Il chiarimento dell'EDPB di gennaio 2025
Le linee guida 01/2025 del Comitato europeo per la protezione dei dati sulla pseudonimizzazione, pubblicate a gennaio 2025, hanno introdotto diversi chiarimenti con significative implicazioni per la conformità delle organizzazioni che utilizzano strumenti di anonimizzazione dei dati.
Il chiarimento più significativo: le linee guida introducono il concetto di "dominio di pseudonimizzazione" — l'insieme delle parti per cui i dati pseudonimizzati rimangono collegabili a individui reali. I dati pseudonimizzati sono dati personali ai sensi del GDPR per qualsiasi parte all'interno del dominio di pseudonimizzazione (parti che detengono la chiave di pseudonimizzazione o che possono derivarla). Le linee guida affermano esplicitamente che i dati pseudonimizzati non cambiano il loro stato di dati personali — rimangono soggetti a tutti gli obblighi del GDPR — anche se appaiono non identificabili per le parti al di fuori del dominio.
Questo chiarimento influisce sulle organizzazioni che credevano che la "tokenizzazione" o la "pseudonimizzazione con chiavi" avessero rimosso i loro dati dall'ambito del GDPR. Sotto le linee guida di gennaio 2025, non è così. L'organizzazione che detiene la chiave di pseudonimizzazione rimane un titolare del trattamento ai sensi del GDPR per i dati pseudonimizzati.
Il divario nel marketing degli strumenti
Molti strumenti commercializzati come strumenti di "anonimizzazione" producono in realtà dati pseudonimizzati. La distinzione:
Vera anonimizzazione (irreversibile): La trasformazione non può essere invertita da nessuna parte, utilizzando alcun mezzo disponibile ora o in futuro. La vera anonimizzazione rimuove completamente i dati dall'ambito del GDPR.
Pseudonimizzazione (reversibile): La trasformazione può essere invertita utilizzando una chiave, una tabella di ricerca o informazioni aggiuntive detenute separatamente. La pseudonimizzazione non rimuove i dati dall'ambito del GDPR — rimangono dati personali per le parti che detengono o possono derivare la chiave.
I sistemi basati su token (sostituendo PII con token coerenti e mantenendo una tabella di mapping), i sistemi basati su crittografia (sostituendo PII con valori crittografati e mantenendo una chiave di decrittazione) e la crittografia che preserva il formato producono tutti dati pseudonimizzati. I dati rimangono dati personali secondo le linee guida dell'EDPB di gennaio 2025.
L'hashing (applicando una funzione di hash unidirezionale ai valori PII) è più vicino all'anonimizzazione — se la funzione di hash è crittograficamente sicura e non è fattibile alcuna ricerca di preimmagine — ma le linee guida dell'EDPB notano che l'hashing di dati a bassa entropia (stringhe brevi come nomi o identificatori comuni) è vulnerabile ad attacchi di rainbow table e potrebbe non costituire vera anonimizzazione.
Strategia di conformità secondo le nuove linee guida
I DPO devono rivalutare la loro strategia di classificazione dei dati alla luce delle linee guida dell'EDPB di gennaio 2025:
Per i dati classificati come "anonimizzati" (fuori dall'ambito del GDPR): rivalutare se la trasformazione sia davvero irreversibile. Se qualsiasi parte può invertirla — incluso il titolare del trattamento stesso — è pseudonimizzata e il GDPR si applica ancora.
Per i dati che devono rimanere al di fuori dell'ambito del GDPR (per analisi, archiviazione o ricerca): utilizzare metodi di anonimizzazione irreversibili — redazione (rimozione permanente), mascheramento con valori non recuperabili, o hashing crittografico di dati ad alta entropia. Documentare il metodo e la base per la determinazione dell'anonimizzazione.
Per i dati che beneficiano di una reversibilità controllata (ricerca con requisiti di recontatto, audit trails, obblighi di discovery): classificare esplicitamente come dati personali pseudonimizzati, mantenere tutti gli obblighi del GDPR, documentare gli accordi di custodia della chiave di pseudonimizzazione secondo i requisiti di separazione delle chiavi dell'EDPB.
Il quadro esplicito dei cinque metodi — Sostituire, Redigere, Mascherare, Hashare, Crittografare — si mappa direttamente su questa classificazione: Sostituire, Mascherare e Crittografare producono dati pseudonimizzati (il GDPR si applica ancora). Redigere e Hashare (di dati ad alta entropia) si avvicinano alla vera anonimizzazione (soggetta ad analisi di completezza ed entropia).
Fonti: