DOMANDA: Big Data e anonimizzazione: quando il dato cessa di essere personale

Risponde Alessandro Papini

Un dato cessa di essere personale quando è stato sottoposto a un processo di anonimizzazione tale da rendere l'interessato non più identificabile, né direttamente né indirettamente. È fondamentale comprendere che l'anonimizzazione è un processo irreversibile, a differenza della pseudonimizzazione, che è una misura di sicurezza ma lascia il dato nel perimetro di applicazione del GDPR. La vera linea di demarcazione, come indicato dal Regolamento, risiede nella valutazione di tutti i "mezzi che possono essere ragionevolmente utilizzati" per la re-identificazione. Nell'era dei Big Data, dove enormi dataset possono essere incrociati, questa valutazione deve essere estremamente rigorosa, considerando i costi, i tempi e le tecnologie disponibili non solo per il titolare, ma per qualsiasi soggetto terzo.

L'approfondimento: Come si valuta in pratica se un dato è davvero anonimo?

La valutazione non si basa sull'applicazione di una singola tecnica, ma su un'analisi del rischio di re-identificazione concreta ed efficace. Un processo di anonimizzazione robusto deve superare tre criteri fondamentali: l'impossibilità di isolare un individuo all'interno del dataset (singling out), l'impossibilità di collegare tra loro record distinti relativi allo stesso individuo (linkability) e l'impossibilità di dedurre nuove informazioni su un individuo (inference). Tecniche come la generalizzazione o la randomizzazione sono strumenti utili, ma la loro efficacia va testata nel contesto specifico. Un dataset anonimo oggi potrebbe non esserlo domani con l'avanzare della tecnologia: il rischio va quindi monitorato nel tempo.

Il dettaglio normativo: Quali sono i riferimenti normativi chiave?

Il riferimento principale è il Considerando 26 del GDPR. Esso stabilisce chiaramente che i principi di protezione dei dati non si applicano alle informazioni anonime, definite come "le informazioni che non si riferiscono a una persona fisica identificata o identificabile". Specifica inoltre che per determinare l'identificabilità occorre considerare tutti i mezzi, come l'incrocio di dati, di cui il titolare del trattamento o un terzo può ragionevolmente avvalersi. Sebbene precedente al GDPR, il Parere 05/2014 del Gruppo di Lavoro Articolo 29 (WP29) sulle tecniche di anonimizzazione rimane un documento tecnico e interpretativo di assoluta rilevanza, che guida ancora oggi i professionisti nella corretta valutazione del processo.

Se sei un consulente privacy, DPO o semplicemente un appassionato della materia iscriviti ad AIP ed avrai molti vantaggi e la possibilità di confrontarti con un network di professionisti italiani.