Legal - L'anonimizzazione dei dati trattati in azienda
Legal - Come gestire l'anonimizzazione dei dati trattati in azienda
A cura del team Baker Tilly Italia Legal
Il GDPR (Regolamento Europeo per la protezione dei dati personali) stabilisce che, una volta concluso un trattamento di dati personali, gli stessi debbano essere eliminati o anonimizzati. Questo in quanto il Regolamento non è applicabile ai dati anonimi non riconducibili ad una persona specifica. Di recente l’Autorità Garante per la protezione dei dati personali italiana è intervenuta con un provvedimento che riguarda, fra le altre cose, l’anonimizzazione dei dati personali.
Di seguito riepiloghiamo i punti essenziali del provvedimento – che risulta essere molto tecnico – e forniamo alcuni spunti utili ad individuare un processo valido per anonimizzare i dati trattati in azienda.
- Innanzitutto, il Garante ricorda che un dato, per essere anonimo, deve rendere impossibile:
- L’isolamento di una persona in un gruppo (c.d. single out);
- Il collegamento tra quel dato e altri dati riferibili a una persona presente in un distinto insieme di dati (c.d. linkability);
- La deduzione di nuove informazioni riferibili a una persona (c.d. inference).
Un dato che non impedisca queste attività non può essere considerato anonimo, ma sarà definito pseudonimizzato, quindi rientrante nell’ambito di applicazione del GDPR.
- In secondo luogo, il provvedimento esamina attentamente tutte le misure adottate dalla società sanzionata nella procedura di anonimizzazione dei dati. Durante l’ispezione del Garante, la società si era difesa sostenendo che il processo di anonimizzazione, realizzato da un’azienda terza, fosse efficiente. A detta della società, le soluzioni di generalizzazione e di randomizzazione implementate, impedivano di ricondurre un dato ad un determinato soggetto. Attraverso queste tecniche, ad esempio, la residenza recava la sola indicazione della regione; la data di nascita e di morte di una persona facevano riferimento solamente all’anno; il peso e l’altezza venivano raggruppati in intervalli di circa cinque unità, e così via. Inoltre, la procedura prevedeva la sostituzione dei dati anagrafici di un soggetto con vari codici, anche cifrati.
Il Garante, dopo aver analizzato tutte le procedure attuate dalla società, ritiene la procedura di anonimizzazione non efficiente. Per l’Autorità, infatti, sarebbe comunque possibile risalire all’identità dei soggetti a cui i dati si riferiscono. Questo perché la sostituzione delle informazioni anagrafiche con uno o più codici “non costituisce, in alcuna circostanza, misura idonea rispetto al requisito della rimozione delle singolarità (single out) necessario a qualificare il trattamento come un’anonimizzazione”.
In conclusione, dall’analisi di questo provvedimento si può desumere che, allo stato attuale, sarebbe opportuno cancellare i dati che non è possibile generalizzare o randomizzare (come, ad esempio, i dati anagrafici).