Quello relativo a dati personali e privacy è un argomento ostico e delicato, pieno di incertezze e fraintendimenti su quando e come la privacy delle persone (soprattutto dei pazienti) venga davvero rispettata. Basta non nominare una persona per renderla non identificabile? Purtroppo no. Qual è, allora, il processo da adottare per evitare che certi dati siano attribuibili a una persona reale rendendola quindi riconoscibile?
I due processi di cui si sente spesso parlare e intorno ai quali sono nati diversi malintesi sono due: anonimizzazione e pseudonimizzazione.
Al fine di provare a chiarire le differenze sostanziali tra i due processi, il Garante spagnolo per la protezione dei dati e l’European Data Protection Board hanno pubblicato un documento congiunto dal titolo 10 misunderstandings related to anonymisation dove hanno elencato i 10 malintesi più diffusi su anonimizzazione e pseudonimizzazione che riportiamo di seguito.
Misunderstanding n.1: l’anonimimzzazione e la pseudonimizzazione sono la stessa cosa
Nei fatti, anonimizzazione e pseudonimizzazione NON sono la stessa cosa. Il GDPR definisce la “pseudonimizzazione” come “il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile”. La conoscenza di queste “informazioni aggiuntive” può portare quindi alla riconoscibilità e all’identificazione di un individuo. I dati anonimi, invece, non possono essere associati a individui specifici tant’è vero che una volta che i dati sono diventati veramente anonimi, e gli individui non sono più identificabili, non rientrano più nell’ambito del GDPR.
Misunderstanding n.2: la crittografia è un processo di anonimizzazione
La crittografia non è una tecnica di anonimizzazione in quanto, una volta decrittata la chiave di lettura, i dati diventano associabili a individui specifici. Può però essere un potente strumento di pseudonimizzazione.
Misunderstanding n.3: l’anonimizzazione dei dati è sempre possibile
Non è sempre possibile anonimizzare i dati, soprattutto in quei casi in cui il set di dati è esiguo, o quando le categorie di dati sono così diverse tra gli individui che è possibile individuare questi individui, o ancora quando i dataset includono un numero elevato di attributi demografici o dati di localizzazione.
Misunderstanding n.4: l’anonimizzazione è per sempre
Esiste il rischio che alcuni processi di anonimizzazione divengano reversibili in futuro. Questo perché nel tempo potrebbero esserci nuovi sviluppi tecnici e la disponibilità di informazioni aggiuntive potrebbe compromettere i precedenti processi di anonimizzazione.
Misunderstanding n.5: l’anonimizzazione riduce sempre a zero la probabilità di re-identificazione di un set di dati
Il processo di anonimizzazione e il modo in cui è implementato avrà un’influenza diretta sulla probabilità di rischi di re-identificazione. Un processo di anonimizzazione robusto mira a ridurre il rischio di re-identificazione sotto una certa soglia. Tale soglia dipenderà da diversi fattori come gli accorgimenti di mitigazione, l’impatto sulla privacy degli individui in caso di re-identificazione, i motivi e la capacità di un attaccante di re-identificare i dati.
Misunderstanding n.6: l’anonimizzazione è un concetto abinario che non può essere misurato
È possibile analizzare e misurare il grado di anonimizzazione.
Misunderstanding n.7: l’anonimizzazione può essere completamente automatizzata
Gli strumenti automatizzati possono essere utilizzati durante il processo di anonimizzazione, tuttavia, data l’importanza del contesto nella valutazione complessiva del processo, è necessario l’intervento di un esperto umano.
Misunderstanding n.8: l’anonimizzazione rende i dati inutili
I processi di anonimizzazione sono diversi e un processo di anonimizzazione adeguato mantiene i dati funzionali per un determinato scopo.
Misunderstanding n.9: seguire un processo di anonimizzazione che altri hanno usato con successo porterà la nostra organizzazione a risultati equivalenti
Come dicevamo, i processi di anonimizzazione sono diversi e ognuno deve essere adattato alla natura, alla portata, al contesto e alle finalità del trattamento.
Misunderstanding n.10: non c’è nessun rischio e nessun interesse a scoprire a chi si riferiscono questi dati
I dati personali hanno un valore in sé, per gli individui stessi e per terzi. La re-identificazione di un individuo potrebbe avere un serio impatto sui suoi diritti e libertà.
Cosa succede nello specifico se si tratta di dati sanitari?
I dati sanitari, si sa, sono quelli più ambiti dai cosiddetti criminali informatici, ne abbiamo parlato diverse volte, però quando si tratta di modalità di trattamento ai fini di garantire la privacy dei pazienti si parla ancora di anonimizzazione e pseudonimizzazione: queste restano sempre le due tecniche più diffuse in ambito di tutela dei dati. I dati sanitari, quindi, possono essere pseudonimizzati, ossia cifrati, per essere usati ai fini della ricerca scientifica ricordandosi che la pseudonimizzazione protegge l’identità degli individui solo fino a che i dati stessi non vengano decrittati, o anonimizzati, processo che riduce al minimo il rischio di ricostruire le informazioni e quindi di associare dati a persone specifiche. La pseudonimizzazione potrebbe essere usata durante la vita operativa del dato ossia quando questo è ancora utile al medico curante a fini diagnostici o curativi mentre l’anonimizzazione potrebbe essere utilizzata al termine del periodo d’uso contrattuale dei dati personali sostituendoli con qualcosa che ne impedisca il riconoscimento nel tempo.