Il Regolamento (UE) 2016/679 (GDPR) definisce la pseudonimizzazione all’art. 4(5) come una misura che impedisce l’attribuzione diretta dei dati a un interessato specifico senza informazioni aggiuntive, le quali devono essere conservate separatamente e protette da misure di sicurezza. Questa tecnica consente di giustificare determinati trattamenti sulla base del legittimo interesse (art. 6. 1 lett. f GDPR) e non è intesa a escludere altre misure di protezione (Considerando 28 GDPR), in quanto la valutazione delle stesse è comunque rimessa al Titolare in ottica di accountability.
Sebbene la pseudonimizzazione non trasformi i dati personali in dati anonimi – considerando che l’attribuzione (a soggetti specifici) rimane possibile mediante l’uso di informazioni aggiuntive –, essa può rappresentare una misura particolarmente efficace per ridurre il rischio di accessi non autorizzati e minimizzare l’esposizione degli interessati a trattamenti che potrebbero avere un impatto significativo sui loro diritti e libertà. L’efficacia del presidio dipende fortemente dal cd. dominio di pseudonimizzazione, ossia il contesto entro cui la pseudonimizzazione impedisce l’attribuzione dei dati agli interessati, definito dal Titolare sulla base di un’analisi del rischio, con cui stabilisce misure tecniche e organizzative volte a garantire che le informazioni aggiuntive necessarie per la re-identificazione restino separate e inaccessibili; il dominio quindi può coincidere con un’unità organizzativa interna, con un singolo destinatario esterno o con un insieme di soggetti autorizzati, escludendo ogni terza parte non legittimata ad accedere ai dati.
L’efficacia della pseudonimizzazione dipende dalla capacità del Titolare di impedire che le informazioni identificative accedano al dominio o che i dati pseudonimizzati fuoriescano, un processo che richiede un controllo attento sull’accesso alle informazioni e sulle modalità di segregazione dei dati; il dominio, può essere ristretto a specifiche entità autorizzate o ampliato a soggetti che potrebbero tentare di accedere ai dati senza autorizzazione, necessita di misure di sicurezza rigide e di garanzie contrattuali atte a impedire che le informazioni aggiuntive vengano sfruttate per la re-identificazione degli interessati.
La pseudonimizzazione, in relazione alla sicurezza dei dati ai sensi dell’art. 32 GDPR, può ridurre la gravità di eventuali violazioni ed esonerare dall’obbligo di notifica in caso di violazione ex art. 34, a condizione che il Titolare, previa una corretta separazione tra i dati pseudonimizzati e le informazioni per la re-identificazione, effettui una valutazione accurata sull’effettiva mitigazione dei rischi. Tale valutazione deve considerare in particolare la possibilità che i dati possano essere ricondotti a persone specifiche. Quanto più il livello di protezione risulta adeguato, tanto minore sarà il rischio per gli interessati, fino a rendere superflua la comunicazione della violazione stessa ai sensi degli artt. 34. 1 e 34. 3 del GDPR, garantendo così un’efficace tutela della riservatezza senza compromettere la conformità normativa.
Sotto il profilo del data transfer verso i paesi terzi, l’uso della pseudonimizzazione nelle operazioni può rappresentare una misura supplementare efficace, qualora le garanzie offerte dagli strumenti di trasferimento (come le clausole contrattuali standard) risultino insufficienti a garantire un livello di protezione equivalente a quello dell’UE -a condizione che le informazioni necessarie per l’attribuzione rimangano sotto il controllo esclusivo dell’esportatore dei dati all’interno dello Spazio Economico Europeo.
La bozza delle linee guida sulla pseudonimizzazione che l’EDPB ha messo in consultazione identificano due principali classi di trasformazioni:
- algoritmi crittografici e tabelle di sostituzione (lookup tables), basata su un’analisi del rischio che consideri il contesto del trattamento e le possibili minacce alla re-identificazione.
- gestione delle chiavi crittografiche, la segregazione delle informazioni di attribuzione e il controllo degli accessi ai dati pseudonimizzati.
Mentre, per quanto concerne ulteriori profili di criticità affrontati dall’EDPB, l’analisi pone l’accento su:
- i dati pseudonimizzati degli interessati: che restano dati personali (in quanto attribuibili a una persona fisica tramite informazioni aggiuntive) e di conseguenza soggetti ai diritti previsti dal Capitolo III del GDPR. il Titolare è sempre tenuto a fornire indicazioni sulle modalità di accesso e utilizzo degli pseudonimi, comunicando i riferimenti della fonte dei dati pseudonimizzati o del soggetto responsabile della pseudonimizzazione. La ratio di tale processo è finalizzata all’effettivo esercizio dei diritti degli interessati contro l’ipotesi di cui all’art 11 GDPR, in cui il Titolare non riesca più ad identificare l’interessato (ad esempio, perché non dispone più delle informazioni necessarie, o perché non sia in grado di ottenerle in modo lecito).
- rischio di reversibilità della pseudonimizzazione: che subordina il livello di protezione alla gestione dell’ambiente in cui i dati vengono trattati, che potrebbe essere compromessa da una conservazione delle informazioni aggiuntive senza adeguate misure di sicurezza o dall’accesso di terzi non autorizzati ai dati pseudonimizzati che potrebbero combinarli con altre fonti di informazione.
Per questo motivo, l’EDPB suggerisce una valutazione continua dell’efficacia della pseudonimizzazione, integrando misure tecniche e organizzative adeguate, come la segregazione fisica e logica delle informazioni di identificazione, l’uso di strumenti crittografici robusti e la gestione controllata delle chiavi di decrittazione. Si segnala che le linee guida dell’EDPB resteranno in consultazione pubblica fino al 28 febbraio 2025, al termine del quale si attende la definizione di un quadro normativo ulteriore, in ottica di bilanciamento tra innovazione tecnologica e tutela dei diritti fondamentali.
