Che cos’è la pseudonimizzazione? Vediamo quanto sei protetto online

Che cos’è la pseudonimizzazione? Vediamo quanto sei protetto online

di Federico Vincenzi

Capita che nel seguire un progetto il cliente mi dica: “tranquillo avvocato, i dati sono anonimi”.

Io: “Ah, bene. E come fa a dire una cosa del genere?”.

Cliente: “Abbiamo tolto il nome e il cognome!”

Questo siparietto mi ha accompagnato spesso. Al netto della buona fede del cliente, la convinzione che basti togliere il nome e il cognome per rendere un dato anonimo è sbagliata quanto diffusa. Non è così semplice. 

Ma è molto importante, perché un dato anonimo non è dato personale, con tutte le conseguenze legali (in primis la non applicazione del GDPR al dato anonimo).

Facciamo qualche veloce precisazione. Innanzitutto è raro, rarissimo che un dato nasca anonimo. Semmai il più delle volte viene anonimizzato. Il che significa che fino a quanto non è stato indissolubilmente slegato dalla persona cui si riferisce era un dato personale. I più attenti avranno notato un avverbio: indissolubilmente. Ebbene sì, il dato è anonimo quanto sia impossibile ricondurlo alla persona cui si riferisce. E se consideriamo la potenza di incrocio dei dati che oggi possediamo, ci rendiamo conto di quanto sia difficile raggiungere tale obiettivo: abbinando infatti i dati anonimizzati con altre informazioni potremmo risalire al soggetto, applicando logiche, deduzioni o altri meccanismi, non importa quali.

Cos’è la pseudonimizzazione?

La legge è consapevole di questa difficoltà, ed ha introdotto una sfumatura: la pseudonimizzazione. Di fatto essa consiste nel frazionare e dividere le informazioni (i dati) che si riferiscono ad un soggetto in modo tale che non sia identificabile se non utilizzando un’informazione ulteriore, che ovviamente andrebbe tenuta in ambiente separato (altrimenti se si lascia la chiave nella serratura l’accorgimento vale poco). 

Ma veniamo al dunque: immaginiamo che i dati in questione siano Nome, Cognome, Storico Acquisti, Profilazione. Immaginiamo di dividere tali dati in quattro scatole: 

A) nome e cognome;

B) storico acquisti; 

C) esito della profilazione;

D) cosa mettiamo?

Ora, se dovessero “bucare” uno di questi contenitori, avrebbero una informazione che in sé sarebbe nella maggior parte dei casi banale (nome e cognome) o non sarebbe riferita ad alcuno (storico acquisti, ma di chi?). Ecco quindi che al malintenzionato che avesse intenzione di rubare tutti i dati viene opposta una certa difficoltà, perché per avere una informazione completa o almeno significativa li dovrà bucare tutti, o almeno  A, e alternativamente B o C (ho dato per sottinteso che questi database siano almeno logicamente separati). Qualcuno si chiederà: e D? Beh, D contiene la chiave che permette di collegare A, B e C, quindi va tenuta, lo ripeto, a parte.

Questa in poche parole è la pseudonimizzazione. Non è una protezione perfetta, ma è un buon inizio.

Perché, come diceva un mio cliente ladro: “non esiste la macchina che non so rubare, ma se è parcheggiata in modo difficile ne cerco un’altra”.

Ringraziamo l’Avvocato Federico Vincenzi per questo suo gentile contributo e per tutti voi siamo a disposizione per mettere in sicurezza i vostri dati.

Infine, se desideri avere maggiori informazioni sull’argomento, completa il form qui sotto e ti contatteremo presto!

 Accetto l'informativa sulla privacy policy descritta qui

     Desidero iscrivermi alla newsletter