Un recente provvedimento del Garante della Privacy indica come le più comuni tecniche in uso non siano sufficienti per rendere anonimi i dati.
Il provvedimento, che nasce da un esposto di un medico di famiglia su un trattamento dati per un progetto di ricerca scientifica, illustra in dettaglio una serie di considerazioni sulla anonimizzazione dei dati.
Il Garante indica che “Il dato anonimizzato, al quale non si applica la disciplina in materia di protezione dei dati personali, è tale solo se non consente l’identificazione diretta o indiretta di una persona tenuto conto di tutti i mezzi ragionevoli (economici, informazioni, risorse tecnologiche, competenze, tempo) nella disponibilità di chi (titolare o altro soggetto) provi a utilizzare tali mezzi per identificare un interessato.
Il descritto processo, qualificato come anonimizzazione, deve pertanto impedire che si possa:
- isolare una persona in un gruppo (single-out);
- collegare un dato anonimizzato a dati riferibili a una persona presente in un distinto insieme di dati (linkability);
- dedurre nuove informazioni riferibili a una persona da un dato anonimizzato (inference).”
La sostituzione del codice paziente con un hash non è una misura sufficiente: “A tale riguardo, si rileva che la mera sostituzione dell’ID del paziente con un codice hash irreversibile da questo ottenuto non costituisce, in alcuna circostanza, misura idonea rispetto al requisito della rimozione delle singolarità (single out) necessario a qualificare il trattamento come un’anonimizzazione: ciò è ribadito dall’affermazione del Gruppo di lavoro Articolo 29 in virtù della quale “affidarsi semplicemente alla solidità del meccanismo di crittografia quale misura del grado di “anonimizzazione” di un insieme di dati è fuorviante, in quanto molti altri fattori tecnici e organizzativi incidono sulla sicurezza generale di un meccanismo di crittografia o di una funzione di hash” (Parere 05/2014 sulle tecniche di anonimizzazione)”.
La presenza di un hash univoco (codice crittografico) seppur reso più complesso dalla presenza di un elemento di disturbo ignoto (salt), qualora questo non vari nel tempo per un determinato paziente, sortisce l’effetto di associare univocamente un record a uno specifico paziente vanificando, in radice, il beneficio della generalizzazione dei dati dei pazienti in classi di equivalenza (ad es. caratterizzati dalla stessa età e localizzazione), come previsto dalla tecnica di k-anonymity. La tecnica di k-anonimity consiste nel raggruppare gli interessati sulla base di specifiche combinazioni di attributi, opportunamente generalizzati, in modo che in ciascun raggruppamento siano inclusi almeno k soggetti non distinguibili tra loro. A titolo di esempio potrei eliminare il comune di residenza sostituendolo con la regione e scartare quei gruppi di record con la stessa regione la cui numerosità sia inferiore a K (nel caso in oggetto questo valore era fissato a 10).
Il Garante ribadisce quindi che non debbano esserci dati univoci che determinino la “singolarità del dato”. In caso contrario si rientra nel caso dei dati pseudoanonimizzati che sono quindi dati personali e che devono essere trattati nel rispetto del Regolamento.
Il parere, molto articolato, affronta anche alcuni temi specifici al caso in questione come la titolarità del dato, la finalità del trattamento e formula anche delle considerazioni sul corrispettivo economico che i medici di famiglia che arrivano al progetto avrebbero percepito.