La pseudonimizzazione dei dati personali: cos'รจ e quando attuarla
- Riccardo Ajassa
- 19 mag 2022
- Tempo di lettura: 4 min
Aggiornamento: 23 mag 2022
Quando รจ utile applicare un criterio di pseudonimizzazione dei dati e quando non รจ necessario, ma soprattutto che cosโรจ la pseudonimizzazione dei dati personali?
Iniziando con una definizione tecnica, ma molto chiara, la pseudonimizzazione consiste nel trattamento di dati personali in modo che questi non risultino attribuibili a una persona fisica senza la presenza di informazioni aggiuntive. In altre parole, si tratta di โdati anonimiโ.
Pseudonimizzazione dei dati personali: la differenza tra pseudonimizzazione e anonimizzazione
Il riferimento appena fatto (ai dati anonimi), perรฒ, non deve portare fuori strada, perchรฉ non si tratta di dati anonimi nel senso stretto della parola. La differenza tra pseudonimizzazione e anonimizzazione del dato risiede nel fatto che il dato anonimo non puรฒ essere in alcun modo riconducibile ad una persona, invece il dato pseudonimizzato puรฒ ancora essere attribuito a un soggetto.
Un esempio: prendiamo il caso banalissimo di un foglio nel quale siano riportate informazioni personali come il nome, cognome, etร , peso, altezza e allergie di un soggetto. Nel caso dovessi cancellare in modo definitivo il nome e cognome, il resto dei miei dati saranno anonimi; come sarebbe possibile, dโaltronde, ricollegarli a una persona di cui sono state cancellate in modo indelebile le generalitร .
Diverso, invece, sarebbe il caso in cui questi dati dovessero essere separati in due fogli. Se un foglio riportasse lโindicazione di nome e cognome + un numero di riconoscimento (es. 123456) e lโaltro foglio riportasse gli altri dati, ma con lo stesso numero di riconoscimento, eccoli lร : i dati saranno pseudonimizzati, proprio perchรฉ sarร - anche solo potenzialmente - possibile riconoscere a quale persona collegare i dati restanti.
Pseudonimizzazione dei dati personali: cosa prevede il GDPR e quando attuarla
Il Regolamento EU allโArt. 32 dedicato alla sicurezza del trattamento dei dati personali, prevede che il titolare del trattamento debba mettere in atto misure tecniche e organizzative volte a garantire un livello di sicurezza adeguato al rischio. Nellโarticolo in questione, al primo posto รจ prevista proprio la pseudonimizzazione dei dati personali; di conseguenza il titolare del trattamento, nello stabilire le misure tecniche e organizzative da attuare, dovrร prendere in considerazione anche la pseudonimizzazione.
Ma il succo della questione รจ: quando devo attuare la pseudonimizzazione dei dati personali? La risposta non รจ semplice (come sempre!).
Anzitutto, il titolare del trattamento dovrร avere ben chiaro quali dati andrร a trattare e come questi verranno trattati (in formato elettronico o cartaceo, tramite responsabili esterni o solo autorizzati interni, in uffici privati o in luoghi aperti al pubblico, con archivi cartacei in luoghi facilmente accessibili o non accessibili, e cosรฌ via). Una volta appurate le modalitร , il titolare dovrร procedere a una valutazione del rischio di violazione dei dati, che al suo interno comprende anche lโimpatto che questi possono avere sugli interessati.
Con tutte queste informazioni, sempre il titolare (magari anche coadiuvato da consulenti privacy esterni, come nel caso di un consulente Nimble) dovrร stabilire se questa misura di sicurezza sia necessaria o meno (allarme spoiler! Se trattate molti dati particolari la pseudonimizzazione รจ il minimo indispensabile).
In modo un poโ sintetico, si puรฒ dire che se i dati trattati sono dati particolari o giudiziari (leggi anche: Tipologie di dati: personali, particolari, giudiziari e biometrici), soprattutto se trattati in quantitร molto elevate, la pseudonimizzazione sarebbe la misura di sicurezza minima da attuare.
In ogni caso, perรฒ, anche se non vengono trattati dati particolari ma dati che, se violati, possono provocare forti disagi agli interessati, รจ sempre cosa buona รจ giusta attuare la pseudonomizzazione, che comunque non richiede necessariamente un esborso economico, ma puรฒ essere attuata in modi molto semplici. Un esempio? Tramite lโattribuzione di un numero progressivo ai clienti o utenti in modo che le diverse aree di lavoro (che trattano i dati) abbiano a disposizione solamente le informazioni necessarie a svolgere il loro lavoro.
Anche in questo caso un esempio potrebbe semplificare la questione.
Si prenda il caso di un laboratorio di analisi che potrebbe facilmente attribuire un numero progressivo ai clienti (o pazienti): in questo modo, chi prende lโanagrafica non potrร conoscere dei risultati dellโesame e chi, invece, proceda alle analisi non potrร conoscere il nome e cognome del paziente. In questo modo, in caso di data breach, il โladroโ avrebbe conoscenza solo di una o dellโaltra informazione, ma non di entrambe.
Ovviamente la pseudonimizzazione da sola non รจ sufficiente, ma sono necessarie altre misure di sicurezza. Sfoglia le pagine del nostro blog per avere una visione piรน ampia delle misure di sicurezza (e non solo) che possono essere utili per te e per la tua azienda.
I punti a cui adempiere sono tanti, non sempre di facile comprensione. Per questo รจ cosa buona e giusta affidarsi ai consulenti esperti. Attraverso la presenza costante e il monitoraggio delle attivitร , il professionista ha la tranquillitร che tutti i punti della normativa siano presidiati e che la conformitร sia mantenuta nel corso del tempo.
