Lo spettro dell’identificabilità privacy
A cura di Dilaxia
Si narra che il serpente Shauiran del monte Chang risponda con la coda se colpito sul capo, colpito sulla coda risponda col capo e se colpito nel mezzo risponda con entrambi.
Una simbologia che calza a pennello le dimensioni di una coperta privacy troppo corta per il sempre più esteso database digitale e che testimonia perfettamente l’interpretabilità e la difficoltà nello stabilire limiti oggettivi.
Se nella criminalità sono le zone d’ombra quelle privilegiate dai malintenzionati, nell’evoluto mondo digitale sono le dinamiche “scoperte” dall’ombrello privacy a togliere il sonno al mondo delle autorità privacy, dal Garante in giù.
L’importanza della pseudonimizzazione dei dati
L’innovazione tecnologica in continua evoluzione determina uno scenario costantemente in movimento che crea non poche difficoltà a identificare le adeguate contromisure.
Uno dei temi saliti alla ribalta è appunto la “pseudonimizzazione” o “depersonalizzazione” del dato, attraverso informazioni più generiche, distorte oppure tramite accessi garantiti esclusivamente dalla crittografia.
Il troppo ha le stesse sembianze del poco quando per evitare l’eccesso di velocità si mette il carro davanti ai buoi, ottenendo sì il risultato desiderato, ma rendendo di fatto inutile l’intero processo.
Quando è identificabile l’individuo secondo il GDPR?
Il considerando 26 del GDPR precisa quando un individuo è identificabile:
“Per stabilire l’identificabilità di una persona è opportuno considerare tutti i mezzi, come l’individuazione, di cui il titolare del trattamento o un terzo può ragionevolmente avvalersi per identificare detta persona fisica direttamente o indirettamente.
Per accertare la ragionevole probabilità di utilizzo dei mezzi per identificare la persona fisica, si dovrebbe prendere in considerazione l’insieme dei fattori obiettivi, tra cui i costi e il tempo necessario per l’identificazione, tenendo conto sia delle tecnologie disponibili al momento del trattamento, sia degli sviluppi tecnologici.
I principi di protezione dei dati non dovrebbero pertanto applicarsi a informazioni anonime, vale a dire informazioni che non si riferiscono a una persona fisica identificata o identificabile o a dati personali resi sufficientemente anonimi da impedire o da non consentire più l’identificazione dell’interessato.
Il presente regolamento non si applica pertanto al trattamento di tali informazioni anonime, anche per finalità statistiche o di ricerca”.
La creazione dello spettro dell’identificabilità
Per chiarire ulteriormente i numerosi dubbi e mettere dei paletti tra individui “identificabili”, “de-identificati” e “ragionevolmente identificabili“ è stato creato lo spettro dell’identificabilità.
Ecco gli esempi:
Informazioni non indentificabili
- Informazioni non (o lontanamente) correlate a un individuo. (Es. Google Street View del quartiere Nord); Informazioni correlate ad un individuo, ma non distinguibile da tutti gli altri. (Es. Un uomo che vive nel palazzo più alto di via Matteotti);
- Informazioni identificabili con un ragionevole sforzo da parte del ricercatore nell’estrapolare informazioni e correlarle tra loro. (Es. Il signor Rossi vive nel quartiere Nord);
- Informazioni che potenzialmente rendono identificabile il soggetto se correlate ad altre informazioni, che in quel momento non sono presenti. (Es. Il signor Rossi, nato nel 1980, che vive nel quartiere Nord);
Informazioni identificabili
- Informazioni ragionevolmente identificabili per via della possibile correlazione con altre informazioni presenti. (Es. Il Signor Rossi vive in uno dei palazzi più alti della città. Il Signor Rossi abita in via Matteotti, nel quartiere Nord. Il Signor Rossi è nato nel 1980);
- Informazioni che rendono il soggetto identificabile. (Es. Giuseppe Rossi, nato 1 maggio 1980, abita in Via Matteotti 8, nel Quartiere Nord);
Informazioni de-indentificabili
- De-identificazione molto limitata, con una manipolazione basilare dei dati, che può essere vana tramite una correlazione abbastanza semplice. (Es. Usare un anno di nascita/nome della via/informazioni sul palazzo distorte, ma resta l’unico Signor Rossi del quartiere);
- De-identificazione limitata, simile alla precedente, ma con uno sforzo in più sia nella manipolazione, sia nell’eventuale ricerca. (Es. Non menzionare alcuna informazione riguardante l’abitazione);
- Informazioni anonime, impossibili da correlare a individui. (Es. Non menzionare cognome, data di nascita, palazzo e via).