Con questo articolo vogliamo introdurvi due concetti utili a capire meglio la materia del trattamento dei dati personali: pseudonimizzazione e anonimizzazione.
Per farlo, richiamiamo alla vostra memoria un’iniziativa della regione Lombardia di un po’di giorni fa.
La Regione, nel tentativo di gestire meglio l’emergenza COVID-19, ha deciso di tracciare gli spostamenti dei cittadini raccogliendo dati tramite le celle telefoniche alle quali si agganciano gli smartphone.
Molti cittadini hanno percepito questa iniziativa come un’ingerenza delle autorità nella loro vita privata, ma la Regione ha subito dichiarato che i dati sono stati raccolti in forma anonimizzata.
Conoscere il significato di pseudonimizzazione e anonimizzazione vi sarà utile sia come utenti, sia come eventuali gestore di dati altrui (clienti, fornitori, visitatori del vostro sito, ecc.).
Sebbene a un primo sguardo possano sembrare simili, i due termini hanno definizioni diverse e prevedono comportamenti diversi.
PSEUDONIMIZZAZIONE E ANONIMIZZAZIONE: LE DEFINIZIONI
Pseudonimizzazione
La pseudonimizzazione, da pseudonimo, è l’oscuramento o la sostituzione parziale dei dati rilasciati da un soggetto e ha l’obiettivo di impedire l’identificazione di quest’ultimo.
Il GDPR pone grande attenzione alla pseudonimizzazione, che deve essere garantita, e la definisce come «Il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile».
Per farvi capire meglio di cosa si tratta, immaginate un archivio aziendale che contenga informazioni su clienti e fornitori e che sia accessibile anche al pubblico.
Il responsabile può accedere all’archivio e visualizzare tutti i dati contenuti (nomi, cognomi e tutto il resto); il pubblico invece vede solo alcune informazioni, mentre altre sono sostituite da codici, pseudonimi o altre tipologie di cifratura.
La pseudonimizzazione varia quindi in base ai privilegi concessi al singolo che accede ai dati e si basa su un sistema capace di scindere tra i vari ruoli utente e di garantire il giusto livello di privacy.
Il responsabile dell’archivio ha un ruolo utente diverso da quello del pubblico e ha privilegi maggiori.
Attenzione! Il fatto che la pseudonimizzazione vari in base ai privilegi utente concessi significa che, sotto la cifratura, il dato è sempre presente. È, insomma, una procedura temporanea e/o reversibile.
Infatti, un dato pseudonimizzato può sempre essere ricostruito, cioè si può sempre risalire all’identità del soggetto a cui è riferito.
Anonimizzazione
L’anonimizzazione, come suggerisce il nome, consiste nel rendere un dato anonimo.
Il GDPR definisce le informazioni anonime come «informazioni che non si riferiscono a una persona fisica identificata o identificabile o dati personali resi sufficientemente anonimi da impedire o da non consentire più l’identificazione dell’interessato».
Se prendiamo l’esempio precedente del database aziendale, con l’anonimizzazione nessuno, né il responsabile dell’archivio né il pubblico, potrebbe vedere a chi è riferito il singolo dato. Il dato risulterebbe in partenza conservato in modo del tutto staccato da altre informazioni capaci di rendere riconoscibile il soggetto a cui è riferito.
L’anonimizzazione è dunque una procedura irreversibile sotto forma di cancellazione o una sostituzione definitiva.
È usata soprattutto al termine del periodo di trattamento dei dati concesso dal contratto sottoscritto.
Ora che avete compreso la differenza fra dati pseudonimizzati e dati anoninimizzati, speriamo sia più facile per voi valutare con criterio l’uso delle informazioni che decidete di condividere. Inoltre, speriamo possa aiutarvi a meglio comprendere gli attuali dibattiti sul possibile utilizzo di app di tracciamento per monitorare la diffusione dell’epidemia COVID-19.
Vuoi adeguarti al GDPR? Scopri i servizi di Servicematica su trattamento dei dati e privacy.
———
LEGGI ANCHE:
Privacy, tracciamento di massa e compressione delle libertà individuali