Tutti i vantaggi della pseudonimizzazione secondo le Linee guida dell’EDPB

L’European Data Protection Board (EDPB) ha adottato orientamenti sulla pseudonimizzazione che fino al 28 febbraio 2025 saranno oggetto di consultazione pubblica; sin d’ora, però, possiamo estrarne importanti spunti con riferimento, in particolare, ai vantaggi del ricorso a questa tecnica definita dall’art. 4, par. 4 del GDPR come "il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un soggetto specifico senza l'utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e siano soggette a misure tecniche e organizzative per garantire che i dati personali non siano attribuiti a una persona fisica identificata o identificabile".

Partiamo dal presupposto che la conversione dei dati originali in dati pseudonimizzati non trasforma i dati personali in dati anonimi: di conseguenza non li sottrae all’applicazione del GDPR. Ciò in quanto in quanto i nuovi identificatori che sostituiscono i dati originali possono essere attribuiti all’interessato mediante informazioni aggiuntive, permettendone così la re-identificazione. 

L’EDPB ritiene che questa affermazione valga anche se i dati pseudonimizzati e le informazioni aggiuntive non sono nelle mani della stessa persona.

Secondo le Linee Guida, infatti, anche se tutte le informazioni aggiuntive conservate dal titolare del trattamento dei dati pseudonimizzati sono state cancellate, i dati pseudonimizzati possono essere considerati anonimi solo se sono soddisfatte le condizioni per l'anonimato.

L’art. 32 GDPR inserisce la pseudonimizzazione tra le misure di sicurezza considerate adeguate perché essa offre in termini di protezione dei dati numerosi vantaggi, che l’EDPB riassume nell’elenco che segue.

La pseudonimizzazione per la riduzione dei rischi

Il GDPR ha rivoluzionato l’approccio alla protezione dei dati personali anche per la scelta del legislatore di non imporre l’adozione di un elenco specifico di misure di sicurezza. Tuttavia, ha indicato all’art. 32 misure che, se del caso, devono essere messe in atto.

Tra queste, figura la pseudonimizzazione proprio per la sua capacità di:

• evitare la divulgazione ai destinatari dei dati di identificatori diretti che si riferiscono agli interessati;
• ridurre, nel caso in cui si verifichi un incidente di sicurezza, la gravità del rischio di una violazione di riservatezza e delle conseguenze sugli interessati;
• ridurre il rischio che i dati personali siano ulteriormente trattati in modo incompatibile con le finalità per cui sono stati raccolti nel rispetto dell’articolo 6, paragrafo 4, del GDPR;
• assegnando pseudonimi molto diversi a persone con attributi identificativi molto simili ridurre il rischio di attribuzione erronea di dati aumentandone l’accuratezza.

La pseudonimizzazione come presupposto per legittimare un trattamento di dati

Se da un lato l’EDPB indica che in alcune situazioni specifiche, il diritto dell'Unione o degli Stati membri può imporre la pseudonimizzazione, dall’altro il ricorso a questa misura può essere strategico per contribuire a:

• supportare il ricorso del titolare alla base giuridica del legittimo interesse di cui all’art. 6, par. 1, lett. f) del GDPR;
• stabilire la compatibilità di un ulteriore trattamento ai sensi dell'art. 6, par. 4 del GDPR;
• minimizza il trattamento dei dati personali ex art. 5, par. 1, lett. c) del GDPR;
• attuare la protezione dei dati fin dalla progettazione e per impostazione predefinita (privacy by design e by default – art. 25 GDPR).

La pseudonimizzazione come misura supplementare per i trasferimenti di dati da paesi terzi

La pseudonimizzazione può anche costituire una cosiddetta "misura supplementare" per garantire la conformità agli artt. 44 e 46(1) GDPR. In assenza di una decisione di adeguatezza, il trasferimento di dati personali a un paese terzo o a un'organizzazione internazionale è lecito solo se il titolare del trattamento dei dati ha fornito garanzie adeguate e a condizione che siano disponibili diritti applicabili e rimedi legali efficaci per gli interessati. Le garanzie appropriate applicate (ad esempio, norme vincolanti d'impresa e clausole contrattuali standard) possono tuttavia non essere efficaci a causa della legislazione o della prassi del paese terzo: in tali casi l'accesso ai dati trasferiti da parte delle autorità pubbliche di un paese terzo non può essere escluso. In questa situazione, la pseudonimizzazione può costituire una misura efficace per proteggere i dati personali trasferiti a un Paese terzo dall'accesso sproporzionato delle autorità pubbliche di quel Paese, se a sensi del paragrafo 85 dell'Allegato 2 alle Raccomandazioni EDPB 01/2020:

• l'attribuzione di dati pseudonimizzati a un soggetto specifico richiede l'uso di informazioni aggiuntive che le autorità pubbliche del paese ricevente non possiedono, né sono in grado di ottenere con uno sforzo ragionevole,
• le informazioni aggiuntive sono detenute esclusivamente dall'esportatore dei dati e conservate separatamente in uno Stato membro o in un paese terzo, da un'entità di fiducia dell'esportatore nello Spazio Economico Europeo (SEE) o in una giurisdizione che offre un livello di protezione sostanzialmente equivalente a quello garantito all'interno del SEE,
• le autorità non sono in grado di individuare un interessato sulla base dei dati pseudonimizzati e delle informazioni che sono in grado di ottenere con uno sforzo ragionevole.

Sotto il profilo dei vantaggi che comporta, la pseudonimizzazione può essere utilizzata efficacemente da titolari e responsabili del trattamento per soddisfare alcuni requisiti di protezione dei dati.

L’EDPB ricorda, tuttavia che, pur essendo uno strumento prezioso, la pseudonimizzazione è spesso più efficace se integrata da misure aggiuntive: pertanto, è essenziale valutare l'adeguatezza di tutte le misure adottate nel loro insieme per stabilire se sono sufficienti a soddisfare i pertinenti requisiti di protezione dei dati.