Le Tecniche di anonimizzazione: il Parere n. 05/2014 del Gruppo di lavoro ex art 29 della direttiva 95/46
Il nostro Codice Privacy, D.lgs. 196 del 2003, definisce il “dato anonimo” come quel dato che in origine, o a seguito di trattamento, non può essere associato ad un interessato identificato o identificabile. Una volta trattato il dato personale (e non) per una determinata finalità, lo stesso deve essere cancellato oppure trattato solo in forma anonima (principi di finalità e di proporzionalità).
Per garantire la protezione dei dati, sussistono diverse misure tecniche di trasformazione del dato in forma anonima. Il gruppo di lavoro ex art. 29 con un recente parere (adottato il 10 aprile 2014) affronta le tecniche di anonimizzazione, fornendo dei suggerimenti per gestirle al meglio, ponendo particolare attenzione al rischio che residua l’anonimizzazione sugli interessati, ovvero la possibilità di ritornare all’identificazione del soggetto attraverso il trattamento dei dati anonimi.
Le tecniche di anonimizzazione devono tendere all’irreversibilità del dato. Il gruppo di lavoro evidenzia la difficoltà di creare un set di dati realmente anonimi pur conservando le informazioni necessarie per l´attività.
Per raggiungere un alto grado di anonimizzazione secondo il gruppo di lavoro il titolare del trattamento deve prendere in considerazione diversi elementi. Tali elementi dovrebbero poi essere considerati secondo la regola del “ragionevolmente probabile”, ovvero se è ragionevolmente probabile tornare ad identificare il soggetto utilizzando i dati anonimizzati attraverso l’operazione che si sta adottando.
Il parere ricorda che l’anonimizzazione rappresenta un trattamento, come qualsiasi altra operazione compiuta intorno al dato personale. Pertanto, tale trattamento deve poter soddisfare tutte le esigenze normativamente descritte. Anche se il dato anonimo non ricade nella protezione della legislazione in merito alla protezione dei dati personali, il gruppo ricorda come gli interessati possano comunque proteggere i propri interessi attraverso altre tecniche (p.e. la tutela della riservatezza delle comunicazioni).
Il parere prende in considerazione diverse tecniche di anonimizzazione, quali in particolare la randomizzazione e la generalizzazione, ma tratta anche delle sostituzioni, dell´aggregazione, etc.
Il gruppo spiega ogni tecnica in base a tre criteri:
(a) se è ancora possibile individuare l’interessato;
(b) se è ancora possibile collegare i record relativi ad un interessato;
(c) se si possono dedurre informazioni riguardanti l’interessato, e quali.
Attraverso tale parere il gruppo vuole sottolineare il fatto che conoscere i principi di ogni tecnica di anonimizzazione, nonché i punti di forza e di debolezza, aiuta a scegliere come progettare un adeguato processo di anonimizzazione in un determinato contesto. Nel parere, poi, il gruppo si sofferma sulla tecnica della “pseudonimizzazione”, ovvero quel processo volto a mascherare l´identità dell´interessato.
Il gruppo nel parere lo analizza da ogni punto di vista, poiché l´efficacia dello stesso dipende da una serie di fattori: lo stadio in cui viene applicato, il grado di sicurezza contro il tracciamento inverso, il volume di popolazione in cui è mascherata la persona, la capacità di collegare singole transazioni/registrazioni alla stessa persona, etc. il gruppo chiarisce comunque che la “pseudonimizzazione” non è un metodo di anonimizzazione, ma una misura di sicurezza.
Il Gruppo conclude il parere osservando che le tecniche di anonimizzazione in grado di fornire garanzie di riservatezza possono essere efficienti solo se la loro applicazione è progettata opportunamente. La soluzione ottimale dovrebbe essere decisa caso per caso, tenendo presente che un insieme di dati anonimi possono ancora produrre rischi alle persone interessate e questo perché, è risaputo, che l’anonimizzazione, come anche la nuova identificazione, sono attivi settori di ricerca.