L’anonimizzazione rende impossibile identificare una persona da un set di dati e quindi consente di rispettare la sua privacy. Il punto sulle tecniche che possono essere utilizzate e sulle loro sfide.
Cos’è l’anonimizzazione
L’anonimizzazione è un trattamento che consiste nell’utilizzare un insieme di tecniche, in modo tale da rendere impossibile l’identificazione della persona, con qualsiasi mezzo e in modo irreversibile.
L’anonimizzazione non deve essere confusa con la pseudonimizzazione.
La pseudonimizzazione è il trattamento dei dati personali, che determina la trasformazione dei dati relativi a una persona fisica, in modo che non possano più essere assegnati senza ulteriori informazioni.
In pratica, la pseudonimizzazione consiste nel sostituire i dati direttamente identificativi (cognome, nome, ecc.) di un data set, con dati indirettamente identificativi (alias, numero progressivo, ecc.).
La pseudonimizzazione consente quindi di elaborare i dati delle persone senza poterle identificare direttamente. In pratica però, spesso è possibile risalire alla propria identità utilizzando dati di terze parti: i dati in questione conservano quindi un carattere personale. Anche l’operazione di pseudonimizzazione è reversibile, a differenza dell’anonimizzazione.
La pseudonimizzazione è una delle misure raccomandate dal GDPR per limitare i rischi associati al trattamento dei dati personali.
Perché rendere anonimi i dati personali
Il Regolamento generale sulla protezione dei dati (GDPR) non prevede un obbligo generale di anonimizzazione. Questa è una soluzione, tra le altre, per poter utilizzare i dati personali nel rispetto dei diritti e delle libertà delle persone.
In effetti, l’anonimizzazione apre la possibilità di riutilizzare i dati inizialmente vietati a causa della natura personale e quindi consente ai Titolari del trattamento di utilizzare e condividere il loro “pool” di dati, senza violare la privacy delle persone. Consente inoltre di conservare i dati oltre il loro periodo di conservazione.
In tal caso non si applica più la normativa sulla protezione dei dati, poiché la diffusione o il riutilizzo di dati anonimizzati non ha alcun impatto sulla privacy degli interessati.
Come rendere anonimi dei dati, preservandone il più possibile l’utilità
Poiché il processo di anonimizzazione mira ad eliminare ogni possibilità di reidentificazione, lo sfruttamento futuro dei dati è quindi limitato a determinate tipologie di utilizzo. Questi vincoli devono essere presi in considerazione dall’inizio del progetto.
Per costruire un processo di anonimizzazione pertinente, si raccomanda quindi:
- identificare le informazioni da conservare in base alla loro rilevanza;
- rimuovere elementi di identificazione diretta nonché valori rari che potrebbero consentire una facile reidentificazione delle persone (ad esempio, la presenza dell’età delle persone può rendere molto facile l’identificazione di persone centenarie);
- distinguere le informazioni importanti da quelle secondarie o inutili (cioè cancellabili);
Questi prerequisiti consentono di determinare il processo di anonimizzazione da applicare, ovvero la sequenza delle tecniche di anonimizzazione da implementare. Questi possono essere raggruppati in due famiglie: randomizzazione e generalizzazione.
- La randomizzazione è il processo di modifica degli attributi in un set di dati, in modo tale che siano meno precisi, pur mantenendo la distribuzione complessiva. Questa tecnica protegge il set di dati dal rischio di inferenza (vedi sotto).
Esempio: è possibile permutare i dati relativi alla data di nascita delle persone fisiche in modo da alterare la veridicità delle informazioni contenute in una banca dati.
- La generalizzazione consiste nel modificare la scala degli attributi dei set di dati o il loro ordine di grandezza, per garantire che siano comuni a un insieme di persone. Questa tecnica consente di evitare l’individualizzazione di un set di dati. Limita anche le possibili correlazioni del set di dati con altri (vedi sotto).
Esempio: in un fascicolo contenente la data di nascita delle persone, è possibile sostituire questa informazione con il solo anno di nascita.
Come verificare l’efficacia dell’anonimizzazione?
Le autorità europee per la protezione dei dati definiscono tre criteri per garantire che un set di dati sia veramente anonimo:
- individualizzazione: non deve essere possibile isolare un individuo nel dataset;
Esempio: un database di CV in cui solo il nome e il cognome di una persona sono stati sostituiti da un numero (che corrisponde solo a loro) consente di individuare questa persona. In questo caso, questo database è considerato pseudonimizzato e non anonimo.
- correlazione: non deve essere possibile collegare tra loro serie separate di dati riguardanti lo stesso individuo;
Esempio: una banca dati cartografica contenente gli indirizzi delle abitazioni delle persone, non può essere considerata anonima se altre banche dati, esistenti altrove, contengono questi stessi indirizzi con altri dati che consentono l’identificazione delle persone.
- inferenza: non deve essere possibile dedurre, con quasi certezza, nuove informazioni su un individuo.
Esempio: se un presunto set di dati anonimo contiene informazioni sull’importo delle tasse delle persone che hanno risposto a un questionario, dove tutti gli uomini di età compresa tra i 20 e i 25 anni che hanno risposto non sono tassabili, sarà possibile detrarre, se sappiamo che il sig. X, un uomo di 24 anni, ha risposto al questionario, che quest’ultimo non è tassabile.
Come proteggersi dai rischi associati all’anonimizzazione
Non soddisfacendo pienamente questi tre criteri, il titolare del trattamento che desidera rendere anonimo un set di dati deve dimostrare, attraverso una valutazione approfondita dei rischi di identificazione, che il rischio di reidentificazione con mezzi ragionevoli è nullo.
Poiché le tecniche di anonimizzazione e reidentificazione sono suscettibili di una continua evoluzione, è essenziale che qualsiasi titolare del trattamento interessato svolga un monitoraggio regolare al fine di preservare, nel tempo, l’anonimato dei dati prodotti. Tale monitoraggio deve tener conto dei mezzi tecnici disponibili nonché delle altre fonti di dati che possono consentire di revocare l’anonimato delle informazioni.
Comments are closed for this article!