Nel corso della riunione plenaria di gennaio 2025, il Comitato europeo per la protezione dei dati (European Data Protection Board – “EDPB”) ha adottato le Linee Guida 01/2025 sulla pseudonimizzazione (le “Linee Guida”), con l’obiettivo di chiarire il ruolo e l’applicazione di questa tecnica ai fini della conformità al Regolamento (UE) 679/2016 (il “GDPR”). Il GDPR introduce per la prima volta il concetto di “pseudonimizzazione” all’articolo 4(5), riconoscendola come una misura di salvaguardia efficace per il lecito trattamento dei dati personali. Le Linee Guida approfondiscono la definizione e l’ambito di applicazione della pseudonimizzazione, nonché i benefici derivanti dal suo utilizzo. I due punti chiave delle Linee Guida L’EDP apporta due chiarimenti principali: 1. i dati pseudonimizzati non sono dati anonimi. Sebbene la pseudonimizzazione riduca il legame diretto tra i dati e gli interessati, questi ultimi possono essere identificati qualora esistano informazioni aggiuntive, che ne consentano le reidentificazione, dovendo conseguentemente trovare applicazione anche le disposizioni del GDPR in merito all’esercizio dei diritti degli interessati[1]; 2. la pseudonimizzazione come strumento di mitigazione dei rischi[2]. La pseudonimizzazione rappresenta una misura fondamentale per la protezione dei dati personali degli interessati, in quanto protegge i loro dati da accessi o utilizzi non autorizzati senza comprometterne l’utilità. Essa favorisce il rispetto dei principi di privacy by design e by default, di minimizzazione dei dati e riservatezza, oltre a garantire la liceità, la correttezza, la limitazione delle finalità e l’accuratezza del trattamento[3]. In tale ottica, la pseudonimizzazione può facilitare l’utilizzo dell’interesse legittimo come base giuridica del trattamento, purché siano rispettati tutti gli altri requisiti imposti dal GDPR. Essa, infatti, contribuisce alla valutazione della prevalenza dell’interesse legittimo del titolare rispetto agli interessi, ai diritti e alle libertà degli interessati. L’EDPB, inoltre, sostiene che la pseudonimizzazione può costituire una “misura supplementare”per garantire la conformità agli artt. 44-46(1) del GDPR per i trasferimenti di dati verso paesi terzi, proteggendo i dati dall’accesso sproporzionato delle autorità pubbliche straniere[4]. Il “dominio di pseudonimizzazione” Uno degli aspetti più innovativi introdotti dalle Linee Guida è il concetto di “dominio di pseudonimizzazione”, inteso come l’ambito operativo – all’interno dell’organizzazione del titolare – entro cui la pseudonimizzazione deve impedire l’attribuzione dei dati a soggetti determinati, prevenendone la reidentificazione. Si tratta, in pratica, di una valutazione del titolare, il quale – a seconda dell’obiettivo della pseudonimizzazione e della valutazione del rischio – può definire il dominio di pseudonimizzazione includendo, ad esempio, una sua singola unità organizzativa, un singolo destinatario esterno oppure tutti i destinatari autorizzati o previsti e legittimi. Tuttavia, di fatto, ponendo tale scelta in seno alla discrezionalità del titolare, il rischio è quello di rimettere l’efficacia della pseudonimizzazione unicamente alla volontà soggettiva del titolare stesso, in assenza di criteri oggettivi. Ad ogni modo, l’EDPB sottolinea la necessità di adottare misure adeguate affinché il dominio sia opportunamente protetto e separato dalle informazioni aggiuntive, evitando che queste ultime possano entrare nel dominio stesso o che i dati pseudonimizzati ne escano senza adeguate garanzie. Il processo di pseudonimizzazione e le sue implicazioni tecniche La pseudonimizzazione si realizza attraverso l’applicazione di una trasformazione pseudonimizzante[5], un processo che modifica i dati originali in modo tale che il risultato – i dati pseudonimizzati – non possa essere attribuito a un interessato senza l’ausilio di informazioni supplementari. Nella maggior parte dei casi, questa operazione avviene mediante la sostituzione di dati identificativi con pseudonimi, ossia identificatori alternativi che permettono la riassociazione ai soggetti originari solo attraverso l’uso di informazioni aggiuntive adeguatamente protette. Affinché la pseudonimizzazione sia efficace, i dati pseudonimizzati non devono contenere identificatori diretti (ad esempio, il codice fiscale o il numero di passaporto) né “quasi-identificatori”, ossia attributi che, combinati, possono condurre all’identificazione dell’interessato[6]. Per questo motivo, tali identificatori devono essere eliminati o sostituiti nel corso del processo di pseudonimizzazione. Un aspetto cruciale della pseudonimizzazione è l’adozione di dati segreti per prevenire l’attribuzione non autorizzata dei dati pseudonimizzati. Tali dati – definiti nelle Linee Guida come “pseudonymisation secrets” – comprendono chiavi crittografiche, tabelle di corrispondenza tra pseudonimi e dati reali e altre tecniche di protezione. L’EDPB raccomanda di implementare misure tecniche e organizzative adeguate per garantirne la riservatezza e impedire usi impropri o non autorizzati[7]. Riflessioni finali La pseudonimizzazione emerge dalle Linee Guida dell’EDPB come uno strumento di grande rilevanza nella protezione dei dati personali, in grado di contribuire significativamente alla conformità normativa e alla tutela degli interessati. Tuttavia, l’EDPB sottolinea che essa, pur essendo una misura efficace, non rappresenta una soluzione assoluta e deve essere integrata con altre garanzie adeguate per assicurare una protezione complessiva dei dati personali degli interessati. Di conseguenza, i titolari del trattamento dovranno valutare attentamente l’insieme delle misure adottate per verificare la loro idoneità nel soddisfare i requisiti di protezione previsti dal GDPR. [1] Ad esempio, se l’interessato è in grado di fornire lo/gli pseudonimo/i sotto cui sono conservati i dati che lo riguardano, e una prova che tali pseudonimi si riferiscono a lui, il titolare è in grado di identificarlo e, dunque, dovrebbero applicarsi i diritti dell’interessato. Pertanto, al fine di garantire il pieno esercizio dei diritti degli interessati, il titolare dovrebbe indicare, nelle informazioni fornite agli interessati ai sensi dell'Art. 11(2) del GDPR, come questi possano ottenere gli pseudonimi a loro riferiti e come possano essere utilizzati per dimostrare la loro identità. In tale contesto, il titolare potrebbe dover fornire l'identità e i dettagli di contatto della fonte dei dati pseudonimizzati o del titolare responsabile della pseudonimizzazione. [2] In particolare, la pseudonimizzazione è in grado di ridurre: (i) i rischi per la riservatezza; (ii) il rischio di function creep (ovvero il rischio che i dati personali vengano ulteriormente trattati in modo incompatibile con le finalità per le quali sono stati originariamente raccolti); (iii) i rischi per l’accuratezza dei dati, limitando la possibilità di attribuire erroneamente dati o oggetti a soggetti sbagliati. [3] L’EDPB offre, in un apposito allegato alle Linee Guida, una lista di esempi in cui illustra concretamente come la pseudonimizzazione contribuisca al soddisfacimento di tali principi. [4] L’EDPB richiama le proprie Raccomandazioni 01/2020 relative alle misure che integrano gli strumenti di trasferimento al fine di garantire il rispetto del livello di protezione dei dati personali dell’UE. [5] Tale processo di trasformazione avviene, generalmente, attraverso l’utilizzo di due diverse tecniche: gli algoritmi crittografici, che prendono la forma di parametri segreti o chiavi (come, ad esempio, i codici di autenticazione del messaggio o gli algoritmi di crittografia), e le tabelle di ricerca che associano gli identificatori con gli pseudonimi utilizzati per sostituirli. [6] Si tratti di attributi in grado di rivelare informazioni su identità fisica, fisiologica, genetica, mentale, economica, culturale o sociale dell’interessato. Costituiscono un esempio di “quasi-identificatori” i dati demografici, quali età, genere, lingue parlate, stato civile o familiare, professione, reddito. Analogamente, nel caso dei dipendenti altri dati rilevanti possono riguardare la funzione o il ruolo ricoperti, il numero di ore lavorative e la durata del servizio. [7] L’EDPB sottolinea come misure tecniche appropriate possono includere la segmentazione della rete, l’archiviazione sicura delle chiavi segrete in moduli di sicurezza hardware, l’autenticazione sicura per l’accesso alle API (Application Programming Interface) e la limitazione della velocità e la registrazione dell'esecuzione sia della trasformazione pseudonimizzante sia, in particolare, della sua applicazione inversa, ove disponibile. Quanto, invece, alle misure organizzative, esse includono l’impiego di personale selezionato e specificamente autorizzato per il funzionamento dei sistemi utilizzati per l’esecuzione della trasformazione pseudonimizzante e per l’archiviazione degli pseudonymization secrets. I titolari dovranno altresì garantire che tutti coloro incaricati sia di interagire con gli interessati sia di accedere ai dati pseudonimizzati (ad esempio, per garantire i diritti degli interessati), ricevano una formazione adeguata.
