ambito del trattamento dei dati personali, quella dell’identificazione – anche potenziale e, quindi, “remota” – di una persona fisica, è di fondamentale importanza poiché attorno a tale concetto orbita la stessa applicabilità del GDPR.

Partendo dall’Art. 4 n. 1) GDPR, “[…] si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”.

Se, per i più svariati motivi, un titolare del trattamento[3] avesse intenzione di procedere allo “scorporo” dei dati, rimuovendo la possibile (bensì reversibile) identificabilità di una persona fisica, la pseudonimizzazione potrebbe essere la carta vincente.

In ogni caso, è necessario partire dalle definizioni. Per l’Art. 4 n. 5) GDPR la “pseudonimizzazione è il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile”.

La pseudonimizzazione, pertanto, entra in gioco quando – per determinate finalità del trattamento – è necessario che la persona fisica interessata non risulti più identificabile in “maniera non irreversibile”. Questa mancanza di “irreversibilità” è ciò che divide la pseudonimizzazione dall’anonimizzazione, ossia ciò che separa una tecnica che rientra nel GDPR da un’altra che ne è estranea.

Invero sul punto è utile richiamare i considerando del GDPR che “arricchiscono” – ed aiutano a comprendere – la materia in esame.

Per la prima parte del Considerando (26) “[…] I dati personali sottoposti a pseudonimizzazione, i quali potrebbero essere attribuiti a una persona fisica mediante l’utilizzo di ulteriori informazioni, dovrebbero essere considerati informazioni su una persona fisica identificabile. Per stabilire l’identificabilità di una persona è opportuno considerare tutti i mezzi, come l’individuazione, di cui il titolare del trattamento o un terzo può ragionevolmente avvalersi per identificare detta persona fisica direttamente o indirettamente. Per accertare la ragionevole probabilità di utilizzo dei mezzi per identificare la persona fisica, si dovrebbe prendere in considerazione l’insieme dei fattori obiettivi, tra cui i costi e il tempo necessario per l’identificazione, tenendo conto sia delle tecnologie disponibili al momento del trattamento, sia degli sviluppi tecnologici. […]”.

Per il Considerando (28) “l’applicazione della pseudonimizzazione ai dati personali può ridurre i rischi per gli interessati e aiutare i titolari del trattamento e i responsabili del trattamento a rispettare i loro obblighi di protezione dei dati. L’introduzione esplicita della «pseudonimizzazione» nel presente regolamento non è quindi intesa a precludere altre misure di protezione dei dati”.

Infine, per il Considerando (29) “al fine di creare incentivi per l’applicazione della pseudonimizzazione nel trattamento dei dati personali, dovrebbero essere possibili misure di pseudonimizzazione con possibilità di analisi generale all’interno dello stesso titolare del trattamento, qualora il titolare del trattamento abbia adottato le misure tecniche e organizzative necessarie ad assicurare, per il trattamento interessato, l’attuazione del presente regolamento, e che le informazioni aggiuntive per l’attribuzione dei dati personali a un interessato specifico siano conservate separatamente. Il titolare del trattamento che effettua il trattamento dei dati personali dovrebbe indicare le persone autorizzate all’interno dello stesso titolare del trattamento”.

Il Considerando (28) “anticipa”, in un certo qual modo, all’interno del GDPR, quanto previsto da due importanti articoli del Regolamento: l’Art. 25.1 sulla “Protezione dei dati fin dalla progettazione” e l’Art. 32 sulla “Sicurezza del trattamento”, entrambi capisaldi della normativa privacy europea.

Per l’Art. 25.1 GDPR (“Data protection by design”), “tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso il titolare del trattamento mette in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati”.

Soffermandoci sul paragrafo 1 dell’Art. 32 GDPR:

Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso:

a) la pseudonimizzazione e la cifratura dei dati personali;

b) la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;

c) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;

d) una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento”.

Cenni sulle tecniche di pseudonimizzazione

Come esposto precedentemente, con la pseudonimizzazione[4] è possibile modificare e mascherare i dati personali (particolari[5] e non) di una persona fisica al fine di non renderli direttamente e facilmente attribuibili alla stessa senza l’utilizzo di informazioni aggiuntive.

In ogni caso però, il titolare del trattamento sarà quasi sempre in grado, grazie a tutti i dati in suo possesso (le “informazioni aggiuntive”), di risalire all’identificazione del singolo interessato a partire dal dato aggregato. È chiaro che le informazioni aggiuntive, dette anche chiavi, debbano essere materialmente conservati in zone differenti, ad esempio server distinti, al fine di impedire un facile ricongiungimento.

Vi sono due tipologie di pseudonimizzazione che permettono di mascherare i dati di una persona fisica, in base alle chiavi utilizzate: simmetrica e asimmetrica.

Nella pseudonimizzazione simmetrica si utilizza la stessa chiave per cifrare, o mascherare, il dato e per renderlo nuovamente leggibile. Con questa tecnica c’è però il problema di come condividere la chiave senza che questa venga scoperta.

Nella pseudonimizzazione asimmetrica, invece, si utilizzano due chiavi distinte: la prima per cifrare il dato, la seconda per decifrarlo. In questo modo è possibile facilitare la condivisione poiché si utilizza una chiave per crittografare, visibile a chiunque, e una chiave per decifrare che conosce solo il destinatario rendendo quindi non necessaria la sua condivisione.

Nella pratica, il titolare del trattamento deve individuare:

  • quali variabili sono identificatori diretti (ad esempio il codice fiscale);
  • quali variabili sono identificatori indiretti (ad esempio la data di nascita o di morte);
  • quali variabili non è necessario prendere in considerazione nel processo di anonimizzazione del dato, in quanto non sono elementi identificativi diretti o indiretti.

Sarebbe opportuno non avere più di sei o al massimo otto identificatori indiretti: l’aumento del numero degli identificatori indiretti permette di migliorare le tecniche di incrocio e ricostruire l’interessato a cui il dato si riferisce, mentre se si ha un numero di identificatori indiretti superiore ad otto, è favorevole provvedere ad una aggregazione preliminare dei dati individuali, per poi procedere alla diffusione.

La tecnica di sostituzione consiste nel sostituire il contenuto di una colonna di un database, con i dati che provengono da una lista predefinita di dati simili, ma non veritieri, di modo che il dato non possa essere ricondotto all’interessato originario.

Questa tecnica seppur garantisce l’integrità del dato, diventa poco efficace se i dati da trattare fanno riferimento a milioni di nomi, che richiedono la sostituzione; sarebbe necessario un elenco che sia almeno uguale o più lungo dei dati che devono essere sostituiti.

Una tecnica simile a quella di sostituzione è la tecnica di Shuffling[6]: in questo caso il dato che deve essere reso anonimo è ricavato dalla stessa colonna nella quale si trova il dato originale. L’integrità del dato rimane intatta ed è anche facilmente calcolabile, dato che il dato è derivato dalla stessa colonna dove si trova al dato originale.

La tecnica della variazione di numeri e date è una tecnica di anonimizzazione dei dati che si applica a colonne numeriche e di date. L’algoritmo utilizzato modifica ogni valore della colonna di una percentuale casuale, rispetto al valore effettivo. In questo modo si può alterare in maniera significativa il dato originale sino al punto di renderlo non ricostruibile a posteriori.[7]

Anonimizzazione e dati non personali

Come accennato in precedenza, l’irreversibilità del processo de-identificativo conduce all’anonimizzazione dei dati, “accomodandosi” di diritto all’esterno del campo di applicazione del GDPR.

Il già richiamato Considerando 26 del GDPR, che “cita” le due tecniche in esame, nella sua ultima parte afferma che “i principi di protezione dei dati non dovrebbero pertanto applicarsi a informazioni anonime, vale a dire informazioni che non si riferiscono a una persona fisica identificata o identificabile o a dati personali resi sufficientemente anonimi da impedire o da non consentire più l’identificazione dell’interessato. Il presente regolamento non si applica pertanto al trattamento di tali informazioni anonime, anche per finalità statistiche o di ricerca”.

Cenni sulle tecniche di anonimizzazione

Come ribadito, la tecnica della sottrazione dell’elemento identificativo dal dato conduce alla sua anonimizzazione.

Da un punto di vista pratico, questo obiettivo può essere ottenuto attraverso l’applicazione di diverse tecniche sostanzialmente raggruppabili in due famiglie: la prima è la randomizzazione, che modifica il grado di verità del dato al fine di eliminare la correlazione che esiste tra lo stesso e la persona[8].

Tecniche che rientrano in questa categoria sono:

  • la permutazione[9];
  • l’aggiunta di rumore statistico[10];
  • la differential privacy[11].

La generalizzazione[12] rappresenta la seconda famiglia di tecniche di anonimizzazione e consiste nel diluire gli attributi delle persone interessate modificandone la rispettiva scala o ordine di grandezza.

Si pensi ad esempio all’indicazione di una fascia d’età anziché all’età precisa del soggetto, o ancora della regione invece della città di residenza, e così via. Appartiene a questa famiglia, ad esempio, la tecnica di “k-anonymity”[13] con le sue varianti.[14]

Il Regolamento UE 2018/1807 sulla libera circolazione dei dati non personali

Come descritto, qualora fossimo in presenza di un dato anonimo – e quindi privo di carattere identificativo o potenzialmente tale – non si applica il GDPR. Con l’applicazione del Regolamento UE 2018/1807 (di seguito “FFD”)[15] dal 28 maggio 2019 anche i dati non personali vengono “disciplinati”, con lo scopo di favorire la loro libera circolazione all’interno dell’Unione Europea.

In base al 2.1 del FFD “i dati non personali possono essere classificati in base alla loro origine come:

  • in primo luogo, dati che in origine non si riferivano a una persona fisica identificata o identificabile, come i dati sulle condizioni meteorologiche prodotti da sensori installati sulle turbine eoliche o i dati sulle esigenze di manutenzione delle macchine industriali;
  • in secondo luogo, dati che inizialmente erano dati personali, ma che poi sono stati resi anonimi[16] […].

La valutazione se i dati siano stati adeguatamente resi anonimi dipende dalle condizioni specifiche ed uniche di ogni singolo caso[17]. Diversi esempi di reidentificazione di insiemi di dati, che erano stati apparentemente resi anonimi, hanno evidenziato che tale valutazione può essere impegnativa. Per stabilire se un soggetto è identificabile, si devono osservare tutti i mezzi che possono essere ragionevolmente utilizzati dal titolare del trattamento o da un altro individuo per identificare, direttamente o indirettamente, una persona”.

Sempre il 2.1 del FFD elenca alcuni esempi di dati non personali:

  • I dati che sono aggregati fino a che i singoli eventi (quali i viaggi all’estero di una persona o i tipi di spostamenti che potrebbero costituire dati personali) non siano più identificabili possono essere considerati dati anonimi. I dati anonimi sono, ad esempio, utilizzati nelle statistiche o nelle relazioni sulle vendite (ad esempio per valutare la popolarità di un prodotto e delle sue caratteristiche).
  • I dati del trading ad alta frequenza nel settore finanziario o i dati sull’agricoltura di precisione che aiutano a monitorare e a ottimizzare l’uso di pesticidi, nutrienti e acqua.

Tuttavia, se i dati non personali possono essere associati in qualsiasi modo a una persona, facendo sì che essa sia direttamente o indirettamente identificabile, questi devono essere considerati dati personali.

Ad esempio, se una relazione di controllo della qualità su una linea di produzione rende possibile associare i dati a specifici operai (ad es. coloro che stabiliscono i parametri di produzione), i dati sarebbero considerati dati personali e si deve applicare il regolamento generale sulla protezione dei dati.

Le stesse regole si applicano quando gli sviluppi della tecnologia e dell’analisi dei dati consentono di convertire i dati anonimi in dati personali.

Poiché la definizione di dati personali si riferisce alle “persone fisiche”, gli insiemi di dati che contengono i nomi e i dati di contatto delle persone giuridiche sono in linea di principio dati non personali. Tuttavia, in alcuni casi specifici, possono costituire dati personali.

Questo si verifica se, ad esempio, il nome della persona giuridica corrisponde a quello della persona fisica che lo possiede o se le informazioni si riferiscono a una persona fisica identificata o identificabile.

La sottile linea rossa: potenziale identificabilità e rischi connessi

L’affidabilità di una “perfetta” anonimizzazione è cruciale[18], in quanto fa da spartiacque tra ciò che è qualificabile come dato personale e ciò che non lo è. Tuttavia, non è sempre possibile elencare le circostanze in cui l’identificazione dell’interessato non risulta più possibile. In ogni caso è possibile considerare alcuni fattori chiave.

In primo luogo, si può sostenere che i titolari del trattamento debbano concentrarsi sui mezzi concreti necessari per invertire il processo di anonimizzazione, in particolare per quanto riguarda i costi e le competenze necessarie a mettere in atto tali sistemi e la valutazione della loro probabilità e gravità.

Ad esempio, gli sforzi compiuti e i costi sostenuti ai fini dell’anonimizzazione (in termini di tempi e risorse richiesti) dovrebbero essere misurati in rapporto alla crescente disponibilità di mezzi tecnici a basso costo per identificare le persone nelle banche dati, all’accessibilità pubblica sempre maggiore di altre banche dati (come quelle rese accessibili in relazione alle politiche in materia di “dati aperti”), e ai numerosi esempi di anonimizzazione incompleta che comportano effetti conseguenti avversi e a volte irreparabili per le persone interessate.

Va sottolineato che il rischio di identificazione può aumentare col tempo e dipende anche dallo sviluppo della tecnologia dell’informazione e della comunicazione.

In secondo luogo, “l’insieme dei mezzi che possono essere ragionevolmente utilizzati per determinare se una persona è identificabile” sono quelli che devono essere utilizzati “dal titolare del trattamento o da altri”.

Pertanto, è essenziale comprendere che quando un titolare del trattamento non cancella i dati originali (identificabili) a livello di evento, e trasmette poi parte di questo insieme di dati (ad esempio, dopo l’eliminazione o il mascheramento dei dati identificabili), l’insieme di dati risultante contiene ancora dati personali.

Soltanto se il titolare del trattamento aggrega i dati a un livello in cui i singoli eventi non sono più identificabili si può definire anonimo l’insieme di dati risultante. Ad esempio, se un’organizzazione raccoglie dati sugli spostamenti delle persone, i tipi di spostamenti individuali a livello di evento rientrano ancora tra i dati personali per tutte le parti coinvolte, fintantoché il titolare del trattamento (o altri) ha ancora accesso ai dati non trattati originali, anche se gli identificatori diretti sono stati espunti dall’insieme dei dati forniti a terzi.

Tuttavia, se il titolare del trattamento cancella i dati non trattati e fornisce a terzi solamente statistiche aggregate ad alto livello, ad esempio “il lunedì sulla rotta X i passeggeri sono più numerosi del 160% rispetto al martedì”, i dati possono essere definiti anonimi.

Un’efficace soluzione di anonimizzazione impedisce a tutte le parti di identificare una persona in un insieme di dati, di collegare due dati all’interno di un insieme di dati (o tra due insiemi distinti di dati) e di dedurre informazioni da tale insieme di dati.

In generale, eliminare elementi direttamente identificanti non è pertanto di per sé sufficiente a garantire che l’identificazione della persona interessata non sia più possibile.

Spesso è necessario adottare misure supplementari per prevenire l’identificazione, ancora una volta a seconda del contesto e degli scopi del trattamento cui sono destinati i dati resi anonimi.

L’esempio contenuto nel Parere 05/2014 WP29 sulle tecniche di anonimizzazione è cristallino:

“I profili di dati genetici costituiscono un esempio di dati personali che possono essere a rischio di identificazione se l’unica tecnica utilizzata è l’eliminazione dell’identità del donatore, data la natura unica di determinati profili.

È già stato dimostrato in letteratura che la combinazione di risorse genetiche pubblicamente accessibili (ad esempio, registri genealogici, necrologie, risultati delle interrogazioni dei motori di ricerca) e di metadati concernenti i donatori di DNA (data della donazione, età, luogo di residenza) possono rivelare l’identità di determinate persone, anche se il DNA è stato donato “in forma anonima”.

Entrambe le famiglie di tecniche di anonimizzazione, ossia randomizzazione e generalizzazione dei dati, presentano carenze; tuttavia, ognuna di esse può rivelarsi adeguata, in circostanze e contesti specifici, per conseguire lo scopo desiderato senza compromettere la sfera privata delle persone interessate. Va chiarito che per “identificazione” non si intende solo la possibilità di recuperare il nome e/o l’indirizzo di una persona, ma anche la potenziale identificabilità mediante individuazione, correlabilità e deduzione. Inoltre, l’applicabilità della normativa in materia di protezione dei dati non dipende dalle intenzioni del titolare del trattamento o del destinatario. Nella misura in cui i dati sono identificabili, si applicano le norme in materia di protezione dei dati.

Nei casi in cui un insieme di dati sottoposto a una tecnica di anonimizzazione (anonimizzato e reso pubblico dal titolare del trattamento originario) sia oggetto di trattamento da parte di terzi, questi ultimi possono procedere in modo legittimo senza necessariamente tener conto dei requisiti in materia di protezione dei dati, a condizione che non possano (direttamente o indirettamente) identificare le persone interessate nell’insieme di dati originario. Tuttavia, tali terzi sono tenuti a prendere in considerazione tutti i fattori contestuali e circostanziali summenzionati (tra cui le caratteristiche specifiche delle tecniche di anonimizzazione applicate dal titolare del trattamento originario) al momento di decidere come utilizzare e, soprattutto, mettere insieme tali dati anonimizzati per le loro finalità – in quanto le conseguenze che ne derivano possono comportare tipologie diverse di responsabilità a loro carico.

Nei casi in cui i fattori e le caratteristiche in questione siano tali da comportare un rischio inaccettabile di identificazione delle persone interessate, il trattamento rientra nuovamente nell’ambito di applicazione della normativa in materia di protezione dei dati.

All’atto di valutare il ricorso alle tecniche di anonimizzazione, i titolari del trattamento devono tener conto dei rischi di seguito descritti.

Un rischio specifico consiste nel considerare i dati pseudonimizzati equivalenti ai dati resi anonimi. La sezione relativa all’analisi tecnica precisa che i dati pseudonimizzati non possono essere equiparati a informazioni rese anonime, in quanto continuano a permettere l’identificazione delle singole persone e le rendono trasversalmente collegabili a diversi insiemi di dati. Gli pseudonimi consentono potenzialmente l’identificabilità e rientrano pertanto nel campo di applicazione del regime giuridico della protezione dei dati. Tale aspetto assume una particolare rilevanza nel contesto della ricerca scientifica, statistica o storica.

Un secondo errore consiste nel ritenere che dati adeguatamente anonimizzati (che soddisfano tutte le condizioni e criteri summenzionati e non rientrano per definizione nel campo di applicazione della direttiva sulla protezione dei dati) privino le persone di qualsivoglia salvaguardia, anzitutto per il motivo che all’utilizzo di tali dati potrebbero essere applicabili altri atti legislativi […].

Infine, un terzo caso di negligenza potrebbe scaturire dal non considerare l’impatto sulle persone, in determinate circostanze, di dati adeguatamente anonimizzati, soprattutto nel caso della definizione di profili. La sfera della vita privata di una persona è tutelata dall’articolo 8 della Convenzione europea dei diritti dell’uomo[19] e dall’articolo 7 della Carta dei diritti fondamentali dell’UE[20]; di conseguenza, benché le norme in materia di protezione dei dati possano non essere più applicabili a tale tipologia di dati, l’utilizzo degli insiemi di dati resi anonimi e pubblicati ad uso di terzi potrebbe determinare una perdita di riservatezza. Occorre prestare particolare attenzione quando si gestiscono informazioni rese anonime, soprattutto ogniqualvolta tali informazioni vengono utilizzate (spesso in combinazione con altri dati) per prendere decisioni che producono effetti (sebbene indirettamente) sulle persone. […]”.

NOTE

  1. Regolamento UE 679/2016 aggiornato
  2. Regolamento UE 2018/1807 sulla libera circolazione dei dati non personali
  3. Ai sensi dell’Art. 4 n.7) del GDPR, il titolare del trattamento è la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali […]
  4. Per approfondimenti tecnici si segnala il manuale “Big data e privacy by design”, di Giuseppe D’Acquisto (Garante Privacy) e Maurizio Naldi, Collana “I diritti nella rete della rete” di Franco Pizzetti, Giappichelli Editore.
  5. Per “dati particolari” (già dati sensibili) si intendono le tipologie di cui all’art. 9.1 del GDPR: origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona.
  6. Una nozione di Shuffling la riporta il Garante Privacy in un suo provvedimento del 2014: […] sistemi di riordino casuale degli eventi (shuffling), ovvero tecniche crittografiche basate sull´applicazione di chiavi variabili nel tempo anche mediante l´utilizzo, all´interno della chiave di codifica, di sequenze casuali di bit (c.d salt) non riconducibili in alcun modo al riferimento temporale dell´esame (ad es. data e ora), in modo da ridurre il rischio di risalire dai codici pseudonimizzati all´identità del paziente.
  7. Il punto 2.1, con ulteriori approfondimenti, è presente a questo link.
  8. 3.1 del Parere 05/2014 WP29 sulle tecniche di anonimizzazione.
  9. 3.1.2 del Parere 05/2014 WP29 sulle tecniche di anonimizzazione: Tecnica che consiste nel mescolare i valori degli attributi all’interno di una tabella in modo tale che alcuni di essi risultino artificialmente collegati a diverse persone interessate, è utile quando è importante mantenere l’esatta distribuzione di ciascun attributo all’interno dell’insieme di dati.
  10. 3.1.1 del Parere 05/2014 WP29 sulle tecniche di anonimizzazione: tecnica che può rivelarsi utile soprattutto nel caso in cui gli attributi possano avere un effetto avverso importante sulle persone e consiste nel modificare gli attributi contenuti nell’insieme di dati in modo tale da renderli meno accurati mantenendo nel contempo la distribuzione generale. All’atto di trattare un insieme di dati, un osservatore parte dal presupposto che i valori siano accurati, ma ciò corrisponde solo limitatamente al vero. Ad esempio, se l’altezza di una persona è stata originariamente misurata approssimandola al centimetro più vicino, l’insieme di dati anonimizzati potrebbe contenere un’altezza accurata solo con un’approssimazione di +-10cm. Se la tecnica viene applicata in maniera efficace, eventuali terzi non riescono a identificare una persona né possono riparare i dati o altrimenti desumere in che modo gli stessi sono stati modificati.
  11. Differential privacy e probabilità.
  12. 3.2 del Parere 05/2014 WP29 sulle tecniche di anonimizzazione.
  13. Sulla K-anonymity l’autorità privacy spagnola – Agencia Española de Protección de Datos (AEPD) – ha pubblicato un documento che mira a delineare quali sono i limiti all’efficacia di tale processo di anonimizzazione, in che misura le informazioni sono realmente anonime e come può essere gestito il rischio di ri-identificazione.
  14. Il punto 3.1, con ulteriori approfondimenti, è presente a questo link.
  15. Per approfondimenti.
  16. [Nota del FFD] Cfr. sentenza della Corte di giustizia del 19 ottobre 2016, Patrick Breyer contro Bundersrepublik Deutschland, C-582/14, ECLI:EU:C:2016:779. La Corte di giustizia ha ritenuto che l’indirizzo di protocollo Internet (IP) dinamico possa rientrare nella nozione di dati personali, anche se un soggetto terzo (ad es. un fornitore di servizi Internet) è in possesso di dati supplementari che renderebbero possibile identificare il soggetto. La possibilità di identificare il soggetto deve rientrare tra i mezzi che possono essere ragionevolmente utilizzati per identificare la persona, direttamente o indirettamente.
  17. [Nota del FFD] L’anonimizzazione dei dati dovrebbe sempre essere effettuata utilizzando le tecniche di anonimizzazione più all’avanguardia.
  18. Dai punti 2.2.2 e 2.2.3 del Parere 05/2014 WP29 sulle tecniche di anonimizzazione.
  19. Art. 8 – Diritto al rispetto della vita privata e familiare1. Ogni persona ha diritto al rispetto della propria vita privata e familiare, del proprio domicilio e della propria corrispondenza.2. Non può esservi ingerenza di una autorità pubblica nell’esercizio di tale diritto a meno che tale ingerenza sia

    prevista dalla legge e costituisca una misura che, in una società democratica, è necessaria alla sicurezza nazionale, alla

    pubblica sicurezza, al benessere economico del paese, alla difesa dell’ordine e alla prevenzione dei reati, alla protezione della salute o della morale, o alla protezione dei diritti e delle libertà altrui.

  20. Articolo 7 – Rispetto della vita privata e della vita familiareOgni individuo ha diritto al rispetto della propria vita privata e familiare, del proprio domicilio e delle sue comunicazioni.
@RIPRODUZIONE RISERVATA

Articolo 1 di 5