Mai come oggi l’economia, la scienza e la ricerca basano il loro sviluppo sull’analisi dei dati e sullo sfruttamento dei risultati ottenuti. Secondo la disciplina in materia privacy, però, l’uso e soprattutto il ri-uso dei dati personali deve rispettare in confini definiti.
I dati personali, infatti, devono sottostare anzitutto ai principi ed alle garanzie previsti dal Regolamento UE 2016/679 (c.d. GDPR), tra i quali i principi di limitazione delle finalità, di minimizzazione, di limitazione della conservazione, di trasparenza.
È chiaro che – solo a titolo di esempio – porre limitazioni molto strette alla finalità significa limitare in maniera importante lo sfruttamento delle informazioni: ciò potrebbe portare inevitabilmente a diminuire il valore di una banca dati.
Appare allora rilevante evidenziare che non tutti i dati sono “personali” e, soprattutto, non tutti i dati devono rimanere “personali” per sempre.
Il GDPR stesso, infatti, prevede che i dati personali possano subire un processo di anonimizzazione, per farli uscire dal campo di applicazione del Regolamento stesso e permetterne un più agevole e trasversale utilizzo.
Una soluzione questa che richiede di essere capita fino in fondo per evitare i due estremi: da una parte il “blocco da ansia di utilizzo dei dati”, dall’altra la “banalizzazione” del processo di anonimizzazione.
Infatti, se ad un primo approccio l’anonimizzazione dei dati personali sembra di facile applicazione (la prima idea è che basti togliere nome e cognome e sostituirli con un semplice codice), un approfondimento del tema mostra, al contrario, una più ampia indeterminatezza concettuale ed applicativa. Incertezza che, inevitabilmente, si ripercuote sui confini applicativi delle norme in materia di protezione dei dati personali.
Per cercare di rendere meno dubbio il confine tra dato personale e dato anonimizzato, abbiamo pensato ad una serie di approfondimenti che partiranno con una definizione concettuale di anonimizzazione, per approfondire poi il rischio di re-identificazione e i mezzi con cui si può raggiungere l’anonimizzazione di un database, descrivendo le principali tecniche per riuscirci, e analizzando inoltre il contesto e le misure di sicurezza tecniche ed organizzative da porre in essere per ottenere un solido processo di anonimizzazione e documentare tale solidità.
Oggi quindi la prima domanda:
Come si può definire l’anonimizzazione? Cosa sono i dati anonimizzati?
Presentiamo una serie di aticoli di approfonimento sul tema.
Il primo passo di questo percorso inizia con la ricerca di una definizione concettuale di anonimizzazione e di dati anonimizzati, che parte proprio dalle norme in materia di protezione dei dati personali.
Per essere più precisi, il Regolamento UE 2016/679 (GDPR) non contiene una definizione esatta di dato anonimo, ma il Considerando 26 del GDPR afferma che “i principi di protezione dei dati non dovrebbero pertanto applicarsi a informazioni anonime, vale a dire informazioni che non si riferiscono a una persona fisica identificata o identificabile o a dati personali resi sufficientemente anonimi da impedire o da non consentire più l’identificazione dell’interessato. Il presente regolamento non si applica pertanto al trattamento di tali informazioni anonime, anche per finalità statistiche o di ricerca”.
Il Regolamento non spende molte altre parole sull’argomento, introducendo solamente una distinzione tra informazioni anonime e informazioni che anonime lo sono diventate (anonimizzate). Le prime sono non si riferiscono a una persona fisica identificata o identificabile, le seconde sono “dati personali resi sufficientemente anonimi da impedire o da non consentire più l’identificazione dell’interessato”.
In altre parole si tratta di una definizione a contrariis: il dato può essere qualificato come anonimizzato quando non è più “personale”: cioè quando non è più possibile (sotto un profilo di analisi concreta e fattuale) identificare la persona fisica a cui si riferiscono le informazioni che si stanno trattando.
Il dato quindi può nascere come anonimo oppure può (più frequentemente) nascere come dato personale e attraverso un trattamento specifico (il processo di anonimizzazione, appunto) diventare anonimo.
I temi da trattare sono, quindi, sostanzialmente due:
- come organizzare e gestire il processo di anonimizzazione?
- quando tale processo porta il dato ad un livello tale da poter perdere la qualifica di “dato personale” per poter acquisite la qualifica di “dato anomimo”?
Su tali profili – ed in ragione dell’importanza che sta acquisendo l’utilizzo dei dati nella nostra economia – sono uscite negli ultimi anni numerosissime linee guida del Gruppo WP29 e dei Garanti europei.
Tra le principali, si ricordano:
- il Codice di condotta per la gestione dell’anonimizzazione e del rischio dell’ICO;
- Il Parere 05/2014 sulle tecniche di anonimizzazione del Gruppo di lavoro ex art. 29;
- La Guida nelle procedure di anonimizzazione dei dati personali del Garante Spagnolo;
- La Guida all’anonimizzazione e alla pseudonimizzazione del Garante irlandese;
- Il Documento di posizione sull’anonimizzazione ai sensi del GDPR con particolare riferimento al settore delle telecomunicazioni del Garante tedesco;
- Il Report sulla pseudonomizzazione dell’ENISA;
- La Valutazione delle norme degli Stati membri dell’UE sui dati sanitari alla luce del GDPR dell’Health and Food Safety Unit della Commissione Europea;
- Il Codice di condotta per l’utilizzo di dati sulla salute a fini didattici e di pubblicazione scientifica della Regione Veneto.
Dalla lettura di tali linee guida emerge che l’anonimizzazione è, dunque, quel processo che, applicando tecniche di de-identificazione, impoverisce un set di dati personali di quegli elementi che permettono di identificare una persona, in maniera tale da poter provare che è ragionevolmente improbabile risalire all’identità del soggetto a cui si riferivano.
Data questa prova, ragionando un sistema di accountability e sempre sulla base di analisi di un risk approach, si potrà affermare che i dati non sono più personali ma sono anonimi. Per questo, potranno essere utilizzati al di fuori delle regole imposte dal GDPR.
Nei prossimi articoli approfondiremo quindi gli aspetti principali del processo di anonimizzazione, toccando profili giuridici ed informatici, analizzando le differenze che esistono con la pseudonimizzazione e fornendo delle indicazioni preziose per poter stabilire se una persona è identificabile o meno.