L’Agenzia europea per la sicurezza (ENISA) ha rilasciato un nuovo documento sulla pseudonimizzazione la quale, grazie al GDPR, ha acquisito rilevanza sia come misura di sicurezza sia come strumento di salvaguardia per i diritti e le libertà degli individui, riguardo all’uso dei propri dati personali.

Sintesi

Oltre alla difficoltà di pronuncia, la “pseudonimizzazione” sconta anche la gemellanza con l’altra misura della “anonimizzazione”, accostamento che in parte ha contribuito a creare un alone di incertezza intorno a questa tecnica; essa svolge una funzione importante all’interno della disciplina sulla protezione dei dati personali ed anche in materia di sicurezza delle informazioni in senso lato. La pseudonimizzazione è quel processo tecnico compiuto sui dati personali (quindi, un trattamento) che rende gli stessi non più identificativi da parte di terzi (eccetto lo stesso ente che la effettua e che dispone della chiave di re-identificazione) e/o per determinate finalità o funzioni aziendali, tramite la sostituzione degli elementi identificativi con codici o pseudonimi. Diversamente dall’anonimizzazione, essa è un processo reversibile per cui il dato pseudonimizzato rimane un dato personale e continua a essere soggetto alla disciplina normativa a protezione di questi ultimi. 

Precedenti ENISA

L’ENISA, per sua stessa ammissione, ha compreso l’importanza che la pseudonimizzazione ha assunto con l’applicazione del GDPR e ne ha fatto oggetto di studio e di iniziative di divulgazione in più occasioni: 

Principali operazioni di trasformazione dei dati

La pseudonimizzazione, insieme all’anonimizzazione e alla criptazione, è tra le principali operazioni di trasformazione dei dati. Come si vedrà in seguito in maggior dettaglio, queste operazioni soddisfano obiettivi differenti:

  • la pseudonimizzazione rende le informazioni temporaneamente non identificative
  • l’anonimizzazione rende le informazioni permanentemente non identificative, anche indirettamente
  • la criptazione rende le informazioni temporaneamente non intelligibili.

Pseudonimizzazione

Il GDPR definisce la pseudonimizzazione come «il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile» [art. 4.5)].

Da questa formulazione si traggono alcune considerazioni significative:

  • la pseudonimizzazione effettuata su dati personali è un trattamento 
  • essa consiste nella scissione dei dati identificativi dal resto delle informazioni, sostituendo i primi con un codice (pseudonimo) in modo che le medesime informazioni non possano essere più ricondotte ad un soggetto individuato 
  • lo pseudonimo è associato all’identificativo dell’individuo mediante una chiave di correlazione
  • la tavola di correlazione tra pseudonimo e identificativo è conservata in luogo separato e sottoposta a misure di sicurezza tecnico-organizzative volte ad assicurarne la riservatezza
  • il processo è reversibile mediante l’operazione ei re-identificazione, che si ottiene accedendo alla tavola di correlazione posseduta dall’entità che ha effettuato la pseudonimizzazione.

Il termine “pseudonimizzazione” nella prassi viene utilizzato per  indicare sia il processo volto a de-indentificare l’informazione, sebbene in modo reversibile, sia la misura di sicurezza che ne è oggetto. 

Dato pseudonimizzato e “personale”

La reversibilità dell’operazione di pseudonimizzazione – o, più precisamente, l’esistenza della tavola di correlazione tra pseudonimo e identificativo individuale – fa preservare all’informazione pseudonimizzata la potenzialità identificativa indiretta (cioè tramite la tavola di correlazione) e, di conseguenza, la sua natura di “dato personale”, alla stessa stregua delle informazioni non ancora sottoposte al processo le quali, invece, sono identificative in via diretta. 

Secondo la definizione del GDPR, è “dato personale” «qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale». 

Pertanto le informazioni pseudonimizzate, pur offrendo una maggiore sicurezza e tutela rispetto a quelle pienamente identificative grazie al legame solo indiretto con l’identificativo, sono comunque soggette al GDPR e alle normative nazionali di adeguamento.