pseudonimizzazione – Phoenix

Pseudonimizzazione e Anonimizzazione dei dati personali

Admin Phoenix — Thu, 02 Nov 2023 14:35:00 +0000

#CyberTalk: #pseudonimizzazione e #anonimizzazione dei dati personali.
Abbiamo parlato della sentenza del Tribunale dell’UE – causa T-557/20 – che solleva un polverone sui concetti di #pseudonimizzazione e #anonimizzazione ( il prezioso di contributo di Mario Arcella
https://lnkd.in/dJTnZXMD, qui trovate anche le nostre domande).
Abbiamo chiesto lo stesso a un altro esperto, Davide Giribaldi, ed ecco che ne pensa:

“Dal punto di vista tecnico il processo di anonimizzazione di un dato tende ad ottenere due risultati: l’impossibilità anche per via indiretta di re-identificare il dato originale e l’irreversibilità del processo.

La pseudonimizzazione, di contro è una tecnica che consiste nel sostituire gli identificatori diretti con pseudonimi (identificatori indiretti) in modo che i dati, con opportune informazioni aggiuntive, possano, se del caso, essere ricondotti all’origine.

Il trattamento dei dati personali dovrebbe (deve) prevedere la necessità di una soglia di attenzione maggiore sia per l’esigenza di garantire riservatezza e integrità tanto dei dati quanto degli pseudonimi, sia per la delicatezza del tipo di dati oggetto di trattamento.

Nel caso di pseudonimizzazione di dati personali, credo sia “tecnicamente” complicato poter affermare che lo pseudonimo, che in questo caso fa da interprete tra i dati in chiaro e quelli pseudonimizzati, sia così robusto, o così accuratamente occultabile, da non poter essere rintracciato in qualche modo e abbinato al dato originale.

I motivi sono almeno due: l’enorme e crescente quantità di dati, anche di tipo personale, lasciati in giro per il web e la velocità con cui le tecnologie si evolvono.

Pur non volendo entrare nel merito della sentenza, sono fermamente convinto che il vero nodo della questione risieda proprio nella differente e incompatibile velocità con cui cambiano le tecnologie rispetto alle norme.
La sentenza parla chiaro: per stabilire se un’informazione sia pseudonimizzata o anonima, è necessaria una valutazione concreta delle circostanze per stabilire e verificare se il soggetto deputato al loro trattamento, sia in grado di risalire all’identità degli individui a cui questi dati si riferiscono.

Se però ci poniamo dal punto di vista della tecnologia, chi garantisce che questa valutazione, oggi tecnicamente così “robusta” da poter considerare un dato pseudonimizzato al pari di uno anonimo, resti valida nel tempo?
Cosa succederà alle tecniche di pseudonimizzazione, il giorno in cui l’intelligenza artificiale potrà sfruttare la potenza di calcolo dei computer quantici per testarne l’efficacia?

Dato che penso che tutto ciò possa accadere in meno tempo di quanto si possa immaginare, credo che aldilà delle sentenze, sia quantomeno opportuno concentrarci sulla difficoltà di tenere allineate norme e standard con la tecnologia e per farlo sia fondamentale non guardare allo stato attuale delle cose, ma ragionare in prospettiva futura”.

CyberTalk 2

Admin Phoenix — Sun, 22 Oct 2023 13:26:23 +0000

#CyberTalk
A volte l’interpretazione normativa crea scompiglio, specie quando sovverte ciò che la norma stessa definisce, o perlomeno quello che gli “utilizzatori” avevano inteso. È successo anche con il #GDPR e il problema è che, questa volta, ad aver sbagliato sembra sia stato il Garante Europeo #EDPS. È il caso della sentenza del Tribunale dell’UE – causa T-557/20 – che solleva un polverone sui concetti di #pseudonimizzazione e #anonimizzazione. Il soggetto che riceve un dato pseudonimizzato sta trattando un dato anonimo oppure no? È un responsabile del trattamento? Siamo certi che questa nuova interpretazione tenga in considerazione i rischi relativi alla reidentificazione degli interessati? Domande che abbiamo fatto a Mario Arcella, project manager ed esperto di #dataprotection. Ecco la sua interessante risposta:
“Ci sono decisioni giudiziarie che, grazie alla loro formulazione e al contesto storico in cui vengono emesse, possono influenzare significativamente l’interpretazione di un quadro giuridico e la sentenza emessa dal Tribunale dell’Unione Europea del 26 aprile 2023 nella causa T-557/20, che riguarda i criteri per determinare se le informazioni possono considerarsi “riferibili a persone identificabili”, è proprio una di queste.
Nella sentenza il Tribunale europeo ha sostenuto che se un titolare del trattamento procede alla pseudonimizzazione di dati personali e li trasmette ad un destinatario terzo, per qualificare tali dati come anonimi o pseudonimizzati si deve effettuare una valutazione dal punto di vista del destinatario. Di conseguenza, se l’identificazione della persona interessata fosse praticamente irrealizzabile (ad esempio, a causa di un eccessivo dispendio di tempo e risorse, rendendo insignificante il rischio di identificazione), i dati in questione verrebbero considerati anonimi e non sarebbe applicabile il Regolamento generale sulla protezione dei dati (#GDPR).

Altro aspetto interessante, che indubbiamente ha influito sui contenuti della sentenza: il Tribunale, per la prima volta dall’entrata in vigore del GDPR, è ripartito da una posizione assunta dalla Corte di Giustizia dell’Unione Europea in una sentenza del 2016 (caso Breyer) che trattava una situazione molto simile.
Leggendo la sentenza, la Corte sembra aver applicato in modo coerente quanto previsto dal Considerando 26 del GDPR, secondo il quale se i dati personali sono sufficientemente anonimizzati in modo da rendere ragionevolmente non possibile l’identificazione dell’interessato, non si applicano i principi di protezione dei dati. La sentenza, quindi, non afferma che i dati pseudonimizzati non siano più considerati personali ma che, se determinate condizioni sono soddisfatte, quei dati non sono più sotto la norma che riguarda la protezione dei dati.

Resta fondamentale quindi il contesto e la prospettiva di chi riceve i dati per determinare se le informazioni costituiscano dati personali”.
Rimani aggiornato, segui Phoenix! https://lnkd.in/dS8Z-W4q