Lo spettro dell’identificabilità privacy

Lo spettro dell’identificabilità privacy
del
11/4/2023
, sorgente
Redazione UTOPIA

Si narra che il serpente Shauiran del monte Chang risponda con la coda se colpito sul capo, colpito sulla coda risponda col capo e se colpito nel mezzo risponda con entrambi.

Una simbologia che calza a pennello le dimensioni di una coperta privacy troppo corta per il sempre più esteso database digitale e che testimonia perfettamente l’interpretabilità e la difficoltà nello stabilire limiti oggettivi.

Se nella criminalità sono le zone d’ombra quelle privilegiate dai malintenzionati, nell’evoluto mondo digitale sono le dinamiche “scoperte” dall’ombrello privacy a togliere il sonno al mondo delle autorità privacy, dal Garante in giù.

L’importanza della pseudonimizzazione dei dati

L’innovazione tecnologica in continua evoluzione determina uno scenario costantemente in movimento che crea non poche difficoltà ad identificare le adeguate contromisure.

Uno dei temi saliti alla ribalta è appunto la “pseudonimizzazione” o “depersonalizzazione” del dato, attraverso informazioni più generiche, distorte oppure tramite accessi garantiti esclusivamente dalla crittografia.

Il troppo ha le stesse sembianze del poco quando per evitare l’eccesso di velocità si mette il carro davanti ai buoi, ottenendo sì il risultato desiderato, ma rendendo di fatto inutile l’intero processo.

Quando è identificabile l’individuo secondo il GDPR?

Il considerando 26 del GDPR precisa quando un individuo è identificabile:

Per stabilire l'identificabilità di una persona è opportuno considerare tutti i mezzi, come l'individuazione, di cui il titolare del trattamento o un terzo può ragionevolmente avvalersi per identificare detta persona fisica direttamente o indirettamente.

Per accertare la ragionevole probabilità di utilizzo dei mezzi per identificare la persona fisica, si dovrebbe prendere in considerazione l'insieme dei fattori obiettivi, tra cui i costi e il tempo necessario per l'identificazione, tenendo conto sia delle tecnologie disponibili al momento del trattamento, sia degli sviluppi tecnologici.

I principi di protezione dei dati non dovrebbero pertanto applicarsi a informazioni anonime, vale a dire informazioni che non si riferiscono a una persona fisica identificata o identificabile o a dati personali resi sufficientemente anonimi da impedire o da non consentire più l'identificazione dell'interessato.

Il presente regolamento non si applica pertanto al trattamento di tali informazioni anonime, anche per finalità statistiche o di ricerca”.

La creazione dello spettro dell’identificabilità

Per chiarire ulteriormente i numerosi dubbi e mettere dei paletti tra individui “identificabili”, “de-identificati” e “ragionevolmente identificabili" è stato creato lo spettro dell’identificabilità

Ecco gli esempi:

Informazioni non indentificabili

  • Informazioni non (o lontanamente) correlate a un individuo. (Es.Google Street View del quartiere Nord);Informazioni correlate ad un individuo, ma non distinguibile da tutti gli altri. (Es. Un uomo che vive nel palazzo più alto di via Matteotti);

  • Informazioni identificabili con un ragionevole sforzo da parte del ricercatore nell’estrapolare informazioni e correlarle tra loro. (Es. Il signor Rossi vive nel quartiere Nord);

  • Informazioni che potenzialmente rendono identificabile il soggetto se correlate ad altre informazioni, che in quel momento non sono presenti. (Es. Il signor Rossi, nato nel 1980, che vive nel quartiere Nord);

Informazioni identificabili

  • Informazioni ragionevolmente identificabili per via della possibile correlazione con altre informazioni presenti. (Es. Il Signor Rossi vive in uno dei palazzi più alti della città. Il Signor Rossi abita in via Matteotti, nel quartiere Nord. Il Signor Rossi è nato nel 1980);

  • Informazioni che rendono il soggetto identificabile. (Es. Giuseppe Rossi, nato 1 maggio 1980, abita in Via Matteotti 8, nel Quartiere Nord);

Informazioni de-indentificabili

  • De-identificazione molto limitata, con una manipolazione basilare dei dati, che può essere vana tramite una correlazione abbastanza semplice. (Es. Usare un anno di nascita/nome della via/informazioni sul palazzo distorte, ma resta l’unico Signor Rossi del quartiere);

  • De-identificazione limitata, simile alla precedente, ma con uno sforzo in più sia nella manipolazione, sia nell’eventuale ricerca. (Es. Non menzionare alcuna informazione riguardante l’abitazione);

  • Informazioni anonime, impossibili da correlare a individui. (Es. Non menzionare cognome, data di nascita, palazzo e via).

Iscriviti alla Newsletter di UTOPIA.

Iscriviti alla Newsletter per ricevere il Privacy Digest che include un riepilogo bisettimanale degli ultimi articoli del Blog e le ultime novità di UTOPIA.

Iscrizione avvenuta con successo!
Ops! Qualcosa è andato storto. Ricarica la pagina e riprova...
 SCOPRI TUTTE LE NEWS SUL GDPR

Rimani aggiornato sul mondo GDPR e ricevi l'infografica sull'accountability documentale

Scopri quali sono gli adempimenti documentali obbligatori e consigliati a fronte dell’entrata in vigore del nuovo regolamento europeo sulla protezione dei dati personali.

Crea il tuo account personale in meno di un minuto e scopri tutte le potenzialità di UTOPIA. Tutto incluso e senza alcuna limitazione, gratuitamente, per 14 giorni.

infographic
Iscrizione effettuata con successo!
Abbiamo inviato una email all'indirizzo che hai scelto con il link per scaricare l'infografica sull'accountability documentale. Assicurati che non sia andata a finire nello SPAM.
Ops! Si è verificato un errore. Ricarica la pagina e riprova...