Privacy by Design

PETs, le tecnologie che rafforzano la privacy in linea col GDPR



Indirizzo copiato

L’anonimizzazione e le Privacy Enhancing Technologies (PETs) emergono come strumenti cruciali nell’era del GDPR per proteggere i dati personali, garantendo conformità e sicurezza. Queste metodologie minimizzano i rischi di identificazione impropria, rafforzando la fiducia tra aziende e clienti, pur navigando le sfide di definizioni legali e applicazione

Pubblicato il 7 feb 2024

Francesca Niola

Fellow – ISLC, Università degli Studi di Milano



GDPR

Nell’era del GDPR, l’anonimizzazione e le Privacy Enhancing Technologies (PETs) rappresentano strumenti indispensabili nella salvaguardia dei dati personali, fungendo da baluardo contro la loro identificazione impropria.

Per ampliare l’analisi sull’importanza dell’anonimizzazione e delle Privacy Enhancing Technologies (PETs) nel trattamento dei dati personali, consideriamo la complessa interazione tra la necessità di proteggere la privacy individuale e l’impellente bisogno di analisi dati per l’avanzamento tecnologico e sociale.

L’anonimizzazione, processo che trasforma i dati personali in un formato non riconducibile a un individuo specifico, diventa essenziale per garantire la conformità al GDPR. Questo processo non solo elimina i rischi associati alla violazione della privacy, ma permette anche l’utilizzo sicuro dei dati in ambiti come la ricerca e l’analisi di mercato.

Tuttavia, il raggiungimento di un’autentica anonimizzazione è complesso, richiedendo un’attenta valutazione per assicurare che non ci sia alcuna possibilità di ricollegare i dati al soggetto originale, considerando tutte le informazioni potenzialmente disponibili.

Anonimizzazione e PETs

Le PETs, d’altro canto, comprendono un insieme di strumenti e metodologie progettate per rafforzare la sicurezza dei dati personali. Queste tecnologie giocano un ruolo fondamentale nel ridurre la visibilità dei dati sensibili durante la loro elaborazione e trasferimento, mitigando i rischi di esposizione e abuso. L’adozione efficace di PETs non solo aiuta le organizzazioni a rispettare i requisiti normativi, ma fornisce anche una maggiore fiducia nei confronti dei soggetti interessati, rafforzando la relazione tra aziende e clienti.

La distinzione tra anonimizzazione e pseudonimizzazione

Nel contesto del Regolamento Generale sulla Protezione dei Dati (GDPR), la distinzione tra anonimizzazione e pseudonimizzazione assume un’importanza fondamentale. La prima comporta una trasformazione irreversibile dei dati personali in dati anonimi, in modo tale che l’identificazione del soggetto non sia più possibile. Una volta anonimizzati, i dati escono dall’ambito di applicazione del GDPR, poiché cessano di essere considerati “dati personali”​​.

Questo processo, però, non è esente da sfide. Le tecniche di anonimizzazione devono garantire l’impossibilità di ricollegare i dati al soggetto originale, considerando tutte le informazioni potenzialmente disponibili, inclusi i progressi tecnologici​​​​. D’altra parte, la pseudonimizzazione, pur riducendo il rischio di identificazione, non elimina completamente la possibilità di ricollegare i dati al soggetto di riferimento. Questa tecnica sostituisce gli identificatori personali con riferimenti non identificativi, rendendo necessario l’uso di informazioni aggiuntive per l’identificazione del soggetto. Tuttavia, i dati pseudonimizzati rimangono all’interno dell’ambito di applicazione del GDPR, godendo di maggiore libertà rispetto ai dati personali completamente identificati. La pseudonimizzazione viene riconosciuta dal GDPR come un’efficace misura di sicurezza e come un modo per conformarsi agli standard di minimizzazione dei dati​​.

Il ruolo cruciale delle Privacy Enhancing Technologies

Le Privacy Enhancing Technologies (PETs) giocano un ruolo cruciale in questo contesto: tecniche come la privacy differenziale, l’uso di dati sintetici, e la crittografia omomorfica possono avere risultati pratici simili all’anonimizzazione, mascherando i dati in ogni momento​​​​. Nella sfera giuridica che governa la protezione dei dati personali, il GDPR stabilisce il paradigma legale entro il quale operano le Privacy Enhancing Technologies (PETs).

Tra queste, la privacy differenziale, i dati sintetici e la crittografia omomorfica emergono come tecniche prediligibili per il loro potenziale di allineamento con i principi di “minimizzazione dei dati” e “privacy by design”.

La privacy differenziale

La privacy differenziale si configura come un meccanismo di tutela dell’anonimato nei processi di analisi dei dati. In termini giuridici, questa tecnologia si affianca ai principi di minimizzazione e integrità dei dati imposti dall’articolo 5 del GDPR, poiché la sua implementazione implica l’impossibilità di risalire agli individui da cui tali dati sono stati raccolti. Inoltre, applica un approccio probabilistico nella valutazione del rischio, inserendo un’incertezza calcolata che si traduce in una protezione efficace contro la determinazione dell’identità, in linea con il Considerando 26 del GDPR.

I dati sintetici

I dati sintetici, dal canto loro, rappresentano una frontiera di particolare interesse nel diritto della privacy. La loro produzione e utilizzo, regolamentati dalla normativa, devono rifuggire ogni possibilità di ricondurre i dati agli individui originari, adeguandosi quindi alla definizione di “dati non personali” ai sensi del GDPR. Questa categoria di dati, dunque, si colloca al di fuori del perimetro di applicazione del regolamento, offrendo un ampio margine di manovra per l’utilizzo analitico e statistico dei dati.

La crittografia omomorfica

La crittografia omomorfica si presenta come una soluzione che consente l’elaborazione dei dati personali in forma crittografata, senza mai esporre i dati in chiaro. Tale tecnica garantisce la riservatezza dei dati durante l’intero ciclo di vita del trattamento, conformandosi al principio di “privacy by design” e assicurando che le operazioni effettuate sui dati personali non compromettano la riservatezza degli stessi.

Regime giuridico e problemi di definizione

Nel contesto del Regolamento Generale sulla Protezione dei Dati (GDPR), l’assenza di una definizione legislativa precisa di “anonimizzazione” pone una sfida significativa. L’articolo 4 del GDPR delinea il concetto di “pseudonimizzazione” ma omesso una trattazione equipollente per l’anonimizzazione, lasciando agli operatori del settore e agli organi giurisdizionali il compito di interpretare la sua portata ai sensi del regolamento. Questa lacuna non è trascurabile, poiché incide sulla capacità di valutare la conformità delle azioni di trattamento dei dati all’interno del quadro normativo europeo.

Sfide legali dell’anonimizzazione

La responsabilità legale e l’onere probatorio nell’ambito del GDPR gravano pesantemente sui responsabili del trattamento dei dati. L’articolo 5 comma 1 lett. f) impone il principio di “integrità e riservatezza”, che obbliga i titolari del trattamento a implementare misure adeguate a prevenire il trattamento non autorizzato o illecito e la perdita accidentale dei dati. La mancata osservanza di queste misure può comportare sanzioni amministrative significative, come delineato dall’articolo 83.

I principi di minimizzazione del trattamento impongono che i dati debbano essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati (articolo 5 comma 1 lett.c).

Le organizzazioni devono quindi esaminare criticamente la necessità di ogni pezzo di dati personali che raccolgono e trattano, adottando PETs come la privacy differenziale e la pseudonimizzazione per minimizzare i rischi.

Le basi giuridiche per l’anonimizzazione

Per quanto riguarda le basi giuridiche, l’anonimizzazione dei dati deve trovare fondamento nelle condizioni di liceità elencate all’articolo 6 del GDPR. Il trattamento deve essere necessario per l’esecuzione di un contratto, per adempiere a un obbligo legale, per la protezione degli interessi vitali del soggetto dei dati o di un’altra persona, o per l’esecuzione di un compito di interesse pubblico o nell’esercizio di ufficiali autorità (articoli 6 comma 1 lett.b – e).

Le sfide nell’assicurare l’irreversibilità dell’anonimizzazione sono accentuate dall’evoluzione tecnologica. L’articolo 29 Working Party (ora Comitato Europeo per la Protezione dei Dati) ha sottolineato che le tecniche di anonimizzazione devono essere robuste abbastanza da resistere agli attacchi di re-identificazione nel tempo. Esempi pratici, come il caso Netflix, dove dati pseudonimizzati sono stati re-identificati, evidenziano le difficoltà pratiche e le potenziali conseguenze legali in caso di fallimento delle tecniche di anonimizzazione.

EU Stories - La coesione innova l'Italia

Tutti
Analisi
Video
Iniziative
Social
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Articolo 1 di 3