Cadrul de Anonimizare al IMY
Integritetsskyddsmyndigheten (IMY) din Suedia este atat un organism de aplicare, cat si un lider de standarde tehnice. Ghidul sau de anonimizare din 2023 este cel mai cuprinzator document tehnic emis de un DPA privind anonimizarea din UE — citat de 12 alte DPA-uri din UE ca standard de referinta.
Ghidul IMY de anonimizare afirma explicit ca anonimizarea este o chestiune tehnica, nu contractuala sau organizationala. Pragurile tehnice pe care IMY le evalueaza:
k-anonimitate: Orice persoana dintr-un set de date trebuie sa fie indistincta de cel putin k-1 altele pe toti atributii de cvasiidentificare. IMY recomanda k≥5 pentru seturi de date de cercetare.
l-diversitate: Atributii sensibili din fiecare clasa de echivalenta trebuie sa aiba cel putin l valori bine reprezentate, prevenind inferenta valorilor sensibile din clasa de echivalenta.
t-proximitate: Distributia unui atribut sensibil intr-o clasa de echivalenta trebuie sa fie 'aproape' de distributia sa in setul de date general, limitand inferenta bazata pe distributia setului de date.
Cerinte de Aplicare IMY
IMY a emis 28 de decizii de aplicare in 2024 totalizand 8,5 milioane de euro. Cazurile de referinta:
- Scolile suedeze si datele biometrice: IMY a amendat scoli pentru utilizarea recunoasterii faciale fara consimtamant legal adecvat
- Sectorul de sanatate: Decizii multiple privind gestionarea inadecvata a dosarelor medicale electronice
- Transfer de date: Organizatii amendate pentru transferuri catre SUA fara evaluarea impactului transferului
Ce Necesita IMY Documentat
- Metodologia de anonimizare documentata (nu doar politica — procedura tehnica)
- Praguri k/l/t documentate si justificate pe baza sensibilitatii setului de date
- Teste de re-identificare documentate inainte de publicarea setului de date
- Documentatie anuala de revizuire (ce s-a schimbat in setul de date care ar putea afecta riscul de re-identificare)
Surse: Ghidul de Anonimizare IMY 2023; Raportul Anual IMY 2024; Ghidul de Conformitate GDPR Nordic IAPP 2025