La differenza tra pseudonimizzazione e anonimizzazione: definizione, riferimenti normativi, consigli tecnici per la tutela dei dati personali.

Pseudonimizzazione o anonimizzazione: una prima definizione

E’ sempre utile partire dalle basi, soprattutto in un caso come questo dove le definizioni spesso vengono confuse. Eppure tra pseduonimizzazione e anonimizzazione dei dati vi sono differenze utili da cogliere, anche se entrambi sono misure di protezione dei dati.

Per pseduonimizzazione si intende una procedura di trattamento dati finalizzata a impedire che un individuo possa essere identificato tramite i suoi dati. Il GDPR cita esplicitamente la pseduonimizzazione pretendendo che questa significhi l’impossibilità di risalire all’identità dell’interessato.

L’anonimizzazione invece non è definita nel GDPR. La sua definizione è ricavabile dal Considerando 26:

“I principi di protezione dei dati non dovrebbero pertanto applicarsi a informazioni anonime, vale a dire informazioni che non si riferiscono a una persona fisica identificata o identificabile o a dati personali resi sufficientemente anonimi da impedire o da non consentire più l’identificazione dell’interessato”

Se ne ricava che la differenza dovrebbe essere che se un dato pseduonimizzato può essere ricostruito, un dato anonimo no. Cioè se il dato è anonimo è impossibile risalire al suo proprietario.

Uno sguardo più approfondito > Dati anonimi e dati pseudonimizzati – L’apertura del Considerando 26 del GDPR

La pseudonimizzazione secondo il GDPR

La pseduonimizzazione è esplicitamente descritta nel GDPR. Si legge all’art.4 comma 5:

“Il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile”.

Dalla lettura dell’art 4. emergono due punti importanti:

• la pseudonimizzazione è una operazione di de-identificazione reversibile;
• le informazioni che permettono di identificare il proprietario dei dati vanno conservate separatamente e devono essere protette adeguatamente.

La pseudonimizzazione non può quindi essere una misura di sicurezza a sé stante, ma va inserita entro il complesso delle misure adottate per garantire la sicurezza dei dati. Non a caso sempre il considerato 26 sottolinea come:

"L’introduzione esplicita della «pseudonimizzazione» nel presente regolamento non è quindi intesa a precludere altre misure di protezione dei dati”

Il dato anonimo non è definito nel GDPR

Il legislatore europeo ha optato, al contrario della pseduonimizzazione, per non definire esplicitiamente il concetto di anonimizzazione. E’ necessario mettersi a leggere tra le righe del testo. Ad esempio, nel considerando 75 si parla di rischio di

“decifratura non autorizzata della pseudonimizzazione”.

Il legislatore qui indica il fatto che il dato anonimizzato non può essere ricostruito, mentre quello pseudonomizzato corre il rischio di essere ricostruito qualora fosse possibile “riaccoppiare” le informazioni.

Passiamo ai fatti: un esempio concreto

Per non perdersi nel legalese può essere utile passare al fatto concreto. La pseduonimizzazione ha lo scopo di modificare i dati di una persona fisica così da non renderli direttamente attribuibili alla stessa senza disporre di informazioni aggiuntive. Perchè il dato sia pseduonimizzato quindi le “informazioni aggiuntive” vanno conservate il luoghi differenti. Ad esempio stoccandoli in server diversi. Resta che il titolare del trattamento potrà in quasi tutti i contesti risalire all’identificazione dell’interessato usando il dato aggregato. Non solo: esistono due diverse tecniche di pseduonimizzazione secondo la chiave usata: simmetrica e asimmetrica.

• Nella simmetrica si usa la stessa chiave per cifrare un dato e renderlo anche nuovamente leggibile. In questo caso, perdere il controllo della chiave esporre sicuramente i dati e consentirebbe di riferirli ad una persona specifica.
• Nella pseduonimizzazione asimmetrica invece le chiavi usate sono distinte: una chiave serve a cifrare il dato, la seconda per decifrarlo. In questo caso la condivisione delle chiavi comporta minori rischi.

Alla luce di questo il titolare del trattamento deve categorizzare i dati secondo:

• quelli che sono identificatori diretti (codice fiscale, nome e cognome ecc…);
• gli identificatori indiretti (data di nascita);
• tutte le informazioni che non necessitano pseduonimizzazione perchè non sono elementi identificatori.

Meno dati indicatori diretti trattiamo, minori sono i rischi di invertire la pseduonimizzazione e ricostruire il dato. Ma anche gli indicatori indiretti sono un problema: più dati si detengono, più si possono applicare tecniche di incrocio degli stessi. 

Qualche tecnica di pseudonimizzazione

Ci sono varie modalità, vai trucchetti utilizzabili nella gestione dei database. Ne elenchiamo alcuni, i più comuni, a titolo esemplificativo, ben consapevoli che poi la scelta di quale tecnica sia migliore debba dipendere dal contesto e dal tipo di trattamento dei dati.

Ad esempio si può sostituire le informazioni presenti in una colonna del database con dati che provengono da una lista similmente organizzata, ma non veri. C’è chi lo fa realmente, ma questa tecnica diviene estremamente complessa quando si devono trattare elenchi lunghissimi di dati.

La tecnica dello shuffling è simile a quella sopra indicata, ma il dato da pseduonimizzare è preso dalla stessa colonna nel quale si torva il dato originale.

La tecnica di variazione di numeri e dati si applica invece alle colonne che contengono valori numerici, come le date. Su tali campi è possibile applicare un algoritmo che devia di un valore percentuale casuale ogni valore della colonna. Il dato originale viene alterato e non potrà essere ricostruito a posteriori.

Per concludere…

Questi esempi non esauriscono, ovviamente, la gamma delle possibilità. Il punto principale è comunque che la pseduonimizzazione è e deve essere un processo reversibile. Al termine del periodo contrattuale di uso dei dati personali si deve procedere alla loro anonimizzazione. Questo processo deve essere reversibile e solitamente è adempiuto sostituendo in maniera permanente il dato personale con una stringa senza valore.

Per saperne di più > Che fine fanno i dati rubati (se non sono pseudonimizzati)?