Introduzione
Nei precedenti articoli della serie è stato introdotto, sotto un profilo legale, il tema dei Big Data. Si è inoltre cercato di illustrare i principi alla base dell’attuale normativa e il modo in cui questi debbano essere tenuti in considerazione quando si elaborano grandi quantità di dati personali.
In questo terzo articolo, a conclusione della serie, verrà delineata la disciplina applicabile ai trattamenti di dati anonimi. Si cercherà, in particolare, di evidenziare i vantaggi che questo tipo di elaborazioni comportano rispetto ai trattamenti di dati personali e di illustrare le loro peculiarità.
La disciplina applicabile ai trattamenti di dati anonimi
Soprattutto nel campo dei Big Data, il tema dell’anonimizzazione dei dati personali riveste un ruolo centrale. Infatti, in tale ambito, la riferibilità di un dato ad un soggetto specifico assume in molti casi un’importanza residuale: le attività di elaborazione statistica, di analisi delle tendenze e delle correlazioni tra le informazioni o di Data Discovery, non necessitano di dati personali, bensì di dati aggregati. Ecco perché occorre verificare quale sia la normativa applicabile a questo tipo di trattamenti di dati e quali differenze vi siano rispetto a quella prevista per i trattamenti di dati riguardanti soggetti identificati o identificabili.
Quale normativa applicabile ai dati anonimi?
La risposta alla domanda se anche ai trattamenti di dati anonimi sia applicabile la disciplina prevista dal Codice Privacy, che abbiamo visto nei primi due articoli di questa serie, è relativamente semplice. La direttiva CE n. 46 del 1995, sulla quale si basa la nostra normativa attuale, specifica che i trattamenti di dati anonimi sono esclusi dal suo ambito di applicazione. Ciò significa che non sarà necessario adeguarsi, per la loro elaborazione, a quanto stabilito dal D.Lgs 196/2003. Quindi, ad esempio, non sarà necessario richiedere autorizzazioni o effettuare notificazioni al Garante Privacy prima dell’inizio di determinati trattamenti, e così via; inoltre, nei loro confronti, non avranno efficacia le limitazioni ivi previste, ad esempio in tema di diffusione di dati sanitari, etc.
In realtà, la domanda che invece occorre porsi è: “quando possiamo considerare un dato effettivamente anonimo?”. O, detto altrimenti, ci sono dei criteri specifici sulla base dei quali possiamo ritenere un’informazione non riferibile ad un soggetto determinato?
Quando un dato può essere considerato “anonimo”?
La risposta, purtroppo, è complessa. Il concetto di “dato anonimo”, attualmente, è tra i temi più discussi dagli esperti di privacy. La normativa italiana, che lo descrive come “il dato che in origine, o a seguito di trattamento, non può essere associato ad un interessato identificato o identificabile”, non viene in soccorso di chi si approccia a questo problema.
La definizione proposta, come si può notare, è in realtà tautologica: ci dice che un dato anonimo è un dato non riferibile a un soggetto identificabile, ma non ci fornisce criteri utili per definire, nel concreto, quali dati possano essere effettivamente considerati anonimi.
Un supporto maggiore ci viene fornito dalla Direttiva Europea, secondo cui, “per determinare se una persona è identificabile, è opportuno prendere in considerazione l’insieme dei mezzi che possono essere ragionevolmente utilizzati dal responsabile del trattamento o da altri per identificare detta persona”.
Sulla base di questa indicazione, sia in ambito europeo, sia in ambito nazionale, si è quindi cercato di stabilire criteri più precisi per poter valutare la riferibilità ad un soggetto identificato (o identificabile) di determinati tipi di dati.
Dato anonimo: una determinazione non automatica
Il presupposto, ormai pacifico, è che sia sempre necessaria “un’analisi caso per caso” e che valutazioni aprioristiche, in quest’ ambito, non siano in alcun modo possibili [1]. Accanto a questa indicazione generale, per verificare il carattere “anonimo” o meno di un dato occorrerà determinare, in primo luogo, di quali ulteriori informazioni sono in possesso il titolare del trattamento o il responsabile che, combinati con i dati oggetto di analisi, possono portare all’identificazione dell’interessato.
Si pensi all’indirizzo IP di un utente che naviga su un sito web: se raccolto, ad esempio, da un’azienda farmaceutica non potrà portare all’identificazione di un soggetto, anche se combinato con altri dati che generalmente possiede questo tipo di azienda. Se, diversamente, ci riferiamo a un ISP, quel dato, se associato ad altri dati di norma in possesso del provider, potrebbe portare all’identificazione dell’utente.
In secondo luogo, si dovrà stabilire di quali ulteriori strumenti giuridici dispone il soggetto che elabora i dati per poter identificare, a partire da una determinata informazione, il soggetto a cui questa si riferisce. In questo caso, l’ipotesi tipica è quella delle Pubbliche Amministrazioni, che possono accedere, sulla base di specifici provvedimenti, a banche dati di terzi cioè di altri soggetti pubblici.
Infine, andrà accertato se il procedimento finalizzato alla reidentificazione dell’interessato possa avvenire solo attraverso un dispendio di attività, di energie e di spesa del tutto sproporzionato rispetto all’interesse all’identificazione [2]. In determinati casi, infatti, anche se tecnicamente fattibile, l’attività di reidentificazione è talmente onerosa da escludere ab origine la sua effettiva realizzazione.
Solo alla luce di questi criteri, verificati in concreto di volta in volta, si potrà svolgere una valutazione circa l’effettiva riferibilità di un dato a un soggetto identificato o identificabile, e quindi eventualmente considerarlo “anonimo”.
Il trattamento di dati personali finalizzato all’anonimizzazione delle informazioni
Il quadro normativo che emerge da quanto fin qui rappresentato risulta, ovviamente, più semplice e vantaggioso rispetto a quello previsto per i trattamenti di dati personali: chi elabora questo tipo di dati non dovrà più preoccuparsi del rispetto della normativa privacy, particolarmente complessa e onerosa, in modo analogo a quando si trattano dati di persone giuridiche.
Vi è però un ulteriore problema che si presenta quando si vuole operare in questo campo: nella maggior parte dei casi i dati che vengono raccolti in rete o in altri ambiti, o che sono già in possesso di un soggetto, sono dati che, alla luce dei criteri che abbiamo indicato, non possono essere considerati anonimi. Sono rare le ipotesi in cui un soggetto acquisisce direttamente informazioni non riferibili ad un soggetto identificato o identificabile.
L’attività di anonimizzazione, di solito, viene svolta da parte del titolare del trattamento stesso. Occorre chiedersi, a questo punto, se tale attività possa essere considerata come un “trattamento” autonomo di dati personali ai sensi dell’attuale normativa europea.
Il Working Party 29 dell’Unione Europea, in modo molto netto, ha dato risposta affermativa a questa domanda: da ciò consegue che anche questa finalità del trattamento, vale a dire l’elaborazione di dati personali volta alla loro anonimizzazione, dovrà essere distinta dagli ulteriori scopi per cui i dati sono raccolti ed elaborati.
L’informativa privacy, fornita all’interessato prima dell’inizio del trattamento di dati, dovrà dar conto di quest’ulteriore finalità e, preferibilmente, contenere indicazioni circa le modalità e le tecniche di deidentificazione utilizzate. In ossequio ai principi generali previsti dalla normativa privacy, si dovrà anche individuare uno strumento di legittimazione sulla base del quale svolgere questo tipo di trattamento.
In altre parole, chi intende elaborare i dati personali applicando loro tecniche di anonimizzazione, potrà effettuare questo tipo di trattamento solo in presenza di una delle basi legali previste dalla normativa, ossia di un consenso specifico all’anonimizzazione dei dati, di un interesse legittimo, di una norma di legge, e così via.
Le tecniche di anonimizzazione
Le tecniche di anonimizzazione sono in continua evoluzione, come anche gli strumenti tecnici per la reidentificazione. Accanto a questa banale, seppur importante, precisazione, è dato pacifico che nessuna tecnica, o insieme di tecniche, possa garantire una definitiva anonimizzazione dei dati.
Ciò che è certo è che, per poterli considerare come tali, i dati personali devono essere privati di elementi sufficienti a impedire l’identificazione degli interessati e che tale trattamento dev’essere irreversibile.
Gli strumenti applicabili, in realtà, sono numerosi. Data l’importanza rivestita dai trattamenti di dati anonimi e del valore che questi assumono soprattutto per chi elabora dati aggregati, il Gruppo dell’Articolo 29 dell’Unione Europea, nel suo parere sull’anonimizzazione [3], ha indicato alcune tecniche, ritenute affidabili, da utilizzare per questo scopo.
Randomizzazione e generalizzazione
Non essendo possibile in questa sede descriverle nel dettaglio, ci si limita a indicare che, secondo quest’ultimo, esistono due tipi di approcci all’anonimizzazione: quello basato su tecniche di randomizzazione e quello basato su tecniche di generalizzazione. La scelta di quella da impiegare, andrà, ancora una volta, valutata sulla base del caso concreto; in ogni caso, quando possibile, dovrebbero sempre essere applicate ai dati personali più tecniche per la deidentificazione.
Si sottolinea, infine, che la valutazione dei possibili rischi di reidentificazione dovrà essere effettuata periodicamente, soprattutto per i dati anonimi destinati alla pubblicazione.
Conclusioni
Nel panorama normativo moderno, costellato da vincoli sempre più onerosi, l’elaborazione di dati anonimi rappresenta un’opportunità enorme. Chi processa Big Data, senza necessità di dover svolgere attività su dati riferiti a soggetti identificati o identificabili, trova in questi tipi di trattamenti una soluzione ottimale.
Il problema, in questo caso, è a monte: solo quando un dato può essere considerato anonimo, si potranno sfruttare tutti i vantaggi che questo comporta. È pertanto essenziale, in una fase ancor precedente a quella dell’elaborazione, aver verificato il rispetto dei presupposti indicati in materia dalle prassi e dai precedenti giurisprudenziali, sia in Italia che in Europa.