EDPB – Linee guida n. 1-2025 sulla pseudonimizzazione

Premessa

Come noto il legislatore comunitario, tra le misure di sicurezza da adottare in caso di trattamento dei dati personali annovera la loro pseudonimizzazione, che viene definita come il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di

informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile; (art. 4 del Regolamento UE 2016/679, di seguito “Regolamento”).

I riferimenti normativi.

Inoltre, il principio di minimizzazione dei dati viene più volte richiamato nel Regolamento, ad es.

nell’art. 6 in materia di liceità del trattamento Laddove il trattamento per una finalità diversa da quella per la quale i dati personali sono stati raccolti non sia basato sul consenso dell’interessato o su un atto legislativo dell’Unione o degli Stati membri che costituisca una misura necessaria e proporzionata in una società democratica per la salvaguardia degli obiettivi di cui all’articolo 23, paragrafo 1, al fine di verificare se il trattamento per un’altra finalità sia compatibile con la finalità per la quale i dati personali sono stati inizialmente raccolti, il titolare del trattamento tiene conto, tra l’altro: (omissis) e) dell’esistenza di garanzie adeguate, che possono comprendere la cifratura o la pseudonimizzazione.;
nell’articolo 25 riguardante il principio di Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita, il quale stabilisce che tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso il titolare del trattamento mette in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte
nell’ Articolo 32, in materia di Sicurezza del trattamento che, impone al titolare e al responsabile del trattamento, di mettere in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso: a) la pseudonimizzazione e la cifratura dei dati personali;
nell’art. 40 relativo alle Le associazioni e gli altri organismi rappresentanti le categorie di titolari del trattamento o responsabili del trattamento possono elaborare i codici di condotta, modificarli o prorogarli, allo scopo di precisare l’applicazione del presente regolamento, ad esempio relativamente a: a(omissis) d) la pseudonimizzazione dei dati personali;
Nell’Articolo 89 relativo alle Garanzie e deroghe relative al trattamento a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici (C33, C156-C163) dove si prescrive ai titolari del trattamento di adottare garanzie adeguate per i diritti e le libertà dell’interessato, assicurano che siano state predisposte misure tecniche e organizzative, in particolare al fine di garantire il rispetto del principio della minimizzazione dei dati. del meccanismo di coerenza di cui all’articolo 63, a condizione che queste:

Le Linee Guida 01/2025 dello European Data Protection Board sulla Pseudonimizzazione[1]

In attesa che le Linee guida diventino pienamente operative, trattandosi al momento di un testo sottoposto alle osservazioni dei soggetti terzi, ci si limita a riportare il relativo Sommario.

Il GDPR definisce per la prima volta il termine “pseudonimizzazione” nel diritto dell’UE e vi fa riferimento più volte come una salvaguardia che può essere adeguata ed efficace per l’adempimento di determinati obblighi in materia di protezione dei dati. Secondo tale definizione, la pseudonimizzazione può ridurre i rischi per gli interessati impedendo l’attribuzione dei dati personali a persone fisiche1 nel corso del trattamento dei dati e in caso di accesso o utilizzo non autorizzati. Applicando la pseudonimizzazione, i titolari del trattamento possono quindi conservare la possibilità di analizzare i dati e, facoltativamente, di unire anagrafiche diverse relative alla stessa persona. La pseudonimizzazione può anche essere impostata, e spesso lo sarà, in modo che sia possibile ripristinare i dati originali. Pertanto, i titolari del trattamento possono trattare i dati personali in forma originale in alcune fasi del trattamento, e in forma pseudonimizzata in altre. I dati pseudonimizzati, che potrebbero essere attribuiti a una persona fisica mediante l’utilizzo di informazioni aggiuntive, sono da considerarsi informazioni relative a una persona fisica identificabile2 e sono pertanto personali. Ciò vale anche nel caso in cui i dati pseudonimizzati e le informazioni aggiuntive non siano nelle mani della stessa persona. Anche se tutte le informazioni aggiuntive conservate dal titolare del trattamento pseudonimizzato sono state cancellate, i dati pseudonimizzati possono essere considerati anonimi solo se sono soddisfatte le condizioni per l’anonimato.

Il GDPR non impone un obbligo generale di utilizzare la pseudonimizzazione. L’introduzione esplicita della pseudonimizzazione non è intesa a precludere qualsiasi altra misura di protezione dei dati (Rec. 28 GDPR). Spetta al titolare del trattamento decidere sulla scelta dei mezzi per adempiere ai propri obblighi tenendo conto del principio di responsabilità. A seconda della natura, della portata, del contesto e delle finalità del trattamento, nonché dei rischi ad esso connessi, i titolari del trattamento potrebbero dover ricorrere alla pseudonimizzazione per soddisfare i requisiti della normativa UE sulla protezione dei dati, in particolare per rispettare il principio di minimizzazione dei dati, per implementare la protezione dei dati fin dalla progettazione e per impostazione predefinita, ovvero per garantire un livello di sicurezza adeguato al rischio. In alcune situazioni specifiche, il diritto dell’Unione o degli Stati membri può imporre la pseudonimizzazione.

La riduzione del rischio derivante dalla pseudonimizzazione può consentire ai titolari del trattamento di far valere interessi legittimi ai sensi dell’art. 6(1)(f) GDPR come base giuridica del loro trattamento a condizione che soddisfino gli altri requisiti di detto comma; contribuire a stabilire la compatibilità dell’ulteriore trattamento ai sensi dell’art. 6(4) GDPR; o contribuire a garantire un livello di protezione sostanzialmente equivalente per i dati che intendono esportare.

Infine, il contributo della pseudonimizzazione alla protezione dei dati fin dalla progettazione e per impostazione predefinita, e la garanzia di un livello di sicurezza adeguato al rischio, potrebbero rendere ridondanti altre misure, anche se la sola pseudonimizzazione normalmente non sarà una misura sufficiente per nessuna delle due. I titolari del trattamento dovrebbero stabilire e definire con precisione i rischi che intendono affrontare con la pseudonimizzazione. La prevista riduzione di tali rischi costituisce l’obiettivo della pseudonimizzazione nell’ambito della concreta attività di trattamento. I titolari del trattamento dovrebbero strutturare la pseudonimizzazione in modo tale da garantire che sia efficace nel raggiungere questo obiettivo.

I titolari del trattamento possono definire il contesto in cui la pseudonimizzazione deve impedire l’attribuzione dei dati a interessati specifici. Questo contesto sarà chiamato dominio di pseudonimizzazione nelle presenti linee guida. Il dominio di pseudonimizzazione non deve essere onnicomprensivo, ma può essere limitato a entità definite, molto spesso all’insieme di tutti i destinatari autorizzati dei dati personali che tratteranno i dati per un determinato scopo. L’efficacia della pseudonimizzazione nell’attuazione dei principi di protezione dei dati o nella garanzia di un livello di sicurezza adeguato al rischio dipende fortemente dalla scelta del dominio di pseudonimizzazione e dal suo isolamento da informazioni aggiuntive che consentono l’attribuzione di dati pseudonimizzati a soggetti specifici. Pertanto, la pseudonimizzazione è una garanzia che può essere applicata dai titolari del trattamento per soddisfare i requisiti della normativa sulla protezione dei dati e, in particolare, per dimostrare il rispetto dei principi di protezione dei dati ai sensi dell’articolo 5, paragrafo 2, GDPR. Queste linee guida aiuteranno i titolari del trattamento a scegliere tecniche efficaci per la modifica dei dati originali, per proteggere i dati pseudonimizzati da attribuzioni non autorizzate e per gestire i diritti degli utenti durante il trattamento dei dati pseudonimizzati.

I titolari del trattamento devono sempre tenere presente che i dati pseudonimizzati, che potrebbero essere attribuiti a una persona fisica mediante l’utilizzo di informazioni aggiuntive, restano informazioni relative a una persona fisica identificabile e quindi sono dati personali (Racc. 26 GDPR). Pertanto, il trattamento di tali dati deve essere conforme al GDPR, compresi i principi di liceità, trasparenza e riservatezza di cui all’art. 5 GDPR, e i requisiti dell’art. 6 GDPR. I titolari del trattamento devono mantenere un livello di sicurezza adeguato implementando ulteriori misure tecniche e organizzative. Infine, i titolari del trattamento devono garantire la trasparenza e facilitare l’esercizio dei diritti dell’interessato stabiliti nel Capo III del GDPR, salvo l’eccezione prevista dall’art. Si applica l’articolo 11, paragrafo 2 e 12, paragrafo 2 GDPR.

[1] Adottate il 16.01.2025 ed in attesa che pervengano, eventuali, osservazioni entro 28.02.2025. Link: https://www.edpb.europa.eu/our-work-tools/documents/public-consultations/2025/guidelines-012025-pseudonymisation_it

Articoli

Categorie

Eli e Sofi: le gemelle virtuali influencer.

MARKETING: team interno vs outsourcing

Fundraising: cos’è e come nasce. Tutti i modi per fare fundraising.

L’utilizzo di sistemi di Intelligenza Artificiale in ambito lavorativo.

Il Responsabile della Conservazione Digitale: gli obblighi in capo agli enti pubblici ed ai soggetti privati.

Propaganda elettorale: Garante, no all’uso dei dati dei pazienti

Il Garante dà l’ok al nuovo sistema di fatturazione elettronica per gli operatori sanitari che andrà in vigore dal 1° gennaio 2026.

L’autenticità dei dati, quale ulteriore criterio – insieme alla riservatezza, alla integrità e alla disponibilità – per determinare il livello di sicurezza di una organizzazione.

Il Governo della Intelligenza Artificiale Generale: visto dall’altra sponda dell’Oceano. Come delineare un profilo di rischio per il futuro.

La necessità di una Governance per i sistemi di Intelligenza Artificiale.

La Determinazione 164179 del 14 aprile 2025, ACN con le specifiche di base per l’adempimento agli obblighi previsti dagli articoli 23, 24, 25, 29 e 32 del decreto NIS.

La minaccia cibernetica al settore sanitario: ACN gennaio 2023 – marzo 2025

L’istituzione scolastica e la pubblicazione di foto degli alunni su un social network senza il consenso degli alunni.

EDPB – Linee guida n. 1-2025 sulla pseudonimizzazione.

About Author / Davide De Luca

L’utilizzo delle foto di prestazioni mediche per fini diversi dalla prestazione di cura.

Il Codice di condotta per il trattamento dei dati personali effettuato dalle imprese di sviluppo e produzione di software gestionale.

Lascia un commento Annulla risposta