GDPR Privacy
Che cos’è la Pseudonimizzazione dei Dati Personali?
La Pseudonimizzazione è una tecnica di sostituzione o rimozione delle informazioni personali che identificano un individuo, con la possibilità – però – di procedere ad una successiva re-identificazione.
Ad esempio, nel database dei nostri clienti potremo sostituire i loro nomi con un numero di riferimento o una sigla (es. “MR” per “Marco Rossi”), oppure “mascherare” alcuni identificatori univoci all’interno di un dataset, ma all’occorrenza dovremo essere sempre in grado di raccogliere quelle informazioni aggiuntive che ci consentono di identificare nuovamente l’individuo.
È proprio la possibilità di re-identificazione il vero discrimine tra Anonimizzazione e Pseudonimizzazione. Solo in quest’ultimo caso il Titolare è in grado di risalire alla persona fisica interessata detenendo – in un data set rigorosamente separato e protetto – quelle informazioni aggiuntive necessarie a procedere in tal senso.
Non a caso i dati pseudonimizzati sono ritenuti a tutti gli effetti dati personali, applicandosi ad essi lo standard di protezione del GDPR (la Normativa Europea sulla Privacy), a differenza dei dati anonimizzati che esulano dal suo campo di applicazione.
La Pseudonimizzazione rende più semplice la conformità alla Normativa Privacy, offrendo numerosi benefici in termini di:
Scegliere la tecnica di Pseudonimizzazione più corretta rispetto al caso specifico non è semplice perché l’azienda dovrà tenere conto dello scenario di rischio concreto, in ragione della tipologia di dati personali da proteggere e delle loro modalità di utilizzo, valutando inoltre le proprie esigenze di funzionalità e scalabilità della strategia che si intende intraprendere.
Un valido aiuto in questo senso è una recente pubblicazione dell’ENISA in cui si prendono in esame le tecniche di Pseudonimizzazione più comuni, dal contatore al generatore di numeri casuali, dalla funzione crittografica di hash al codice di autenticazione del messaggio fino alla crittografia, insieme ad una serie di strategie che dovranno essere scelte avvalendosi di un approccio basato sul rischio privacy dell’azienda, in linea con gli insegnamenti del GDPR.
Proprio su questo punto, è probabile che le imprese si affidino sempre più a fornitori terzi per implementare tecniche e strategie di Pseudonimizzazione, avvalendosi del loro know-how specialistico.
In questi casi, sarà importante effettuare una opportuna due diligence dei fornitori selezionati, con annessa richiesta di ogni documentazione necessaria a valutare il livello di sicurezza garantito dai prodotti o dalle soluzioni tecniche proposte.
Non va infatti dimenticato che spetta sempre al titolare attuare le specifiche misure tecnico organizzative di mitigazione del rischio privacy, per cui la responsabilità circa la protezione dei dati resta sempre in capo all’azienda che ne è Titolare.
Nessuna attività in outsourcing si può tradurre infatti in uno scarico di responsabilità da parte del Titolare.
Questa è la ragione per cui è importante farsi affiancare da consulenti privacy esperti che sappiano orientare il titolare nella scelta del fornitore più adatto allo scenario di rischio aziendale, valutando le migliori opzioni presenti sul mercato e agevolando anche le operazioni di raccolta delle informazioni per fini di due diligence e accountability.
Articoli correlati