18 Ago L’anonimizzazione dei dati personali: nuove conferme dall’Autorità Garante

Autori: Marco Emanuele Carpenelli, Francesca Tugnoli, Eleonora Margherita Auletta

Il recente intervento dell’Autorità Garante per la protezione dei dati personali

Con il Provvedimento del 1° giugno 2023[1] (“Provvedimento“), l’Autorità Garante per la protezione dei dati personali, nel confermare il proprio orientamento giurisprudenziale e le indicazioni rese dal Gruppo di Lavoro Articolo 29 con il noto parere 5/2014[2], offre nuovi e interessanti spunti sulle tecniche esecutive necessarie per assicurare una compiuta anonimizzazione dei dati personali.

Il Provvedimento menzionato origina dalla segnalazione di un medico di base che lamentava una presunta violazione della disciplina in materia di protezione dei dati personali effettuata da parte della società verso la quale il medico stesso si era impegnato a trasmettere – a fronte di una serie di vantaggi e benefici, anche economici – i dati dei propri pazienti, previo assoggettamento degli stessi ad un processo di anonimizzazione, processo poi rivelatosi inadeguato. In particolare, ai medici di base aderenti all’iniziativa era richiesto di aggiungere al gestionale in uso un’ulteriore funzionalità (cd. “add-on”) intesa ad anonimizzare automaticamente i dati personali dei pazienti e, successivamente, a veicolarli verso il database della società.

Come già anticipato, in esito all’istruttoria condotta dall’Autorità Garante, è tuttavia emerso che il menzionato “add-on”, indicato dalla società, non consentiva di pervenire ad una effettiva anonimizzazione delle informazioni acquisite dai medici di base, bensì ad una mera “pseudonimizzazione” e dunque veniva posto in essere un trattamento illecito di dati in violazione dei principi di liceità e trasparenza di cui all’art. 5, par. 1, lett. a) del Regolamento (UE) 2016/679 (di seguito, “GDPR”).

Scopriamo perché.

Le contestazioni dell’Autorità Garante: l’insufficienza degli accorgimenti messi in atto dalla società nello svolgimento dell’anonimizzazione dei dati personali

La menzionata funzionalità di add-on non è parsa idonea a garantire l’anonimizzazione dei dati personali trasmessi dai medici di base. Ciò in quanto:

• • • basandosi essa sulla sostituzione dell’ID del paziente con un codice crittografico univoco (“hash”) irreversibile, non permette di garantire quella rimozione delle singolarità (cd. “single out”) che costituiscono il requisito necessario a qualificare il trattamento come un’anonimizzazione[3]. Requisito fondamentale per aversi anonimizzazione è che il processo impedisca che si possa “isolare” una persona in un gruppo di persone, così risalendo ad essa e giungendo a “identificarla”, seppure in via indiretta[4];
    • la previsione di una misura organizzativa aggiuntiva svolta da una terza parte responsabile del trattamento – che si faceva carico centralmente di scartare o di svolgere operazioni aggiuntive di sostituzione dell’hash con un codice progressivo sui record che dovessero, per le loro caratteristiche statistiche, presentare rischi significativi di re-identificazione – non si rivelava, a parere dell’Autorità Garante, idonea a rimuovere l’associazione univoca tra l’individuo e il codice con cui questo era rappresentato all’interno della base dati e dunque non era misura sufficiente. Tale misura organizzativa si limitava, infatti, a rendere più complessa la re-identificazione dell’interessato, senza scongiurare la presenza di singolarità del dataset finale presso la terza parte;
    • nell’intento di assicurare maggiori garanzie di anonimizzazione, la società aveva introdotto, da ultimo, un nuovo accorgimento ispirandosi alla cd. k-anonimity[5], tecnica che assicura il beneficio di una generalizzazione dei dati dei pazienti in classi di equivalenza (ad es. stessa età e localizzazione); implementando tale accorgimento, la società trascurava tuttavia di considerare che la tecnica della k-anonimity perde efficacia laddove, come nel caso oggetto del Provvedimento, a ciascun individuo venga collegato un hash, anche se reso più complesso dalla presenza di un elemento di disturbo ignoto (cd. “salt”), e tale hash venga associato univocamente ai vari record contenuti nelle tabelle.

Conclusioni

Alla luce delle considerazioni sopra riportate, l’Autorità Garante ha rilevato che il trattamento in esame risulta qualificabile non già come “anonimizzazione” quanto piuttosto come una forma di “pseudonimizzazione” ai sensi dell’art. 4, n. 5) del GDPR; in questa prospettiva, gli accorgimenti sopra menzionati costituiscono mere misure organizzative intese ad assicurare la sicurezza del trattamento, poiché favoriscono una maggiore complessità nella ricongiunzione tra l’identità del paziente e la sua storia clinica, ma risultano inidonei a far venir meno la natura dei dati personali trattati, i quali restano dunque assoggettati al GDPR[6].

Take away operativi: quale insegnamento trarre dalla pronuncia in esame?

Alla luce del Provvedimento, a trovare conferma è, in particolare, la natura evidentemente “relativa” del concetto di “dato personale”, ossia la sua attitudine ad atteggiarsi come tale dipendentemente dal contesto informativo entro il quale esso si colloca (art. 4, n. 1) del GDPR).

In altre parole, per stabilire se un dato abbia effettivamente natura di “dato personale” o meno occorre sondare attentamente il contesto informativo in cui il dato stesso si inserisce, verificando se il titolare del trattamento conservi ancora l’effettiva possibilità di risalire alle persone fisiche interessate. Ciò deve essere fatto mettendo in relazione tutte le diverse componenti del suo patrimonio informativo, ivi comprese quelle di cui dispongono soggetti terzi facenti parte della propria rete organizzativa. In tal senso:

• • • ove il titolare riesca ancora a re-identificare gli interessati, i dati dovranno considerarsi ancora dati personali – ancorché pseudonimizzati – e ciò comporterà l’applicazione della normativa in materia di protezione dei dati personali;
    • ove il titolare non sia più in grado di re-identificare gli interessati, i dati non dovranno considerarsi dati personali e il loro eventuale utilizzo sarà da considerarsi irrilevante ai fini della normativa in materia di protezione dei dati personali.

[1] Cfr. Provvedimento del 1° giugno 2023 [doc. web n. 9913795].

[2] Cfr. Parere 05/2014 sulle tecniche di anonimizzazione del Gruppo di Lavoro Articolo 29 adottato il 10 aprile 2014.

[3] Cfr. Gruppo di Lavoro Articolo 29, Parere 05/2014 sulle tecniche di anonimizzazione: “affidarsi semplicemente alla solidità del meccanismo di crittografia quale misura del grado di “anonimizzazione” di un insieme di dati è fuorviante, in quanto molti altri fattori tecnici e organizzativi incidono sulla sicurezza generale di un meccanismo di crittografia o di una funzione di hash”.

[4] Nel Provvedimento, l’Autorità Garante evidenzia altresì che, oltre al single out, il processo di anonimizzazione deve impedire che si possa collegare un dato anonimizzato a dati riferibili a una persona presente in un distinto insieme di dati (cd. “linkability”) e dedurre nuove informazioni riferibili a una persona da un dato anonimizzato (cd. “inference”).

[5] Cfr. Provvedimento del 1° giugno 2023 [doc. web n. 9913795], per cui la tecnica di k-anonimity “[…]consiste nel raggruppare gli interessati sulla base di specifiche combinazioni di attributi, opportunamente generalizzati, in modo che in ciascun raggruppamento siano inclusi almeno k soggetti non distinguibili tra loro[…]”.

[6] Si fa presente, infatti, che solo i dati effettivamente anonimi sfuggono all’applicazione della normativa in materia di protezione dei dati personali, come indicato dal Legislatore europeo nel considerando 26 del GDPR.