Pseudonimizzazione e Anonimizzazione dei dati personali
🔔#CyberTalk: #pseudonimizzazione e #anonimizzazione dei dati personali.
Abbiamo parlato della sentenza del Tribunale dell’UE – causa T-557/20 – che solleva un polverone sui concetti di #pseudonimizzazione e #anonimizzazione ( 👉 il prezioso di contributo di Mario Arcella
https://lnkd.in/dJTnZXMD, qui trovate anche le nostre domande).
Abbiamo chiesto lo stesso a un altro esperto, Davide Giribaldi, ed ecco che ne pensa:
“Dal punto di vista tecnico il processo di anonimizzazione di un dato tende ad ottenere due risultati: l’impossibilità anche per via indiretta di re-identificare il dato originale e l’irreversibilità del processo.
La pseudonimizzazione, di contro è una tecnica che consiste nel sostituire gli identificatori diretti con pseudonimi (identificatori indiretti) in modo che i dati, con opportune informazioni aggiuntive, possano, se del caso, essere ricondotti all’origine.
Il trattamento dei dati personali dovrebbe (deve) prevedere la necessità di una soglia di attenzione maggiore sia per l’esigenza di garantire riservatezza e integrità tanto dei dati quanto degli pseudonimi, sia per la delicatezza del tipo di dati oggetto di trattamento.
Nel caso di pseudonimizzazione di dati personali, credo sia “tecnicamente” complicato poter affermare che lo pseudonimo, che in questo caso fa da interprete tra i dati in chiaro e quelli pseudonimizzati, sia così robusto, o così accuratamente occultabile, da non poter essere rintracciato in qualche modo e abbinato al dato originale.
I motivi sono almeno due: l’enorme e crescente quantità di dati, anche di tipo personale, lasciati in giro per il web e la velocità con cui le tecnologie si evolvono.
Pur non volendo entrare nel merito della sentenza, sono fermamente convinto che il vero nodo della questione risieda proprio nella differente e incompatibile velocità con cui cambiano le tecnologie rispetto alle norme.
La sentenza parla chiaro: per stabilire se un’informazione sia pseudonimizzata o anonima, è necessaria una valutazione concreta delle circostanze per stabilire e verificare se il soggetto deputato al loro trattamento, sia in grado di risalire all’identità degli individui a cui questi dati si riferiscono.
Se però ci poniamo dal punto di vista della tecnologia, chi garantisce che questa valutazione, oggi tecnicamente così “robusta” da poter considerare un dato pseudonimizzato al pari di uno anonimo, resti valida nel tempo?
Cosa succederà alle tecniche di pseudonimizzazione, il giorno in cui l’intelligenza artificiale potrà sfruttare la potenza di calcolo dei computer quantici per testarne l’efficacia?
Dato che penso che tutto ciò possa accadere in meno tempo di quanto si possa immaginare, credo che aldilà delle sentenze, sia quantomeno opportuno concentrarci sulla difficoltà di tenere allineate norme e standard con la tecnologia e per farlo sia fondamentale non guardare allo stato attuale delle cose, ma ragionare in prospettiva futura”.
