Infatti, sebbene entrambi abbiano a che fare con la protezione dei dati personali, vi sono delle differenze importanti tra questi due trattamenti. Basti pensare che nel GDPR non esiste una definizione legata all’anonimizzazione, mentre è presente quella sulla pseudonimizzazione.

In questo articolo, vediamo di capire il perché e in cosa si differenziano.

Pseudonimizzazione: definizione e significato

Come indica il termine stesso, pseudonimizzare un dato è un procedimento che impedisce di identificare direttamente la persona cui si riferisce il dato, in quanto tali dati non possono essere attribuiti a un individuo specifico senza l’uso di ulteriori informazioni.

Come indicato nella definizione di pseudonimizzazione inserita nel GDPR (articolo 4, comma 5), essa rappresenta il “trattamento dei dati personali tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile“.

Inoltre, il Considerando 26 del GDPR ricorda come “i dati personali sottoposti a pseudonimizzazione, i quali potrebbero essere attribuiti a una persona fisica mediante l’utilizzo di ulteriori informazioni, dovrebbero essere considerati informazioni su una persona fisica identificabile“.

Infatti, poiché un dato pseudonimizzato potrebbe rischiare di essere “ricostruito”, è importante ricordare che non si tratta di un procedimento banale, e che il trattamento dev’essere svolto con criterio e consapevolezza. Non a caso, nel Considerando 75 viene menzionato anche il rischio di “decifratura non autorizzata della pseudonimizzazione”.

La pseudonimizzazione, dunque, permette di ridurre il rischio di attribuire delle informazioni a individui specifici. In sostanza, le informazioni identificative personali vengono sostituite da uno pseudonimo, quindi un identificatore unico che collega i dati modificati a quelli originali.

Questo tipo di trattamento può essere utile, ad esempio, in ambito sanitario. Se da un lato, infatti, un medico ha bisogno di avere accesso ai dati personali completi del paziente, dall’altro c’è la necessità di tutelare la privacy del paziente stesso nei confronti di eventuali figure esterne, come chi lavora nelle ricerche di settore o nelle analisi statistiche. Tali figure dovrebbero perciò visualizzare un nominativo pseudonimizzato – quindi nome e cognome diversi da quelli reali, ma in certi casi anche altri dati personali – a protezione dei dati della persona.

Anonimizzazione e pseudonimizzazione: le differenze

A differenza della pseudonimizzazione, l’anonimizzazione rende impossibile la ricostruzione dell’informazione.

Proprio per questo, un dato che viene reso anonimo non può più essere considerato un dato personale, e di conseguenza non vi si applica il Regolamento UE 679/2016.

La conferma di quanto detto è riportata anche nel Considerando 26 del GDPR stesso, dove viene sottolineato come “i principi di protezione dei dati non dovrebbero pertanto applicarsi a informazioni anonime, vale a dire informazioni che non si riferiscono a una persona fisica identificata o identificabile o a dati personali resi sufficientemente anonimi da impedire o da non consentire più l’identificazione dell’interessato. Il presente regolamento non si applica pertanto al trattamento di tali informazioni anonime, anche per finalità statistiche o di ricerca“.

Tornando all’esempio del precedente paragrafo, legato al settore sanitario, non si avrebbe più l’uso di uno pseudonimo al posto del nome e cognome del paziente, ma una stringa senza valore (tipo “xyz”) non correlata ad altro. Tale soluzione, non essendo una cifratura o un’alterazione reversibile del dato personale, non renderebbe però possibile neanche al medico di risalire al nominativo del paziente.

Al di là degli esempi visti – forniti per far capire meglio il significato e le differenze di pseudonimizzazione e anonimizzazione – è importante tener presente che si tratta di due procedure più complesse di quanto si possa pensare.

Giusto per citare una casistica, al momento dell’anonimizzazione è importante ricordarsi di cancellare i dati di origine, altrimenti il titolare del trattamento – che conserva sia quelli che i dati anonimizzati – potrà comunque identificare le persone anche dopo l’anonimizzazione.

Le linee guida EDPB in tema di pseudonimizzazione

Considerando che lo stesso GDPR, all’articolo 32, riporta come possibili misure di sicurezza la pseudonimizzazione, può risultare interessante approfondire l’argomento tramite le linee guida su questo tema fornite dall’EDPB (European Data Protection Board, ovvero il comitato europeo per la protezione dei dati).

In particolare, vengono forniti due importanti chiarimenti giuridici:

• i dati pseudonimizzati rimangono informazioni relative a una persona fisica identificabile e sono quindi ancora dati personali. Infatti, se i dati possono essere ricollegati a una persona fisica dal titolare del trattamento o da qualcun altro, rimangono dati personali;
• la pseudonimizzazione può ridurre i rischi e facilitare l’utilizzo degli interessi legittimi come base giuridica (articolo 6, paragrafo 1, lettera f), del GDPR), a patto che siano soddisfatti tutti gli altri requisiti del GDPR. Al tempo stesso, la pseudonimizzazione può contribuire a garantire la compatibilità con la finalità originaria (articolo 6, paragrafo 4, GDPR).

Nelle linee guida vengono fornite anche delle spiegazioni su come la pseudonimizzazione possa aiutare le organizzazioni a soddisfare i loro obblighi relativi a:

• attuazione dei principi di protezione dei dati;
• protezione dei dati fin dalla progettazione e per impostazione predefinita;
• sicurezza.

Inoltre, vengono analizzate le misure tecniche e le garanzie volte ad assicurare la riservatezza e ad impedire l’identificazione non autorizzata delle persone quando si utilizza la pseudonimizzazione.

Per maggiori dettagli, qui puoi consultare le linee guida EDPB sulla pseudonimizzazione.

Vuoi tutelare i dati personali trattati dalla tua azienda, nel rispetto di quanto previsto per legge? Contattaci senza impegno per richiedere la consulenza di un nostro esperto.

---