Le Tecniche di anonimizzazione: il Parere n. 05/2014 del Gruppo di lavoro ex art 29 della direttiva 95/46

28/04/2014
di roberto

Il nostro Codice Privacy, D.lgs. 196 del 2003, definisce il “dato anonimo” come quel dato che in origine, o a seguito di trattamento, non può essere associato ad un interessato identificato o identificabile. Una volta trattato il dato personale (e non) per una determinata finalità, lo stesso deve essere cancellato oppure trattato solo in forma anonima (principi di finalità e di proporzionalità).

Per garantire la protezione dei dati, sussistono diverse misure tecniche di trasformazione del dato in forma anonima. Il gruppo di lavoro ex art. 29 con un recente parere (adottato il 10 aprile 2014) affronta le tecniche di anonimizzazione, fornendo dei suggerimenti per gestirle al meglio, ponendo particolare attenzione al rischio che residua l’anonimizzazione sugli interessati, ovvero la possibilità di ritornare all’identificazione del soggetto attraverso il trattamento dei dati anonimi.

security_11133960_xlLe tecniche di anonimizzazione devono tendere all’irreversibilità del dato. Il gruppo di lavoro evidenzia la difficoltà di creare un set di dati realmente anonimi pur conservando le informazioni necessarie per l´attività.

Per raggiungere un alto grado di anonimizzazione secondo il gruppo di lavoro il titolare del trattamento deve prendere in considerazione diversi elementi. Tali elementi dovrebbero poi essere considerati secondo la regola del “ragionevolmente probabile”, ovvero se è ragionevolmente probabile tornare ad identificare il soggetto utilizzando i dati anonimizzati attraverso l’operazione che si sta adottando.

Il parere ricorda che l’anonimizzazione rappresenta un trattamento, come qualsiasi altra operazione compiuta intorno al dato personale. Pertanto, tale trattamento deve poter soddisfare tutte le esigenze normativamente descritte. Anche se il dato anonimo non ricade nella protezione della legislazione in merito alla protezione dei dati personali, il gruppo ricorda come gli interessati possano comunque proteggere i propri interessi attraverso altre tecniche (p.e. la tutela della riservatezza delle comunicazioni).

Il parere prende in considerazione diverse tecniche di anonimizzazione, quali in particolare la randomizzazione e la generalizzazione, ma tratta anche delle sostituzioni, dell´aggregazione, etc.

Il gruppo spiega ogni tecnica in base a tre criteri:

(a) se è ancora possibile individuare l’interessato;

(b) se è ancora possibile collegare i record relativi ad un interessato;

(c) se si possono dedurre informazioni riguardanti l’interessato, e quali.

Attraverso tale parere il gruppo vuole sottolineare il fatto che conoscere i principi di ogni tecnica di anonimizzazione, nonché i punti di forza e di debolezza, aiuta a scegliere come progettare un adeguato processo di anonimizzazione in un determinato contesto. Nel parere, poi, il gruppo si sofferma sulla tecnica della “pseudonimizzazione”, ovvero quel processo volto a mascherare l´identità dell´interessato.

Il gruppo nel parere lo analizza da ogni punto di vista, poiché l´efficacia dello stesso dipende da una serie di fattori: lo stadio in cui viene applicato, il grado di sicurezza contro il tracciamento inverso, il volume di popolazione in cui è mascherata la persona, la capacità di collegare singole transazioni/registrazioni alla stessa persona, etc. il gruppo chiarisce comunque che la “pseudonimizzazione” non è un metodo di anonimizzazione, ma una misura di sicurezza.

Il Gruppo conclude il parere osservando che le tecniche di anonimizzazione in grado di fornire garanzie di riservatezza possono essere efficienti solo se la loro applicazione è progettata opportunamente. La soluzione ottimale dovrebbe essere decisa caso per caso, tenendo presente che un insieme di dati anonimi possono ancora produrre rischi alle persone interessate e questo perché, è risaputo, che l’anonimizzazione, come anche la nuova identificazione, sono attivi settori di ricerca.

Riproduzione riservata ©

ALTRE NEWS

Allungamento tempi di conservazione: solo se dettato da specifiche esigenze di sicurezza

Con un provvedimento dello scorso Ottobre il Garante ha accolto la richiesta avanzata da un’azienda specializzata nella progettazione e realizzazione di card a banda magnetica… Leggi Tutto

Filesharing: dubbi della Corte di giustizia dell’Ue

Un elemento importante si è aggiunto di recente al dibattito in corso sulla legittimità delle richieste che varie società discografiche e di altri settori stanno… Leggi Tutto

Correttivi al CAD – Codice dell’amministrazione digitale

Lo schema di decreto legislativo approvato in prima deliberazione dal Consiglio dei Ministri l’8 settembre 2017 reca disposizioni integrative e correttive al decreto legislativo 26… Leggi Tutto

COLIN & PARTNERS

CHI SIAMO


Consulenza legale specializzata sul diritto delle nuove tecnologie

CONOSCIAMOCI
CHI SIAMO

Cultura e innovazione

SPEECH & EVENTI


Le nostre competenze a disposizione della vostra azienda

I prossimi appuntamenti

Siamo felici di dare il nostro contributo in numerosi eventi che trattano di nuove tecnologie e business digitale sotto vari aspetti. Il nostro apporto si ispira ai temi di interesse legale che, sempre più spesso, coinvolgono l’intera organizzazione.

Inoltre, a cadenza mensile, organizziamo il Colin Focus Day, un incontro di approfondimento gratuito sempre molto apprezzato. A Milano, o in videoconferenza, il Colin Focus Day è occasione di confronto e networking su temi legali-informatici e business.

CONTATTACI

OPERIAMO
A LIVELLO
GLOBALE


Tel. +39 0572 78166

Tel. +39 02 87198390

info@consulentelegaleinformatico.it

Compila il form