LCG – Lecis Cannella Grassi Studio Legale Associato
lock
Resta aggiornato sulle ultime novità
Iscriviti alla Mailing List

Home / Rassegna LCG / In arrivo le Linee Guida EDPB sulla pseudonimizzazione

In arrivo le Linee Guida EDPB sulla pseudonimizzazione

Il Comitato Europeo per la Protezione dei Dati (EDPB) ha adottato gli orientamenti sulla pseudonimizzazione, al fine di chiarire l’uso di tale misura di sicurezza in ottica di compliance al GDPR. Le Linee Guida sono state in consultazione fino allo scorso 28 febbraio.  

A cura dell'Avv. Claudia Bacchiocchi
Il GDPR inquadra la pseudonimizzazione come misura di sicurezza adeguata ed efficace per soddisfare gli obblighi in materia di protezione dei dati. Si ricordi che ai sensi dell’art. 4, par. 5 del GDPR, per pseudonimizzazione si intende il trattamento di dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile. 

Nei suoi orientamenti, l'EDPB chiarisce la definizione e l'applicabilità della pseudonimizzazione nonché i vantaggi della stessa, fornendo importanti chiarimenti giuridici. 

I dati pseudonomizzati, per via del fatto che conservano la caratteristica dell’identificabilità di una persona fisica mediante l'uso di informazioni aggiuntive, rimangono ancora dati personali. Il dato pseudonomizzato non coincide con il dato anonimo. 

Inoltre,l’implementazione di tecniche di pseudonimizzazione richiede necessariamente lo svolgimento di tre attività, l’una consequenziale all’altra: in primo luogo, è necessario intervenire sul dato, procedendo con la sua modifica (si pensi al caso in cui il nominativo di un dipendente venga sostituito con il numero di matricola assegnato automaticamente dal sistema di gestione del personale); in un secondo momento, la separazione delle informazioni aggiuntive necessarie per l’identificazione dell’interessato (nell’esempio precedente, la definizione di due distinti elenchi: uno contenente i nominativi dei dipendenti ed l’associato numero di matricola e l’altro i soli numeri di matricola); da ultimo, è necessario definire un sistema di misure di sicurezza sia tecniche che organizzative per consentire la non attribuzione dei dati agli interessati (come potrebbe essere il caso di accessi riservati all’elenco completo, eventualmente protetto anche da password). 

Le Linee Guida valorizzano il ruolo “ausiliario” della pseudonimizzazione nell’adempimento degli obblighi in materia di protezione dei dati dalla progettazione e per impostazione predefinita di cui all’art. 25 GDPR: la pseudonimizzazione riduce la possibilità di identificare l'interessato, limitando così il danno potenziale in caso di incidente di sicurezza.  

Merita specifica menzione altresì la pseudonimizzazione nell’ambito dei trasferimenti di dati al di fuori dello Spazio Economico Europeo: la pseudonimizzazione prima del trasferimento riduce il rischio di violazioni e semplifica la dimostrazione del rispetto delle garanzie appropriate previste dagli articoli 44 e seguenti. Tuttavia, è fondamentale ricordare che l'efficacia della pseudonimizzazione nell’ambito del trasferimento di dati dipende fortemente dalla robustezza delle misure tecniche e organizzative implementate per proteggere le informazioni aggiuntive necessarie per la ri-identificazione. Potrebbe non essere di per sé sufficiente.