Dott.ssa Eleonora Maria Donadio, Infermiera Legale Forense,
Consiglio direttivo APSILEF,
Coord. Ufficio stampa e Comunicazione APSILEF
Resp. Gruppo regionale Emilia Romagna APSILEF
Il 16 gennaio 2025 l’European Data Protection Board ha adottato le linee guida in materia di pseudonimizzazione, precisando l’ambito di riferimento al fine di facilitare l’applicazione del GDPR.
Nel dipanamento delle sezioni dell’ executive summary delle Linee guida in parola (in consultazione pubblica fino al 14 marzo) il documento preliminarmente richiama la definizione di pseudonimizzazione quale “trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile” (art. 4(5) GDPR).
Il fine desiderato è che i soggetti che trattano dati pseudonimizzati non abbiano accesso ad ulteriori dati personali non necessari ai loro scopi. Tale conseguimento può avvenire attraverso tre passaggi
- Modifica del dato personale
- Conservazione separata di informazioni aggiuntive che consentirebbero di attribuire un determinato dato personale ad una specifica persona
- Adozione di misure tecniche ed organizzative finalizzate a garantire che i dati personali non siano attribuibili ad una specifica persona
Nella successiva seconda sezione rubricata “DEFINITIONS AND LEGAL ANALYSIS” vengono esplicitati i concetti di
- pseudonymising transformation ovvero trasformazione di pseudonimizzazione;
- attribute data to a specific identified person ovvero attribuzione dei dati personali ad un determinato soggetto;
- additional information, ovvero informazione aggiuntiva;
vengono poi individuati gli obiettivi e i vantaggi del processo di pseudonimizzazione, ovvero
- della riduzione del rischio di violazione della riservatezza dei dati (confidentiality risks),
- dell’ utilizzo dei dati per scopi incompatibili con il fine per cui questo è stato concesso (risks of function creep),
- di errata attribuzione dei dati (risks to accuracy);
e viene introdotto la nozione di Pseudonymisation domain and available means for attribution
ovvero il dominio di pseudonimizzazione, inteso come l’ambito, in cui, in virtu dell’applicazione del processo di pseudonimizzazione, i dati pseudonimizzati non possono essere ricondotti a specifiche persone in assenza delle informazioni aggiuntive. Il contesto è definito dal Titolare del trattamento sulla base di un’analisi dei rischi (paragrafo 2.3).
Nel caso che i dati pseudonimizzati debbano essere trasmessi a terzi (paragrafo 2.5) vengono specificati una serie di indicazioni che il Titolare del trattamento deve adottare. In particolare, è necessario che valuti se
- la riduzione dei rischi ottenuta dalla pseudonimizzazione sia ancora efficace quando i dati vengono trasmessi a terzi;
- sia necessario trasmettere tutti i dati pseudonimizzati, compresi gli pseudomini;
- sia necessario modificare o sostituire gli pseudonimi prima della trasmissione.
Nel processo di trasmissione dei dati a terzi, il Titolare del trattamento, dovrebbe eseguire un nuovo processo di pseudonimizzazione, definendo il relativo dominio, mentre il destinatario dovrebbe contribuirvi informando il trasmittente – responsabile della tutela dei dati – circa i rischi che possono insorgere nel trattamento dei dati.
Se i dati oggetto di condivisione sono poi le informazioni aggiuntive, per garantire che siano rispettati gli obblighi relativi al trattamento dei dati personali, cosi che quest’ultime non diventino disponibili nel dominio di pseudonimizzazione, il Titolare del trattamento potrebbe stipulare un accordo con il destinatario.
Infine, stabilisce che un’eventuale inversione del processo di pseudonimizzazione (che consenta l’identificazione dei dati personali e la riconducibilità ad una persona identificata o identificabile) costituisce una violazione dei dati personali che ai sensi dell’art. 33(5), GDPR fa sorgere in capo al responsabile del trattamento un obbligo di documentazione della violazione.
Nella terza sezione rubricata “TECHNICAL MEASURES AND SAFEGUARDS FOR PSEUDONYMISATION” vengono appunto illustrate le misure tecniche e le garanzie necessarie per l’attuazione del processo di pseudonimizzazione comprensiva di una sintesi dei passaggi e delle indicazioni da applicare al fine di effettuare adeguatamente il processo di pseudonimizzazione.
Il documento è corredato (oltre al glossario) di un allegato che riporta a titolo esemplificativo dieci situazioni del processo di pseudonimizzazione.
- Example 1: Data minimisation and confidentiality in internal analysis
- Example 2: Separation of functions allowing for data minimisation, purpose limitation, and confidentiality
- Example 3: Data minimisation and purpose limitation in the course of external analysis
- Example 4: Safeguarding identity – confidentiality and accuracy
- Example 5: Secondary use for research
- Example 6: Reduction of confidentiality risks
- Example 8: Risk reduction justifying further processing
- Example 9: Supplementary measure
- Example 10: Granting access rights to pseudonymised data