La rubrica “Digital & Law” è curata da D&L Net e offre una lettura delle materie dell’innovazione digitale da una prospettiva che sia in grado di offrire piena padronanza degli strumenti e dei diritti digitali, anche ai non addetti ai lavori. Per consultare tutti gli articoli clicca qui.
Non di rado ci si imbatte, per esempio all’interno di informative o di accordi per la nomina di responsabile del trattamento, in affermazioni del tipo “al termine del periodo di conservazione, i tuoi dati saranno anonimizzati e trattati per finalità statistiche” o “i dati, resi anonimi, potranno essere utilizzati per ulteriori finalità”.
Ma siamo davvero sicuri che i dati di cui si parla vengano effettivamente anonimizzati?
Il significato di anonimo
Il concetto dell’anonimità è di primaria importanza ai fini della (dis)applicazione del GDPR, che, lo ricordiamo, non si applica al trattamento di informazioni anonime o sufficientemente anonime.
Conoscere i più comuni fraintendimenti correlati all’anonimizzazione è il primo passo da compiere al fine di acquisire maggiore consapevolezza ed evitare di incorrere in errori esponendo all’accesso di terzi non autorizzati informazioni anonimizzate solo in via presuntiva.
L‘EDPS e l’AEPD (l’autorità garante spagnola per la protezione dei dati personali) ne elencano dieci in un recente documento pubblicato sui rispettivi siti istituzionali.
Il concetto di anonimizzazione
Prima di vedere quali, però, soffermiamoci brevemente su cosa debba intendersi con il termine dato “anonimizzato”. È un concetto strettamente collegato all’identificabilità di una persona. Il considerando 26 del GDPR spiega che per essere considerati anonimi o sufficientemente anonimi ai sensi del GDPR, i dati, rispettivamente:
- non devono riferirsi a una persona fisica identificata o identificabile oppure
- devono impedire o non consentire più l’identificazione dell’interessato.
Il citato considerando prosegue chiarendo che per stabilire se una persona fisica è identificabile devono considerarsi tutti i mezzi di cui il titolare del trattamento o un terzo può ragionevolmente avvalersi per identificare, direttamente o indirettamente, la persona a cui i dati si riferiscono.
Anonimizzazione di dati: i dieci fraintendimenti secondo l’EDPS e l’AEPD
Fatta questa preliminare precisazione, di seguito si riportano, nella colonna di sinistra, i dieci fraintendimenti correlati all’anonimizzazione evidenziati dall‘EDPS e l’Autorità spagnola nel documento sopra richiamato, denominato “10 MISUNDERSTANDINGS RELATED TO ANONYMISATION”.
Sgombrato il campo dagli equivoci più ricorrenti, emerge a chiare lettere l’importanza di procedere ad una valutazione specifica e ponderata al fine di realizzare un processo di anonimizzazione efficace, evitando soluzioni approssimative o completamente automatizzate e, soprattutto, considerando quale oggetto primario da tutelare i diritti e le libertà delle persone coinvolte nel processo di anonimizzazione.
Articolo di Giovanni Ferorelli – Avvocato, consulente in materia di protezione dei dati personali
