Pseudonimizzazione.

La pseudonimizzazione è la tecnica definita dall'articolo 4(5) del GDPR che consiste nel sostituire gli identificatori diretti con token reversibili, conservando la chiave separatamente. Riduce il rischio e favorisce un atteggiamento positivo da parte delle autorità di controllo, ma il dato rimane un dato personale. L'anonimizzazione è la tecnica che consente di uscire completamente dal perimetro del GDPR; la pseudonimizzazione no. Attenzione alla confusione tra i due concetti.

By Christophe Mazzola, Practicing CISO · Founder of Cyber AcademyPrivacy & data protectionAll entries

Il punto di vista di Cyber Academy

La pseudonimizzazione è la tecnica definita dall'articolo 4(5) del GDPR che consiste nel sostituire gli identificatori diretti con token reversibili, conservando la chiave separatamente. Riduce il rischio e favorisce un atteggiamento positivo da parte delle autorità di controllo, ma il dato rimane un dato personale. L'anonimizzazione è la tecnica che consente di uscire completamente dal perimetro del GDPR; la pseudonimizzazione no. Attenzione alla confusione tra i due concetti.

Cosa fa davvero la pseudonimizzazione

La pseudonimizzazione è una tecnica di protezione dei dati, non uno stato che il dato raggiunge. Si prendono i campi che indicano direttamente una persona, il nome, l'indirizzo e-mail, il numero nazionale di identità, e li si sostituisce con un token: un identificativo casuale, un riferimento codificato, un valore cifrato. La corrispondenza che riconverte il token nell'identità reale, la chiave, è conservata separatamente e protetta con misure tecniche e organizzative proprie. Chiunque lavori con il set di dati pseudonimizzato può analizzarlo, condividerlo o eseguire test su di esso senza vedere a chi appartengono i record, mentre l'organizzazione conserva la capacità di reidentificare quando ha un motivo legittimo per farlo.

Il GDPR nomina esplicitamente questa tecnica e la tratta come una garanzia raccomandata. Compare come modo per soddisfare la protezione dei dati fin dalla progettazione e per impostazione predefinita, come misura in grado di ridurre il rischio residuo di un trattamento, e come fattore che le autorità di controllo valutano favorevolmente quando stabiliscono se hai fatto abbastanza. Usarla è un segnale che hai preso sul serio la sicurezza e la minimizzazione. È la buona disposizione a cui rimanda la definizione breve, ed è reale, ma non cambia la natura giuridica del dato.

La pseudonimizzazione non è anonimizzazione

Questa è la confusione che mette nei guai le organizzazioni. Poiché un record pseudonimizzato non porta più un nome visibile, si presume che sia uscito dall'ambito del regolamento. Non lo è. La pseudonimizzazione è reversibile per progettazione: la chiave esiste, quindi il dato può essere ricollegato a una persona identificabile, quindi resta un dato personale e ogni obbligo continua ad applicarsi. L'anonimizzazione è il patto opposto. È irreversibile, il collegamento con l'individuo è distrutto in modo così completo che la reidentificazione non è più ragionevolmente possibile con alcun mezzo che si possa verosimilmente utilizzare, e solo allora il dato esce del tutto dal GDPR.

Pseudonimizzazione contro anonimizzazione
AspettoPseudonimizzazioneAnonimizzazione
ReversibileSì, tramite la chiave conservata separatamenteNo, il collegamento è distrutto
Resta un dato personaleNo
Si applica il GDPRSì, integralmenteNo
Finalità tipicaRidurre il rischio mantenendo utilità e reidentificazioneFar uscire il dato dall'ambito, spesso per la pubblicazione aperta

Cosa fanno davvero i professionisti

In pratica la pseudonimizzazione è una disciplina di ingegneria e di governance più che un singolo interruttore. Lo scopo di separare la chiave è vanificato se lo stesso team, sistema o backup detiene sia i token sia la corrispondenza, quindi i controlli attorno alla chiave contano quanto la tokenizzazione stessa.

  • Sostituire gli identificatori diretti con token, usando metodi come l'hashing con chiave, la cifratura o una tabella di consultazione di riferimenti casuali.
  • Conservare la chiave di reidentificazione separatamente, sotto un controllo degli accessi più rigoroso rispetto al set di dati di lavoro, idealmente in capo a un team diverso.
  • Premunirsi contro la reidentificazione indiretta, in cui combinazioni rare dei campi restanti (un codice postale, più una data di nascita, più una qualifica professionale) permettono di isolare qualcuno anche senza nome.
  • Documentare la tecnica nel registro dei trattamenti e nella DPIA, e trattare il dato pseudonimizzato come dato personale ai fini della valutazione delle violazioni, della conservazione e dei diritti degli interessati.

Fatta bene, la pseudonimizzazione consente ad analisi, ricerca e test software di operare su dati realistici riducendo al contempo il raggio d'impatto di una violazione, perché un attaccante che ottiene i token senza la chiave dispone di molto meno. Fatta con noncuranza, con la chiave raggiungibile o gli identificatori indiretti ignorati, offre l'apparenza della protezione senza la sostanza, e l'organizzazione si fa comunque carico di ogni obbligo che credeva di aver eluso.

Frequently asked questions

01La pseudonimizzazione fa uscire i miei dati dall'ambito del GDPR?

No. I dati pseudonimizzati sono reversibili perché la chiave di reidentificazione esiste ancora, quindi restano dati personali e il GDPR si applica integralmente. Solo l'anonimizzazione irreversibile fa uscire i dati dall'ambito del regolamento.

02Qual è la differenza tra pseudonimizzazione e anonimizzazione?

La pseudonimizzazione è reversibile e mantiene il dato collegabile a una persona tramite una chiave conservata separatamente, quindi resta un dato personale. L'anonimizzazione è irreversibile e distrugge quel collegamento così che la reidentificazione non sia più ragionevolmente possibile, il che fa uscire il dato dall'ambito del GDPR.

03Perché vale la pena pseudonimizzare se il dato resta comunque regolamentato?

Riduce il rischio e sostiene la protezione dei dati fin dalla progettazione. Limita chi può vedere le identità reali, riduce l'impatto di una violazione e conta come misura favorevole di sicurezza e minimizzazione quando un'autorità di controllo valuta il tuo trattamento.

04Dove conservo la chiave di reidentificazione?

Separatamente dal set di dati pseudonimizzato, sotto controlli di accesso più rigorosi e idealmente gestita da un team o sistema diverso. Se le stesse persone o gli stessi backup detengono sia i token sia la chiave, la separazione che rende significativa la pseudonimizzazione è venuta meno.

05I dati pseudonimizzati possono comunque essere reidentificati per caso?

Sì. Anche senza identificatori diretti, combinazioni rare degli attributi restanti come codice postale, data di nascita e occupazione possono isolare un individuo. Premunirsi contro questa reidentificazione indiretta fa parte di una pseudonimizzazione fatta come si deve.

Hai bisogno di più di una definizione?

Prenota una chiamata di discovery gratuita di 20 minuti. Mappiamo la coorte che trasforma questo termine in una pratica pronta per l'audit.