GUARDA QUIhttps://www.accademiaitalianaprivacy.it/assets/images/immagineFB.jpg

Dettaglio news
Dati anonimi e dati pseudonimizzati – L’apertura del Considerando 26 del GDPR


venerdì 27 settembre 2019
Avv. Gianni Dell’Aiuto





La chiosa finale del “Considerata” 26 del GDPR, apre probabilmente un importante varco in favore di tutte le aziende che svolgono attività di profilazione anche commerciali, in quanto espressamente stabilisce che il Regolamento Europeo 679/2016 non si applica al trattamento di informazioni anonime, anche per finalità statistiche o di ricerca.

Ergo, sul dato completamente ed assolutamente anonimo, quello che impedisce o non consente l’identificazione dell’interessato, non trovano applicazione i principi in materia di protezione dei dati personali.

Ricordiamo infatti che, in molti casi, lasciando anche solo un piccolo elemento o una apparentemente insignificante variabile, è possibile risalire ai dati completi di un interessato. In sintesi quello che è accaduto a Netflix nel 2006, quando creò un data base di dati che riteneva anonimi: si scoprì successivamente che, incrociando detti dati con altri reperibili, si potevano individuare la maggior parte dei soggetti i cui dati si trovavano sulla stessa piattaforma. Questa è, in sostanza, la differenza tra dati anonimi e dati pseudonimizzati, vale a dire quelli che, in qualsiasi maniera, permettono l’identificazione del Titolare. Ciò può avvenire anche solo mediante utilizzo o incrocio di informazioni o altri dati.

La norma, ad ogni modo, nel rispetto del suo principio base di Privacy by Default, prevede come, per stabilire l’identificabilità di una persona (non esistendo criteri empirici validi per chiunque) occorra fare riferimento al singolo caso concreto, tenendo conto dei mezzi, delle capacità e di altri fattori quali tempi e costi oltre lo stato della tecnologia. Un’analisi quasi certosina ma che, a ben vedere, è uno degli elementi che ogni Titolare deve tenere presente per una buona DPIA e, di conseguenza, stabilire i propri strumenti di Protezione dei Dati che verranno in suo possesso. Questa analisi che, in linea di principio, dovrebbe essere posta in essere da ogni Titolare, ai fini della predisposizione dei propri strumenti di difesa, ben può essere posta in essere da aziende che si occupano di acquisizione e cessione dati per cercare di riuscire ad ottenere prodotti completamente anonimi per poter offrire prodotti utilizzabili alla loro clientela.

È il concetto di Differential Privacy, cioè la possibilità di condividere pubblicamente informazioni su un set di dati, ad esempio su gruppi di soggetti o modelli comportamentali, senza però diffondere le informazioni di natura più strettamente personale che, laddove rivelate, renderebbero il dato non più anonimo e, di conseguenza, tutelato dal GDPR.

Intuibile quindi come le più grandi aziende siano ben disponibili a investire nell’acquisizione di grandi masse di dati, ancorché anonimi e non semplicemente pseudonimizzati, in quanto avrebbero la possibilità di eseguire ricerche e profilazioni basandosi sui grandi numeri, senza avere gli intralcianti paletti del GDPR. Non sarà propriamente come avere i profili individuali di possibili target di mercato, ma utilizzando un sistema a base di algoritmi e criptografia, e nel pieno rispetto del GDPR, sarà possibile per aziende e operatori avere una quantità sufficiente di dati per poter operare sul mercato o mettere a frutto strategie di marketing.

 




CONDIVIDI QUESTA PAGINA!