Nel contesto della protezione dei dati personali, la pseudonimizzazione rappresenta un meccanismo fondamentale per conciliare trasparenza e sicurezza nei trattamenti di informazioni sensibili.
Recentemente, il Comitato europeo per la protezione dei dati (EDPB) ha approvato le linee guida sulla pseudonimizzazione 01/2025, messe in pubblica consultazione fino al 28 febbraio.
Ecco come tale tecnica possa essere applicata in conformità con il Regolamento generale sulla protezione dei dati (GDPR), quali aspetti rimangono aperti a diverse interpretazioni e richiedono ulteriori chiarimenti, anche in relazione alle opportunità e ai limiti delle linee guida.
Indice degli argomenti
La pseudonimizzazione dei dati personali
Tre ambiti specifici meritano particolare attenzione:
- l’utilizzo di tecniche crittografiche per garantire la robustezza della pseudonimizzazione, suscettibili di bias falsamente rassicuranti;
- la definizione operativa del “dominio di pseudonimizzazione” e le implicazioni pratiche della sua applicazione;
- la gestione dei diritti degli interessati all’interno di sistemi pseudonimizzati.
Tecnologie crittografiche per la pseudonimizzazione: l’hashing e un potenziale bias
L’articolo 4.5 del GDPR definisce la pseudonimizzazione come una sorta di manipolazione dei dati personali che impedisce la loro attribuzione diretta a un individuo senza l’uso di informazioni aggiuntive.
Questo processo è cruciale per ridurre il rischio di re-identificazione, consentendo contemporaneamente il trattamento di dati correlati allo stesso soggetto senza compromettere la privacy.
Un approccio comune alla pseudonimizzazione è rappresentato dall’hashing ovvero la trasformazione di una stringa di input in una stringa di lunghezza fissa tramite funzioni crittografiche come SHA-256 o SHA-3.
Un errore da evitare è ritenere che i dati siano pseudonimizzati, o addirittura anonimi, solo perché sottoposti a un algoritmo di hash.
L’hashing è un processo unidirezionale (non consente di risalire ai dati originali), ma anche deterministico: lo stesso input genera sempre lo stesso output.
Questo comporta un rischio, perché, se l’algoritmo è noto e applicato su una base dati simile a quella originaria, può rendere possibile la re-identificazione degli interessati.
Pertanto presso il titolare va evitato di sostenere che con l’hashing i dati vengono resi anonimi in senso proprio.
Per garantire che i dati possano essere considerati effettivamente pseudonimizzati, l’algoritmo utilizzato deve essere mantenuto all’interno della stessa organizzazione, in modo da risultare inaccessibile a soggetti non autorizzati.
In particolare, tale algoritmo non deve essere divulgato a terze parti, alle quali i dati vengono trasferiti con la potenziale veste di dati anonimizzati. Questa segregazione è fondamentale per preservare l’integrità del processo di pseudonimizzazione e prevenire qualsiasi rischio di re-identificazione.
Come assicurare la pseudonimizzazione dei dati: i rischi
Quindi, per garantire che i dati possano essere considerati effettivamente pseudonimizzati, l’algoritmo utilizzato deve essere mantenuto all’interno della stessa organizzazione, in modo da risultare inaccessibile a soggetti non autorizzati.
In particolare, tale algoritmo non deve essere divulgato a terze parti, alle quali i dati vengono trasferiti con la presunzione di anonimizzazione.
Questa segregazione è fondamentale per preservare l’integrità del processo di pseudonimizzazione e prevenire qualsiasi rischio di re-identificazione (come illustrato più avanti).
Tuttavia, l’uso di questa tecnica comporta alcuni rischi. L’hashing si connota per unidirezionalità (non consente di risalire ai dati originali) e determinismo: lo stesso input genera sempre lo stesso output.
Questa caratteristica può essere sfruttata da attori malevoli che dispongono di informazioni simili a quelle originarie, rendendo possibile la re-identificazione attraverso metodi come attacchi a forza bruta o più subdoli come l’appropriazione dell’algoritmo utilizzato se non custodito in maniera sicura.
Per mitigare tali rischi, è necessario adottare strategie anche non sofisticate, come il ricorso a tecniche come il salting ovvero l’aggiunta di un valore casuale all’input prima dell’hashing, per rendere ogni risultato unico.
Soluzione suggerita per l’uso di hash
Per evitare il rischio di attacchi a forza bruta o con dizionari precalcolati o, più semplicemente, con base dati tratte dalla medesima popolazione, sarebbe opportuno che le linee guida sottolineassero l’opportunità di ricorrere all’uso di salting (aggiunta di un valore casuale all’hash) o di funzioni crittografiche avanzate per rafforzare la sicurezza della pseudonimizzazione.
Le linee guida potrebbero beneficiare di una maggiore enfasi su queste soluzioni, offrendo indicazioni operative per garantire la robustezza della pseudonimizzazione in contesti complessi.
Il concetto di “dominio di pseudonimizzazione”: implicazioni teoriche e pratiche
Il concetto di “dominio di pseudonimizzazione“, introdotto dalle linee guida, rappresenta un’innovazione significativa nel campo della protezione dei dati. Esso definisce il contesto in cui i dati vengono trattati come pseudonimizzati, distinguendo tra due configurazioni principali:
- dominio interno: in questo scenario, solo alcune unità operative all’interno di un’organizzazione hanno accesso ai dati pseudonimizzati. Anche se queste unità considerano i dati anonimi, dal punto di vista del GDPR devono essere trattati come pseudonimizzati, richiedendo pertanto l’adozione di idonee misure di sicurezza tecniche e organizzative;
- dominio esterno: è il caso in cui i dati pseudonimizzati sono oggetto di condivisione con soggetti esterni, che costituiscono il dominio esterno. Se tali soggetti non dispongono delle informazioni necessarie per effettuare la de-pseudonimizzazione, i dati per loro saranno in senso proprio anonimizzati e, in tal senso si veda la sentenza della Corte di Giustizia dell’Unione Europea (CGUE) n. 557/20 (per precisione emessa con riguardo a Istituzioni dell’UE, quindi in base al Regolamento UE 1725/2018 ovvero il GDPR europeo) secondo cui per il destinatario privo di informazioni aggiuntive, i dati trattati sono anonimizzati.
Tuttavia, resta fondamentale definire criteri chiari per valutare i rischi di re-identificazione, soprattutto nei casi di trasferimento di dati tra domini diversi. Inoltre, sarebbe utile includere nella versione finale del documento un modello di clausola contrattuale standard per regolamentare le responsabilità dei titolari e dei responsabili del trattamento.
Aspetti suscettibili di rafforzamento nelle Linee guida
Innanzitutto appare opportuno fornire indicazioni più dettagliate sulle metodologie per valutare i rischi di re-identificazione, soprattutto nei casi di trasferimento di dati tra domini diversi, interni ed esterni. Questo aspetto riveste particolare importanza per garantire un livello adeguato di sicurezza e conformità normativa.
Inoltre, sebbene il documento evidenzi l’importanza di accordi contrattuali vincolanti tra titolari e responsabili del trattamento per prevenire abusi, sarebbe auspicabile integrare un modello standard di clausola contrattuale (che, in analogia a quanto previsto per i responsabili del trattamento dall’art. 28 del GDPR, preveda anche la facoltà di condurre audit periodici per verificare la corretta gestione della pseudonimizzazione).
Qualsiasi tentativo di de-anonimizzazione, senza giustificazione legittima, costituisce non solo una violazione contrattuale, ma anche un trattamento illecito di dati personali ai sensi del GDPR.
Questa precisazione potrebbe rafforzare la tutela dei dati e fornire alle parti coinvolte linee guida operative più concrete.
Diritti degli interessati in sistemi pseudonimizzati: equilibrio tra sicurezza e accessibilità
Un aspetto dubbio, se non critico, riguarda la parte 2.6 delle linee guida che si sofferma sull’applicazione dell’articolo 11 del GDPR che disciplina i casi in cui il titolare non è in grado di identificare l’interessato.
Secondo questo articolo, il titolare non è obbligato a raccogliere o conservare informazioni aggiuntive solo per consentire l’esercizio dei diritti dell’interessato (per esempio, accesso, cancellazione o portabilità dei dati).
Tuttavia, l’uso improprio di questa deroga potrebbe compromettere i diritti dei soggetti interessati. Per esempio:
- quando un titolare secondario riceve dati pseudonimizzati senza accesso alla chiave di pseudonimizzazione, l’art. 11 trova applicazione, limitando i diritti dell’interessato. Tuttavia, se quest’ultimo fornisce informazioni aggiuntive (come il proprio hash), il titolare essendo in grado di re-identificarlo deve soddisfare la richiesta. Resta da chiarire (possibilmente nelle Linee guida), in che termini l’interessato debba essere reso edotto del trasferimento di dati pseudonimizzati ad altri titolari (per i quali i dati sono anonimizzati) in modo da poter sapere a chi far riferimento per la tutela dei propri dati;
- ancor più rilevante il caso del titolare principale che perda la capacità di associare i dati agli interessati: ciò potrebbe costituire una violazione della sicurezza (data breach) ai sensi dell’art. 33 del GDPR.
Per migliorare le Linee guida, è necessario chiarire le circostanze in cui l’art. 11 è applicabile, distinguendo tra perdita accidentale della chiave di pseudonimizzazione e scelte progettuali intenzionali.
Inoltre, sarebbe utile fornire indicazioni sulle misure tecniche e organizzative per prevenire l’uso improprio della deroga prevista dall’articolo.
Aspetti da migliorare
Sarebbe opportuno che la versione finale delle Linee guida fornisse una maggiore chiarezza riguardo alle circostanze e alle condizioni in cui l’articolo 11 del GDPR è applicabile.
In particolare, è essenziale distinguere i casi in cui la perdita della chiave di pseudonimizzazione debba essere considerata una violazione di sicurezza ai sensi dell’articolo 33 del GDPR, richiedendo pertanto la segnalazione entro le scadenze previste.
Inoltre, un approfondimento sulle misure tecniche e organizzative necessarie per prevenire l’uso improprio della deroga prevista dall’articolo 11 contribuirebbe a garantire una corretta applicazione delle norme.
Tali misure potrebbero includere la definizione di procedure specifiche per la gestione delle chiavi di pseudonimizzazione, nonché la formazione del personale coinvolto nei trattamenti di dati, al fine di minimizzare i rischi di errore o di abuso.
Questo approccio permetterebbe di conciliare efficacemente la protezione dei dati con il rispetto dei diritti degli interessati.
Un passo avanti nella data protection
Le Linee guida sulla pseudonimizzazione rappresentano un importante passo avanti nella protezione dei dati personali e nel miglioramento della sicurezza dei trattamenti.
Per potenziarne l’efficacia applicativa, sarebbe utile affinare le 10 schede esemplificative che le accompagnano, integrando scenari dettagliati su aspetti chiave come minimizzazione e sicurezza, trattamento per finalità diverse e trasferimento dei dati.
Ciò permetterebbe di offrire un riferimento pratico più concreto per la valutazione dei trattamenti e la conduzione della DPIA (Data protection impact assessment).
L’auspicio è che la versione definitiva del documento si riveli ancora più chiara e operativa, adattandosi efficacemente ai diversi contesti organizzativi.
