
Pseudonimizzazione e anonimizzazione non sono sinonimi.
La distinzione tra dati anonimi e dati pseudonimizzati rappresenta un tema di rilevante importanza nel contesto della normativa sulla protezione dei dati personali, in particolare alla luce del Regolamento (UE) 2016/679 e, dallo scorso 17 gennaio 2025, dalle Guidelines dell'EDPB 01/2025 (attualmente in fase di consultazione).
Comprendere queste due categorie di dati o informazioni è fondamentale per garantire una gestione appropriata e conforme ai principi di protezione previsti dalla normativa europea e nazionale, specialmente gli orientamenti delle autorità nazionali competenti.
I dati anonimi si riferiscono a informazioni che non consentono in alcun modo l'identificazione di un soggetto specifico. Secondo il considerando 26 del GDPR, si stabilisce chiaramente che i dati anonimi non devono essere considerati dati personali, poiché “i dati anonimi non riguardano una persona identificabile e non possono, da soli o in combinazione con altre informazioni, permettere l'identificazione di un soggetto”. Pertanto, qualsiasi trattamento che riguardi dati completamente anonimi non è soggetto alle disposizioni del GDPR, consentendo un uso più flessibile di tali informazioni, sempre nel rispetto delle garanzie di riservatezza e integrità. D'altra parte, i dati pseudonimizzati sono dati personali che sono stati elaborati in modo tale da ridurre il rischio di identificazione di un soggetto, ma senza evitare completamente tale possibilità.
La pseudonimizzazione, come definita dall’articolo 4 del GDPR, è una tecnica di trattamento che prevede “l'eliminazione di alcuni elementi che potrebbero consentire di identificare l'interessato e che richiedono comunque ulteriori informazioni per permettere la re-identificazione”.
Nonostante la pseudonimizzazione rappresenti una misura di sicurezza utile per tutelare i diritti e le libertà degli interessati, i dati pseudonimizzati continuano a rientrare nel novero dei dati personali e, pertanto, sono soggetti a tutte le normative e gli obblighi previsti dal GDPR. In questo contesto, è essenziale mettere in evidenza che la pseudonimizzazione non esonera il titolare del trattamento dai doveri di conformità. Infatti, i dati pseudonimizzati devono essere trattati nel rispetto dei principi fondamentali di protezione dei dati, come la minimizzazione, l’accuratezza e la limitazione della conservazione, oltre a garantire misure di sicurezza adeguate per prevenire o ridurre il rischio di accesso non autorizzato o di violazioni di dati.
In sintesi:
Mentre i dati anonimi offrono una maggiore libertà d'uso, escludendo la necessità di attenersi alle rigide normative del GDPR, i dati pseudonimizzati, pur garantendo un livello di protezione, richiedono una gestione attenta e conforme alla vigente normativa sulla protezione dei dati personali. Adottare una corretta interpretazione di queste categorie consente, da un lato, di promuovere l'innovazione e l'uso responsabile dei dati, dall'altro, di proteggere i diritti e le libertà fondamentali degli individui.
La conferma dell'EDPB riguardo l'obbligo di tutelare i dati pseudonimizzati
Nelle recentissime linee guida, l'EDPB chiarisce la definizione e l'applicabilità della pseudonimizzazione e dei dati pseudonimizzati, nonché i vantaggi della pseudonimizzazione. Nello specifico, le linee guida forniscono due importanti chiarimenti:
Il dato pseudonimizzato è un dato personale. I dati pseudonimizzati, i quali possono essere ricondotti a un soggetto identificabile mediante il ricorso a informazioni supplementari, continuano a qualificarsi come dati personali, poiché si riferiscono a una persona fisica identificabile. Infatti, nel caso in cui le informazioni possano essere ricollegate a un individuo, anche in via indiretta, esse conservano la loro natura di dati personali, come stabilito dal GDPR.
La pseudonimizzazione potrebbe essere una misura di sicurezza tecnica e una strategia vincente per mitigare i rischi associati al trattamento dei dati personali. Tale tecnica può agevolare l'impiego dell'interesse legittimo come base giuridica, ai sensi dell’articolo 6, paragrafo 1, lettera f), del GDPR, a condizione che siano adempiuti tutti gli altri requisiti stabiliti dalla normativa. Analogamente, la pseudonimizzazione contribuisce a garantire la compatibilità con lo scopo originale del trattamento, conformemente a quanto previsto dall’articolo 6, paragrafo 4, del suddetto Regolamento.
L'interesse legittimo quale base giuridica applicabile alla pseudonimizzazione
Come sopra accennato, la pseudonimizzazione è senz'altro una tecnica volta a rendere parzialmente anonimo un dato personale o un insieme di dati personali e, di conseguenza, una misura di sicurezza per il trattamento che si intende effettuare. Tuttavia, non dobbiamo dimenticare che, l'applicazione di tale tecnica comporta, anche un trattamento di dati ai sensi dell'art. 4 del GDPR:
un trattamento di dati personale è qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione.
Alla luce di tale definizione, ogni trattamento è preceduto da una base legittimante (ex art. 6 GDPR) che autorizzi l'attività di trattamento che si intende effettuare. Le Guidelines dell'EDPB fanno riferimento all'interesse legittimo. Tuttavia, dobbiamo ricordare che, per poter avvalersi di tale base giuridica - in virtù del principio di privacy by design e by default - è necessario che il Titolare effettui, prima una Legitimate Impact Assessment (L.I.A.) al fine di verificare i presupposti e la legittimità di tale trattamento.
Consiglio:
Il titolare del trattamento è tenuto ad andare oltre la semplice attività di pseudonimizzazione, considerandola come un "mezzo" finalizzato al conseguimento di specifici obiettivi, piuttosto che come un semplice esito dell'attività di trattamento che si intende effettuare. La pseudonimizzazione, infatti, non può surrogare l'applicazione di idonee misure di sicurezza, sia tecniche che organizzative, necessarie per garantire la protezione dei dati personali.
Il protagonista delle Guidelines: il rischio
Le recenti linee guida emanate dall'EDPB chiariscono che i rischi associati al trattamento dei dati sono diversificati e molteplici, tra cui figura il rischio di re-identificazione dell'interessato riguardo ai dati sottoposti a pseudonimizzazione. Il GDPR, al considerando n. 75 stabilisce che "i rischi per i diritti e le libertà delle persone fisiche, aventi probabilità e gravità diverse, possono derivare da trattamenti di dati personali suscettibili di cagionare un danno fisico, materiale o immateriale, in particolare: se il trattamento può comportare la [...] decifratura non autorizzata della pseudonimizzazione".
La pseudonimizzazione quale strumento o mezzo per lo svolgimento dell'attività statistica nel settore pubblico o nel settore sanitario risulta alquanto rilevante, una tematica non ancora affrontata nello specifico dall'EDPB (le linee guida si limitano a fornire un esempio - s.v. Example 6: Reduction of confidentiality risks).
Attualmente, si osserva un incremento significativo nella richiesta di scambio di informazioni sanitarie, anche in maniera pseudonimizzata, tra vari soggetti, inclusi i pazienti, i professionisti della salute, i ricercatori e le strutture coinvolte nei percorsi di cura sia a livello provinciale che regionale e nazionale. È opportuno sottolineare che, nei vari ordinamenti giuridici nazionali, le autorità competenti, nell'esercizio delle proprie funzioni regolatorie, possono subordinare l’effettuazione di specifici trattamenti che implicano la raccolta e la gestione di dati personali sensibili a una base giuridica precisa. Ciò può consistere, ad esempio, nell’esistenza di un Decreto Ministeriale specifico o di un'altra norma di legge nazionale che legittimi il titolare a procedere con il trattamento dei dati. La pseudonimizzazione non può essere intesa come lo strumento o il mezzo idoneo a legittimare l'attività di trattamento dei dati personali. Essa deve essere considerata come una misura di sicurezza complementare, ma non sufficiente a garantire la conformità alle disposizioni normative vigenti in materia di protezione dei dati.
Tale evoluzione nelle comunicazioni e nella condivisione dei dati impone l'adozione di misure di sicurezza adeguate, in linea con i progressi tecnologici. In questo contesto, la pseudonimizzazione dei dati sanitari si configura, a priori, come una strategia efficace per salvaguardare la riservatezza dei pazienti, mediante la sostituzione degli elementi identificativi con appositi pseudonimi (codici che non identificano, direttamente, i pazienti).
Diverse sono le interpretazioni della Corte di Giustizia dell'UE con sentenza del 26 aprile 2023 (causa T-557/20), che ha stabilito come un dato pseudonimizzato trasmesso ad un destinatario che non ha i mezzi per poter identificare l’interessato non è da considersi un dato personale. In questo caso, la Corte ha chiarito che la valutazione deve avvenire considerando la capacità del destinatario di (re)identificare i soggetti interessati; se quest'ultimo non dispone di informazioni aggiuntive per farlo, i dati trasmessi sono da considerarsi anonimi e quindi non soggetti alla normativa sulla protezione dei dati personali. Di conseguenza, la Corte ha annullato la decisione del Garante europeo della protezione dei dati, che aveva ritenuto i dati pseudonimizzati come dati personali, imponendo al GEPD di sostenere le spese processuali.
Link qui per scaricare il contenuto delle nuove Guidelines dell'EDPB
Hai ancora dubbi? Ecco il nostro servizio in materia Data Protection