Anonimizzazione dei dati personali (10 errori)

Reading Time: 4 minutes

Anonimizzazione. Una parola che ha molto a che fare con la privacy, sopratutto se stiamo parlando di dati personali.

I dati anonimi svolgono un ruolo importante nel contesto della ricerca nel campo della medicina, marketing, statistica e molti altri settori.  Tuttavia, numerosi sono i dubbi e gli errori commessi riguardo all’applicazione di questa tecnica, aumentando il rischio (probabilità di re-identificazione) di esporre all’accesso di terzi non autorizzati, informazioni e dati resi anonimi solo in via presuntiva.

Il rischio di identificazione può aumentare col tempo ed è strettamente legato allo sviluppo della tecnologia.

Anonimizzazione, i 10 errori più comuni

L‘EDPS e l’AEPD (Garante europeo per la protezione dei dati  e l’autorità garante spagnola per la protezione dei dati personali) al fine di mitigare i rischi connessi all’utilizzo di dati resi anonimi e far acquisire maggiore consapevolezza, in un recente documento pubblicato sui rispettivi siti istituzionali, hanno elencato i 10 errori più comuni.

1. Anonimizzazione e pseudonimizzazione sono la stessa cosa

No. Non lo sono. Il GDPR definisce la pseudonimizzazione come una tecnic che consiste nel trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive (cfr. art. 4 punto 5 del GDPR).

Ciò significa che l’uso di “informazioni aggiuntive” può portare all’identificazione degli individui, ecco perché i dati personali pseudonimizzati sono ancora dati personali. I dati anonimi, d’altra parte, non possono essere associato a individui specifici. Una volta che i dati sono veramente anonimi e gli individui non sono più identificabili, i dati non rientrano nell’ambito di applicazione del GDPR

2. Anonimizzazione è uguale a crittografia

La crittografia non è una tecnica di anonimizzazione, ma può essere un potente strumento di pseudonimizzazione. Il processo di crittografia utilizza chiavi segrete per trasformare le informazioni in un modo tale che riduce il rischio di uso improprio, pur mantenendo riservatezza per un determinato periodo di tempo.  Poiché l’informazione originale deve essere accessibile, le trasformazioni applicate dagli algoritmi di crittografia sono progettate per essere reversibili, in ciò che è noto come decrittazione. Le chiavi segrete utilizzate per la decrittazione sono le suddette “informazioni aggiuntive” che possono rendere i dati personali leggibili e, di conseguenza, l’identificazione possibile.

In teoria, si potrebbe considerare che cancellare la chiave di encryption dei dati crittografati li renderebbe anonimi, ma non è questo il caso. Non si può assumere che i dati cifrati non possano essere decifrati perché la chiave è detta “cancellata” o “sconosciuta”. Ci sono molti fattori che influenzano la riservatezza dei dati criptati, specialmente a lungo termine. Tra questi fattori ci sono la forza dell’algoritmo di crittografia e della chiave, le fughe di informazioni, i problemi di implementazione, la quantità di dati crittografati, o i progressi tecnologici (ad esempio, il quantum computing).

3. L’anonimizzazione sempre possibile

Non è sempre possibile abbassare il rischio di re-identificazione al di sotto di una soglia predefinita.

L’anonimizzazione è un processo che cerca di trovare il giusto equilibrio tra la riduzione del rischio di re-identificazione e il mantenimento dell’utilità di un dataset per le finalità previste.

4. L’anonimizzazione è per sempre

In realtà c’è il rischio che alcuni processi di anonimizzazione potrebbero essere ripristinati in futuro. Le circostanze potrebbero cambiare nel tempo, in quanto nuovi sviluppi tecnici e le disponibilità di informazioni aggiuntive potrebbero compromettere il precedente processo di anonimizzazione.

Pensiamo alle risorse informatiche e nuove tecnologie (o nuovi modi per applicare tecnologie esistenti) messe a disposizione di un utente malintenzionato, il quale potrebbe provare a re-identificare un dati anonimi.

5. L’anonimizzazione riduce a zero la probabilità di re-identificare un set di dati

Il processo di anonimizzazione e il modo in cui è implementato, avrà un’influenza diretta sulla probabilità di rischio di re-identificazione.

Un solido processo di anonimizzazione mira a ridurre il rischio di reidentificazione sotto una certa soglia. Tale soglia dipende da diversi fattori: come accorgimenti di mitigazione esistenti (insussistenti se i dati sono divulgati pubblicamente), l’impatto sulla privacy delle persone in caso di reidentificazione, i motivi e la possibilità di un utente malintenzionato di identificare nuovamente i dati.

6. L’anonimizzazione è un concetto binario che non può essere misurato

E’ possibile analizzare e misurare il grado di anonimizzazione e la probabilità di reidentificazione. L’espressione “dati anonimi” non può essere percepita come se i dataset potessero essere semplicemente etichettati come anonimi o meno. Qualsiasi solido processo di anonimizzazione, dovrebbe valutare il  rischio di identificazione, gestirlo e controllarlo nel tempo.

7. L’anonimizzazione può essere completamente automatizzata

Possono essere utilizzati strumenti automatizzati durante il processo di anonimizzazione.

Tuttavia, data l’importanza del contesto nella valutazione complessiva del processo, l’intervento umano è indispensabile.

8. L’anonimizzazione rende i dati inutili

I dati non sono resi inutili, anzi. Occorre valutare l’utilità dei dati anonimizzati in relazione alla finalità che si vuole perseguire con l’uso di tali dati. Un corretto processo di anonimizzazione mantiene i dati funzionali per il perseguimento di un determinato scopo.

9. I processi di anonimizzazione posti in essere da un’organizzazione possono essere utilizzati con successo da altre organizzazioni ottenendo risultati equivalenti

I processi di anonimizzazione devono essere adattati alla natura, all’ambito, al contesto e alle finalità del trattamento. nonché ai rischi di varia probabilità e gravità per i diritti e le libertà delle persone fisiche.

L’anonimizzazione non può essere applicata come se si stesse seguendo una ricetta, poichè i contesti sono diversi da una circostanza all’altra nonché da un’organizzazione all’altra.

Il processo di anonimizzazione potrebbe comportare un il rischio di re-identificazione al di sotto di una certa soglia, quando i dati sono messi a disposizione di un numero limitato di destinatari, mentre tale rischio sarà più alto se i dati sono resi disponibili a un pubblico in generale.

Insiemi di dati diversi potrebbero essere disponibili in contesti diversi.

10. Scoprire a chi si riferiscono i dati anonimizzati, non è di interesse e non comporta rischi

I dati personali hanno un valore, sia per gli interessati che per soggetti terzi.La reidentificazione di un dato anonimizzato potrebbe avere un impatto grave per i diritti e le libertà dell’individuo cui i dati si riferiscono.

Gli attacchi contro l’anonimizzazione, possono consistere in tentativi deliberati di reidentificazione, tentativi involontari di reidentificazione, violazione di dati o rilascio di dati al pubblico. La possibilità che qualcuno re-identifichi almeno una persona in un set di dati, sia per curiosità, per caso o spinto da un interesse reale (ad esempio, ricerca scientifica, giornalismo o attività criminale) non può essere trascurata.

Può essere difficile valutare con precisione la probabilità del rischio di reidentificazione, in quanto dipenderà sempre dal contesto e dalle informazioni correlate.