Il Regolamento UE 2016/679 sulla protezione dei dati personali (GDPR) prevede l’obbligo per i Titolari del trattamento di adottare tutte le misure necessarie a proteggere la riservatezza dei dati personali che gestiscono: tra le misure di sicurezza che devono essere adottate ogni volta che sia possibile od opportuno, il Regolamento individua espressamente l’anonimizzazione e la pseudonimizzazione.

Ma in cosa consistono queste tecniche? E come vanno messe in pratica per essere conformi alle previsioni del GDPR? Vediamolo più da vicino.

La pseudonimizzazione dei dati personali

La pseudonimizzazione è una tecnica attraverso la quale i dati personali, invece di essere immediatamente associati agli interessati, sono associati a dei codici alfanumerici (gli “pseudonimi”).

L’identificazione non è dunque immediata, ma richiede delle informazioni aggiuntive: richiede cioè di conoscere la corrispondenza tra gli pseudonimi e gli interessati. In questo modo, soltanto chi conosce questa lista di corrispondenza può risalire alle persone fisiche alle quali si riferiscono i dati.

Grazie alla pseudonimizzazione è possibile garantire una maggiore riservatezza dei dati personali, limitando la cerchia delle persone che è in grado di identificare gli interessati.

In caso di violazione di dati, se abbiamo fatto ricorso alla pseudonimizzazione, sarà inoltre meno probabile che la riservatezza dei dati personali sia compromessa.

Facciamo un esempio concreto di come funzione la pseudonimizzazione. Immaginiamo di avere una lista di dati personali, come quella seguente, dove gli interessati sono associati ai loro dati.

anonimizzazione pseudoninimizzazione dati personali

La stessa base di dati può essere resa meno facilmente identificabili, sostituendo a quella lista degli pseudonimi.

anonimizzazione pseudoninimizzazione dati personali

In questo modo, per risalire agli interessati, sarà necessario disporre di entrambe le tabelle.

La pseudonimizzazione è utile in tutti i casi in cui è indispensabile per il titolare del trattamento poter risalire agli interessati, limitando al contempo questa possibilità da parte dei terzi.

Il caso tipico è quello di un archivio nel quale molte persone devono poter accedere ai documenti (ad esempio per effettuare operazioni di inserimento dati), ma non è necessario che tutti conoscano l’identità dei soggetti i cui dati sono trattati.

L’anonimizzazione dei dati

La tecnica dell’anonimizzazione ha uno scopo radicalmente diverso dalla pseudonimizzazione.

La sua finalità è infatti quella di disassociare in modo permanente i dati dall’identità delle persone fisiche alle quali si riferiscono. In questo modo, non è più possibile per nessuno risalire all’identità dell’interessato e i dati non si considerano più dati personali.

Di conseguenza, questi dati escono dall’ambito di applicazione del GDPR e possono essere liberamente trattati.

Esistono diverse tecniche di anonimizzazione, che consentono comunque di poter continuare a trattare utilmente i dati, ad esempio per finalità statistiche.

anonimizzazione pseudoninimizzazione dati personali

Anonimizzare una base di dati può essere dunque più facile a dirsi che a farsi.

Come chiarito anche dalle linee guida elaborate dal comitato dei garanti europei [link], per poter considerare anonima una serie di dati personali è necessario che non sia più possibile risalire all’identità degli interessati nemmeno incrociando quei dati con altri.

Per esempio, nel caso in cui dalla serie di esempio usata in questa pagina estraessimo una serie di dati apparentemente anonimizzata:

anonimizzazione pseudoninimizzazione dati personali

…ed entrassimo in possesso di una lista delle persone intervistate:

anonimizzazione pseudoninimizzazione dati personali

Potremmo agevolmente inferire l’identità di almeno uno degli interessati, in quanto l’incrocio tra le due serie di dati porta ad un risultato univoco (Giulia Rossi, donna, preferisce il colore rosso).

Usare le iniziali: una scelta rischiosa

Una volta che si sia compreso cosa sono la pseudonimizzazione e l’anonimizzazione dei dati personali, possiamo facilmente intuire perché usare le iniziali degli interessati non sia una scelta consigliabile.

Infatti, se la serie di dati da pseudonimizzare o anonimizzare si riferisce a gruppi di persone ristretti (ad esempio: gli studenti di una scuola, i dipendenti di una società o di un ente), potrebbe essere fin troppo facile risalire all’identità dell’interessato sulla base delle informazioni aggiuntive che si potrebbero desumere da altre serie di dati.

L’uso delle iniziali non sarebbe dunque una tecnica di pseudonimizzazione adeguata, in quanto persone diverse dal titolare potrebbero risalire con facilità all’identità degli interessati.

Per la stessa ragione, i dati associati alle iniziali non possono sempre considerarsi dati anonimi, in quanto facilmente riferibili agli interessati con semplici operazioni di raffronto ed incrocio.

Non a caso, il Garante della Privacy ha in più occasioni criticato l’uso delle iniziali come tecnica di anonimizzazione/pseudonimizzazione di documenti contenenti dati personali [Fonte].

Il Garante è giunto persino a multare alcuni Titolari del trattamento [Fonte] che, ricorrendo a tecniche di anonimizzazione e pseudonimizzazione non adeguate, avevano violato la riservatezza degli interessati, diffondendo dati personali facilmente riconducibili alle persone fisiche.