Le Tecniche di anonimizzazione: il Parere n. 05/2014 del Gruppo di lavoro ex art 29 della direttiva 95/46

28/04/2014
di Leonardo

Il nostro Codice Privacy, D.lgs. 196 del 2003, definisce il “dato anonimo” come quel dato che in origine, o a seguito di trattamento, non può essere associato ad un interessato identificato o identificabile. Una volta trattato il dato personale (e non) per una determinata finalità, lo stesso deve essere cancellato oppure trattato solo in forma anonima (principi di finalità e di proporzionalità).

Per garantire la protezione dei dati, sussistono diverse misure tecniche di trasformazione del dato in forma anonima. Il gruppo di lavoro ex art. 29 con un recente parere (adottato il 10 aprile 2014) affronta le tecniche di anonimizzazione, fornendo dei suggerimenti per gestirle al meglio, ponendo particolare attenzione al rischio che residua l’anonimizzazione sugli interessati, ovvero la possibilità di ritornare all’identificazione del soggetto attraverso il trattamento dei dati anonimi.

security_11133960_xlLe tecniche di anonimizzazione devono tendere all’irreversibilità del dato. Il gruppo di lavoro evidenzia la difficoltà di creare un set di dati realmente anonimi pur conservando le informazioni necessarie per l´attività.

Per raggiungere un alto grado di anonimizzazione secondo il gruppo di lavoro il titolare del trattamento deve prendere in considerazione diversi elementi. Tali elementi dovrebbero poi essere considerati secondo la regola del “ragionevolmente probabile”, ovvero se è ragionevolmente probabile tornare ad identificare il soggetto utilizzando i dati anonimizzati attraverso l’operazione che si sta adottando.

Il parere ricorda che l’anonimizzazione rappresenta un trattamento, come qualsiasi altra operazione compiuta intorno al dato personale. Pertanto, tale trattamento deve poter soddisfare tutte le esigenze normativamente descritte. Anche se il dato anonimo non ricade nella protezione della legislazione in merito alla protezione dei dati personali, il gruppo ricorda come gli interessati possano comunque proteggere i propri interessi attraverso altre tecniche (p.e. la tutela della riservatezza delle comunicazioni).

Il parere prende in considerazione diverse tecniche di anonimizzazione, quali in particolare la randomizzazione e la generalizzazione, ma tratta anche delle sostituzioni, dell´aggregazione, etc.

Il gruppo spiega ogni tecnica in base a tre criteri:

(a) se è ancora possibile individuare l’interessato;

(b) se è ancora possibile collegare i record relativi ad un interessato;

(c) se si possono dedurre informazioni riguardanti l’interessato, e quali.

Attraverso tale parere il gruppo vuole sottolineare il fatto che conoscere i principi di ogni tecnica di anonimizzazione, nonché i punti di forza e di debolezza, aiuta a scegliere come progettare un adeguato processo di anonimizzazione in un determinato contesto. Nel parere, poi, il gruppo si sofferma sulla tecnica della “pseudonimizzazione”, ovvero quel processo volto a mascherare l´identità dell´interessato.

Il gruppo nel parere lo analizza da ogni punto di vista, poiché l´efficacia dello stesso dipende da una serie di fattori: lo stadio in cui viene applicato, il grado di sicurezza contro il tracciamento inverso, il volume di popolazione in cui è mascherata la persona, la capacità di collegare singole transazioni/registrazioni alla stessa persona, etc. il gruppo chiarisce comunque che la “pseudonimizzazione” non è un metodo di anonimizzazione, ma una misura di sicurezza.

Il Gruppo conclude il parere osservando che le tecniche di anonimizzazione in grado di fornire garanzie di riservatezza possono essere efficienti solo se la loro applicazione è progettata opportunamente. La soluzione ottimale dovrebbe essere decisa caso per caso, tenendo presente che un insieme di dati anonimi possono ancora produrre rischi alle persone interessate e questo perché, è risaputo, che l’anonimizzazione, come anche la nuova identificazione, sono attivi settori di ricerca.

Riproduzione riservata ©

ALTRE NEWS

“Safe Harbor” e gestione dei dati nel Cloud Computing

A fronte di ampia divulgazione dei servizi di Cloud Computing, occorre tener presente di alcuni (forse apparenti …) ostacoli da affrontare sul fronte legale, soprattutto… Leggi Tutto

Diritto d’autore digitale: il sito web

La rivoluzione delle tecnologie digitali, in special modo dell’informatica e di internet, ha comportato lo sviluppo di nuovi strumenti per gli internauti, ridisegnando gli scenari… Leggi Tutto

Verso il Regolamento Europeo: affrontare il percorso di adeguamento normativo

Si è protratto per quasi quattro anni, l’iter di creazione e modifica della normativa europea inerente la protezione dei dati personali. Lo scorso 15 dicembre… Leggi Tutto

COLIN & PARTNERS

CHI SIAMO


Consulenza legale specializzata sul diritto delle nuove tecnologie

CONOSCIAMOCI
CHI SIAMO

Cultura e innovazione

SPEECH & EVENTI


Le nostre competenze a disposizione della vostra azienda

I prossimi appuntamenti

Colin Focus Day – GDPR e Compliance Software: la metodologia certificata di Colin & Partners

Appuntamento a Milano il 5 febbraio dalle ore 14.00.

Affronteremo i 5 temi chiave della Compliance di cui tiene ampiamente conto la metodologia certificata e lo schema di analisi di Colin & Partners.

CONTATTACI

OPERIAMO
A LIVELLO
GLOBALE


Tel. +39 0572 78166

Tel. +39 02 87198390

info@consulentelegaleinformatico.it

Compila il form