La de-identificazione: oggetto chiave nel nuovo GDPR
Sono 23 gli anni che separano la vecchia direttiva del garante della privacy del 1995 e l’imminente arrivo (Maggio, 2018) del nuovo GDPR (Regolamento Generale sulla protezione dei dati). Il nuovo regolamento rivaluta in maniera efficace l’idea di de-identificazione dei dati ed andrà ad applicarsi nello spazio economico europeo (SEE).
De-identificazione come concetto chiave
Nozione fondamentale del GDPR è la de-identificazione, già citata in maniera meno prorompente dalla vecchia direttiva del ’95. Al concetto vengono ora attribuite diverse specifiche tecniche e particolari punti di forza.
Ma, di preciso, cosa indichiamo con de-identificazione?
Partiamo definendola come un metodo, un ampio contenitore di tecniche grazie al quale sia possibile mantenere una maggiore sicurezza del dato. Le tecniche da utilizzare, ed il grado di de-identificazione variano in base al tipo di dato (quanto sia importante ed identificativo della persona fisica, distinguiamo in dati diretti, che possono ricondurre a nomi o caratteristiche della persona fisica di tipo rilevante, o indiretti, meno importanti e meno identificativi della persona.) ed il contesto, che rappresenta il chi o il dove venga elaborato un determinato set di dati ed in quale maniera questi vengano poi conservati.
Le tecniche che operano per un buon grado di de-identificazione sono: La pseudonomizzazione, il mascheramento, la soppressione ed il campionamento di dati. Di rilevante importanza, ai fini del GDPR, è sicuramente la pseudonomizzazione che grazie alla rimozione o alla sostituzione d’identificatori diretti, garantiscono la facile reperibilità di quelli indiretti pertinenti con il motivo dell’analisi e della raccolta dei dati.
Il giusto equilibrio
La visione pioniera del GDPR è da riscontrare nel complicato equilibrio tra protezione dei dati personali e garanzia di accesso ai dati (de-identificati) da parte di aziende che ne richiedono uno specifico utilizzo.
Il diritto attuale crea un approccio binario al dato poiché garantisce riservatezza sui dati “identificati” e ne permette la libera circolazione, quindi non soggetti a protezione, ritenuti anonimi. Se definiamo “anonimo” un dato, dobbiamo renderlo irreversibile e permanente, in modo che non si possano identificare o escludere da un set dati elementi riconoscibili. La problematica che sorge è quindi di garantire la riservatezza e permettere la circolazione dei dati. Raggiungere un alto grado di anonimizzazione può essere molto difficile e può far perdere valore.
Con il nuovo regolamento si cercherà di eliminare questo binomio grazie ad uno spettro d’identificazione, composto da quattro diversi gradi, ed una serie di obblighi che verranno illustrati a seguire.
I gradi d’identificazione
Lo spettro d’identificabilità polarizza ai due estremi un dato totalmente identificato e dall’altro uno del tutto de-identificato. Tali differenze sono fondamentali per comprendere al meglio come utilizzare un determinato dato, a seconda del tipo e del contesto.
1- Identificato
Persona fisica specifica ed evidente.
2- Facilmente identificabile
Persona specifica non evidente, esiste però un modo sistematico per ricreare un collegamento con l’identificazione dei dati conservati in maniera grezza. (unico data set)
3- Dati non identificabili
Persona specifica non evidente con cui non ci sono collegamenti identificativi alla persona.
(diversi dati su diversi dati set)
4- Dati anonimi aggregati
La forma più forte di de-identificazione. Ci sono dati senza identificativi ed aggregati in enormi data set, impedendo qualsiasi tipo di collegamento.
Gli obblighi del GDPR
I diritti e gli obblighi inclusi nel GDPR sono più estesi di quelli previsti dalla vigente normativa europea sulla protezione dei dati. È chiaro che il testo spinga molto sulla de-identificazione dei dati, incentivandola con vantaggi normativi per le aziende.
-consenso informato e liceità del dato
Il trattamento dei dati personali richiedono una base giuridica e l’art. 6 dà le basi per il trattamento dei dati personali esponendo quali comportamenti siano ammissibili o meno.
L’art. 4 invece definisce il consenso dell’interessato come:
«qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento»
A variare dalla direttiva del ’95 è principalmente l’aggiunta “dell’inequivocabile”, che tende a rafforzare un più valido consenso della persona.
Art. 6 par. 1 pone condizioni aggiuntive al consenso che deve essere pianificato, chiaro, facilmente accessibile e distinguibile dal resto. Inoltre, se il consenso fosse impossibile da ricevere, sarebbe possibile ottenerlo grazie al legittimo interesse. Ciò solo se fosse applicata la pseudonomizzazione ai dati richiesti.
Art. 6 par. 4, scopi diversi.
Oltre all’impossibilità è prevista anche la capacità di ottenere il consenso per dati il cui scopo originario non rispecchiasse il motivo successivamente dichiarato. Ciò può avvenire, anche in questo caso, solo su dati precedentemente pseudonomizzati e solo se il motivo originario sia affine al nuovo.
-Diritti dell’interessato
L’articolo 12 introduce il corpo normativo che stabilisce gli obblighi informativi nei confronti delle persone detentrici dei dati, salvo che non si verifichino le condizioni dell’articolo 11:
«1. Se le finalità per cui un titolare del trattamento tratta i dati personali non richiedono o non richiedono più l’identificazione dell’interessato, il titolare del trattamento non è obbligato a conservare, acquisire o trattare ulteriori informazioni per identificare l’interessato al solo fine di rispettare il presente regolamento.
2. Qualora, nei casi di cui al paragrafo 1 del presente articolo, il titolare del trattamento possa dimostrare di non essere in grado di identificare l’interessato, ne informa l’interessato, se possibile. In tali casi, gli articoli da 15 a 20 non si applicano tranne quando l’interessato, al fine di esercitare i diritti di cui ai suddetti articoli, fornisce ulteriori informazioni che ne consentano l’identificazione.»
Solo in questi casi verrebbero a decadere gli obblighi dall’articolo 15 al 20:
Articolo 15 — Diritto di accesso dell’interessato
Articolo 16 — Diritto di rettifica
Articolo 17 — Diritto alla cancellazione («diritto all’oblio»)
Articolo 18 — Diritto di limitazione di trattamento
Articolo 20 — Diritto alla portabilità dei dati
Avviso
Documentato dagli articoli 13 e 14, l’avviso deve informare gli interessati quando ottengono dati personali dall’interessato o da altra fonte, indicando tipi specifici di informazioni che devono essere fornite.
Fondamentale anche qui il livello di de-identificazione del dato, poiché minore sarà l’identificazione del dato, minori saranno le informazioni da rilasciare all’interessato da parte dell’azienda.
Sicurezza del dato
Con l’art. 32 si attuano obblighi grazie la quale le organizzazioni siano obbligate ad attuare misure per garantire un livello di sicurezza adeguato al rischio (perdita dati, alterazione, divulgazione non autorizzata). Anche qui è ovvio quanto un buon livello di de-identificazione possa ridurre tali rischi a priori.
Notifica di sorveglianza
Gli articoli a seguire, il 33 ed il 34, ammettono una notifica ad interessato ed autorità solo in casi di “violazione di dati personali e libertà di persone fisiche”.
La conservazione dei dati è regolato dall’art. 5 lettera e:
«conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; i dati personali possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, conformemente all’articolo 89, paragrafo 1, fatta salva l’attuazione di misure tecniche e organizzative adeguate richieste dal presente regolamento a tutela dei diritti e delle libertà dell’interessato (“limitazione della conservazione”)»
-Elaborazione e profilazione dei dati
L’art. 4, paragrafo 4 definisce la “profilazione” come:
«qualsiasi forma di trattamento automatizzato di dati personali consistente nell’uso di dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti relativi alla prestazione di tale persona fisica come lavoro, situazione economica, salute, preferenze personali, interessi, affidabilità, comportamento, posizione o movimenti»
L’art 22, paragrafo 1, stabilisce che “l’interessato ha il diritto di non essere assoggettato a una decisione basata esclusivamente sul trattamento automatizzato, compresa la profilazione, che produce effetti giuridici su di lui o su di esso in modo analogo significativo”.
L’articolo 22, paragrafo 2 elenca tre eccezioni a tale divieto generale. Tali eccezioni si applicano se sono state predisposte “misure idonee a salvaguardare i diritti e le libertà dell’interessato e gli interessi legittimi dell’interessato” e che la decisione è:
-1necessaria per stipulare o eseguire un contratto tra l’interessato e un responsabile del trattamento
-2 è autorizzato dalla legislazione dell’Unione o dello Stato membro a cui è soggetto il responsabile del trattamento
-3 si basa sul consenso esplicito dell’interessato.
Oltre i confini
Il regolamento propone anche una maggiore standardizzazione attraverso le frontiere. Non solo imponendo, grazie all’art. 27, un obbligo per i responsabili del trattamento che non risiedono in Europa di designare un rappresentante fisso nell’unione, ma permettono anche una omologazione delle pratiche di de-identificazione tra le diverse aziende, come:
-1 adattare misure standard di de-identificazione
-2 impegno nella non re-identificazione del dato
-3 allo stesso tempo evitare che i detentori dei set possano re-identificare i dati
conclusione
Il GDPR rappresenta un grande passo in avanti, sia nel riconoscimento di diversi livelli di identificabilità, sia fornendo incentivi per i responsabili del trattamento dei dati. Gli incentivi previsti dal GDPR porteranno a un maggiore uso della de-identificazione che ridurrà i rischi per la privacy degli interessati e proteggerà meglio i loro diritti.
Il GDPR entrerà effettivamente in vigore il 25 maggio 2018.
