Il 16 gennaio 2025 l’European Data Protection Board ha adottato le linee guida in materia di pseudonimizzazione, approfondendone la definizione, individuandone l’ambito di applicazione e delineando delle indicazioni per coloro che trattano dati personali, al fine di facilitare l’applicazione del GDPR.
European Data Protection Board – Linee guida sulla pseudonimizzazione
Anno 2025
Il documento si apre con un paragrafo introduttivo che richiama la definizione di pseudonimizzazione quale “trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l'utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile” (art. 4(5) GDPR).
L’effetto auspicato è il controllo della riconducibilità delle informazioni ad individui specifici, garantendo che i soggetti che trattano dati pseudonimizzati non abbiano accesso ad ulteriori dati personali non necessari ai loro scopi. Questo risultato si può conseguire attraverso tre passaggi
- Modificazione del dato personale
- Conservazione separata delle informazioni aggiuntive che consentono di attribuire un determinato dato personale ad un individuo specifico
- Adozione di misure tecniche ed organizzative al fine di garantire che i dati personali non siano attribuibili ad una specifica persona
Nel secondo paragrafo si occupa di definire sul piano legale i concetti di trasformazione di pseudonimizzazione (pseudonymising transformation), attribuzione dei dati personali ad un determinato soggetto (attribute data to a specific (identified) person) e di informazione aggiuntiva (additional information), precisando che i dati pseudoniminizzati proprio in quanto riconducibili ad una persona determinata, sono dati personali e pertanto sono assoggettati alla disciplina dettata dal GDPR (paragrafo 2, punto 22).
Individua poi gli obiettivi e i vantaggi del processo di pseudonimizzazione, quali
- riduzione dei rischi di violazione della riservatezza dei dati (confidentiality risks), di utilizzo dei dati per scopi incompatibili con il fine per cui questo è stato concesso (risks of function creep) e di errata attribuzione dei dati (risks to accuracy);
- facilita il collegamento di diversi dati pseudonimizzati relativi alla stessa persona;
- favorisce il rispetto dei principi di minimizzazione, legalità, correttezza e accuratezza in materia di protezione dei dati;
Introduce il concetto di dominio di pseudonimizzazione, inteso come il contesto, in cui, grazie all’applicazione del processo di pseudonimizzazione, i dati pseudonimizzati non possono essere ricondotti a specifici soggetti in assenza delle informazioni aggiuntive. Questo contesto, che comprende l’insieme delle persone che vi operano, i relativi aspetti organizzativi e i dispositivi informatici a disposizione, è definito dal titolare del trattamento sulla base di un’analisi dei rischi (paragrafo 2.3).
Indica una serie di indicazioni da adottare qualora i dati pseudonimizzati debbano essere trasmessi a terzi (paragrafo 2.5). In particolare, è necessario che il titolare del trattamento valuti se
- la riduzione dei rischi ottenuta dalla pseudonimizzazione sia ancora efficace quando i dati vengono trasmessi a terzi;
- sia necessario trasmettere tutti i dati pseudonimizzati, compresi gli pseudomini;
- sia necessario modificare o sostituire gli pseudonimi prima della trasmissione.
Nel processo di trasmissione dei dati a terzi, da un lato, il titolare del trattamento dovrebbe eseguire un nuovo processo di pseudonimizzazione, definendo il relativo dominio. Dall’altro lato, il destinatario di tale condivisione dovrebbe contribuirvi informando il trasmittente - responsabile della tutela dei dati – in merito ai rischi che possono insorgere nel trattamento dei dati.
Nell’eventualità in cui i dati oggetto di condivisione siano le informazioni aggiuntive, il titolare del trattamento potrebbe stipulare un accordo con il destinatario per garantire che esse non diventino disponibili nel dominio di pseudonimizzazione e che siano pertanto rispettati gli obblighi relativi al trattamento dei dati personali.
Infine, stabilisce che un’eventuale inversione del processo di pseudonimizzazione (che consenta l’identificazione dei dati personali e la riconducibilità ad una persona identificata o identificabile) costituisce una violazione dei dati personali che ai sensi dell’art. 33(5), GDPR fa sorgere in capo al responsabile del trattamento un obbligo di documentazione della violazione.
Il terzo paragrafo illustra le misure tecniche e le garanzie necessarie per l’attuazione del processo di pseudonimizzazione. A tal proposito, individua, a titolo esemplificativo, due tipi di trasformazione di pseudonimizzazione e ne chiarisce i passaggi al fine di guidare gli operatori nella sua esecuzione (paragrafo 3.2).
Inoltre, definisce le misure tecniche ed organizzative funzionali ad impedire l’attribuzione non autorizzata di dati pseudonimizzati a persone identificate o identificabili (paragrafo 3.3).
Si conclude con una sintesi dei passaggi e delle indicazioni da applicare al fine di effettuare efficacemente il processo di pseudonimizzazione.
Infine, vi è un allegato che riporta dieci situazioni esemplificative del processo di pseudonimizzazione nel quale sono indicate anche le disposizioni del GDPR a cui tale meccanismo consente di dare attuazione.
Il testo delle linee guida è disponibile al seguente link e nel box download.
Ilaria Zanotto
Pubblicato il: Giovedì, 16 Gennaio 2025 - Ultima modifica: Mercoledì, 05 Febbraio 2025
