Autore: Walter Della Mora
Pubblicato il: 2 Set 2022
Aggiornato il: 21 Ago 2023

Pseudonimizzazione e anonimizzazione

Due facce della stessa medaglia

In ambito privacy confondere pseudonimizzazione e anonimizzazione dei dati è un errore piuttosto comune.

La differenza tra questi due tecniche è sottile ma importante. Mentre la pseudonimizzazione mira a rendere più difficile l’identificazione dell’interessato, l’anonimizzazione la preclude totalmente.

PSEUDONIMIZZAZIONE

Consiste nel separare dai dati personali tutte quelle informazioni che consentono l’identificazione diretta o indiretta dell’interessato. Ad esempio, il codice fiscale consente una identificazione diretta mentre la data di nascita consente una identificazione indiretta, ovvero che necessita di ulteriori informazioni per ricondurre in modo preciso all’identità dell’interessato.

Il primo passo per pseudonimizzare una base dati è proprio quello di individuare quali delle informazioni in nostro possesso consentono l’identificazione diretta o indiretta. Dopodiché, è necessario separare tali informazioni dai dati personali degli interessati. La separazione deve essere studiata, dal punto di vista tecnico, affinché non consenta un facile ricongiungimento delle informazioni. Questo accorgimento offre un grado di protezione sufficiente a garantire che, nel caso in cui uno dei due gruppi di informazioni dovesse cadere in mani sbagliate, durante le attività di manutenzione e movimentazione degli archivi, così come in caso di data breach, difficilmente i dati trafugati potrebbero essere utilizzati a danno degli interessati.

La pseudonimizzazione nasce però con l’intento di essere reversibile, infatti, in qualsiasi momento, chi gode di un accesso autorizzato ai dati deve poter riunire il dato personale con l’identità della persona cui si riferisce. Questo è possibile utilizzando una chiave di corrispondenza, ovvero un codice univoco (generalmente un numero o un testo), che mette in correlazione le identità con i dati personali.

Un esempio pratico

Supponiamo che il nostro archivio contenga nome, cognome, data di nascita e gruppo sanguigno dei nostri interessati. Ipotizziamo che i dati contenuti siano:
Mario Rossi, 01/03/1990, A+
Riccardo Verde, 10/05/1992, A-

Nome e cognome sono dati identificativi diretti, la data di nascita è un dato identificativo indiretto, il gruppo sanguigno è un dato particolare (dato sensibile).

Dividiamo la base dati in due e, a ogni riga, aggiungiamo la chiave di corrispondenza.
Otteniamo da un lato le identità:

K1, Mario Rossi, 01/03/1990
K2, Riccardo Verde, 10/05/1992

Dall’altro il gruppo dei dati particolari:

K1, A+
K2, A-

All’occorrenza tramite le chiavi K1 e K2 sarà possibile riunire le informazioni.

ANONIMIZZAZIONE

Citando il considerando 26 del GDPR, i dati anonimizzati sono “dati personali resi sufficientemente anonimi da impedire o non consentire più l’identificazione dell’interessato”.

L’anonimizzazione è quindi un processo irreversibile e, in quanto tale, richiede uno studio accurato che talvolta può diventare molto complesso.

I dati devono essere privati di tutte le informazioni utili all’identificazione diretta e indiretta. Per raggiungere tale scopo si usano tecniche di rimozione o di offuscamento. La rimozione, come già si può intuire, consiste nel cancellare l’informazione. Si applica ad esempio cancellando nome e cognome. L’offuscamento consiste invece nel confondere i dati. Si applica ad esempio rimuovendo il giorno dalla data di nascita. Un altro modo è quello di aggiungere informazioni plausibili ma non veritiere, atte a depistare il malintenzionato.

Le verifiche da parte del garante

È importante segnalare che in sede di controllo da parte degli organi ispettivi viene chiesta giustificazione in merito alle tecniche di anonimizzazione adottate.

Sempre citando il considerando 26, per accertare l’efficacia delle misure adottate “si dovrebbe prendere in considerazione l’insieme dei fattori obiettivi, tra cui i costi e il tempo necessario per l’identificazione, tenendo conto sia delle tecnologie disponibili al momento del trattamento, sia degli sviluppi tecnologici“.

In particolare è quest’ultimo aspetto che rende difficile valutare la bontà delle proprie scelte. Del resto chi è in grado di prevedere i prossimi sviluppi tecnologici, soprattutto nel campo dell’informatica? Grazie al deep learning, all’incrocio di basi dati diverse e all’aumento continuo delle capacità di calcolo dei computer, l’anonimizzazione applicata con successo oggi potrebbe rivelarsi inefficace nel giro di breve tempo.

Come ci si protegge dalle sanzioni in tali situazioni?

Ancora una volta, a essere determinante è l’accountability (responsabilizzazione) del titolare. Egli deve essere in grado di dimostrare di aver fatto tutto il necessario per il corretto trattamento dei dati. È pertanto fondamentale progettare le tecniche di anonimizzazione in modo intelligente, documentare con cura le scelte fatte ed eventualmente prevedere procedure di ri-validazione periodica.

CONCLUSIONE

Pseudononimizzazione e anonimizzazione sono soltanto due delle svariate tecniche impiegate per la tutela dei dati personali. La prima è generalmente adottata per tutto il ciclo di vita del dato trattato, la seconda è utilizzata solitamente quando il dato cessa di avere una funzione “operativa” diventando utile ai soli fini statistici.

PersonalDOX è il software in cloud che abbiamo creato per aiutare aziende e utenti privati a organizzare e condividere efficacemente dati e documenti personali. Lo abbiamo progettato applicando il principi della privacy by design e by default, curando con grande attenzione la pseudonimizzazione dei dati ospitati nei nostri archivi, inclusi i log applicativi e le memorie temporanee.

Grazie a questi accorgimenti, i dati personali vengono ricongiunti alle identità delle persone cui si riferiscono solo nel preciso momento in cui sono restituiti a fronte di una richiesta da parte di un utente autorizzato.

Se vuoi saperne di più visita la pagina di PersonalDOX