L’anonimizzazione rende impossibile identificare una persona da un set di dati e quindi consente di rispettare la sua vita privata.

Il CNIL fa il punto delle tecniche che possono essere utilizzate e delle loro sfide.

Che cos’è l’anonimizzazione?

L’anonimizzazione è un trattamento che consiste nell’utilizzare una serie di tecniche in modo da rendere impossibile, in pratica, l’identificazione della persona con qualsiasi mezzo e irreversibilmente.

L’anonimizzazione non deve essere confusa con la pseudonimizzazione .

La pseudonimizzazione è un trattamento di dati personali effettuato in modo tale che i dati relativi a una persona fisica non possano più essere attribuiti senza ulteriori informazioni.

In pratica, la pseudonimizzazione consiste nella sostituzione dei dati identificativi diretti (cognome, nome, ecc.) Di un set di dati con dati di identificazione indiretta (alias, numero progressivo, ecc.).

La pseudonimizzazione consente quindi di elaborare i dati degli individui senza essere in grado di identificarli direttamente. In pratica, tuttavia, è spesso possibile trovare la propria identità utilizzando dati di terze parti: i dati in questione conservano quindi un carattere personale. Anche l’operazione di pseudonimizzazione è reversibile, a differenza dell’anonimizzazione.

La pseudonimizzazione è una delle misure raccomandate dal GDPR per limitare i rischi legati al trattamento dei dati personali.

Perché anonimizzare i dati personali?

Il regolamento generale sulla protezione dei dati (GDPR) non include un obbligo generale di anonimato. È una soluzione, tra l’altro, essere in grado di utilizzare i dati personali nel rispetto dei diritti e delle libertà delle persone.

In effetti, l’anonimizzazione apre il potenziale per il riutilizzo dei dati inizialmente vietati a causa della natura personale dei dati utilizzati, e quindi consente agli attori di sfruttare e condividere il loro “deposito” di dati senza invadere la privacy delle persone. . Consente inoltre di archiviare i dati oltre il periodo di conservazione.

In tal caso, la legislazione sulla protezione dei dati non si applica più, poiché la diffusione o il riutilizzo di dati anonimi non ha alcun impatto sulla privacy delle persone interessate.

Come anonimizzare preservando il più possibile l’utilità del set di dati?

Poiché il processo di anonimizzazione mira a eliminare qualsiasi possibilità di reidentificazione, il futuro utilizzo dei dati è quindi limitato a determinati tipi di utilizzo. Questi vincoli devono essere presi in considerazione fin dall’inizio del progetto.

Per creare un processo di anonimizzazione pertinente, è pertanto consigliabile:

• identificare le informazioni da conservare in base alla sua rilevanza.
• rimuovere gli elementi dell’identificazione diretta nonché i rari valori che potrebbero consentire una facile reidentificazione delle persone (ad esempio, la presenza dell’età degli individui può consentire di identificare nuovamente facilmente i centenari);
• distinguere informazioni importanti da informazioni secondarie o inutili (vale a dire, che possono essere eliminate);
• definire la finezza ideale e accettabile per ciascuna informazione memorizzata.

Questo prerequisito consente di determinare il processo di anonimizzazione da applicare, vale a dire la sequenza delle tecniche di anonimizzazione da attuare. Questi possono essere raggruppati in due famiglie: randomizzazione e generalizzazione.

• La randomizzazione consiste nel modificare gli attributi in un set di dati in modo che siano meno precisi, pur mantenendo la distribuzione complessiva. Questa tecnica protegge il set di dati dal rischio di inferenza (vedi sotto).

Esempio: è possibile scambiare i dati relativi alla data di nascita delle persone in modo da alterare la veridicità delle informazioni contenute in un database.

• La generalizzazione consiste nel modificare gli attributi dei set di dati della scala, o le loro dimensioni, per garantire che siano comuni a un numero di persone. Questa tecnica evita l’individualizzazione di un set di dati. Limita anche le possibili correlazioni del set di dati con altri (vedere di seguito).

Esempio: in un file contenente la data di nascita delle persone, è possibile sostituire queste informazioni con l’unico anno di nascita.

Come verificare l’efficacia dell’anonimizzazione?

Le autorità europee per la protezione dei dati definiscono tre criteri per garantire che un set di dati sia veramente anonimo:

1. individualizzazione : non dovrebbe essere possibile isolare un individuo nel set di dati;

Esempio: un database CV in cui solo il nome e il cognome di una persona saranno stati sostituiti da un numero (che corrisponde solo a quella persona) consente di individuare questa persona. In questo caso, questo database è considerato pseudonimizzato e non anonimo.

2. correlazione : non dovrebbe essere possibile collegare insieme set di dati separati riguardanti lo stesso individuo;

Esempio: un database cartografico che informa gli indirizzi delle case private non può essere considerato anonimo se altri database, esistenti altrove, contengono questi stessi indirizzi con altri dati che consentono l’identificazione delle persone.

3. inferenza : non dovrebbe essere possibile inferire, quasi certamente, nuove informazioni su un individuo.

Esempio: se un set di dati apparentemente anonimo contiene informazioni sull’ammontare delle imposte delle persone che hanno risposto a un questionario, che tutti gli uomini tra i 20 ei 25 anni che hanno risposto non sono tassabili, sarà possibile detrarre, se noi sa che il signor X, un uomo di 24 anni, ha risposto al questionario, che quest’ultimo non è tassabile.