La scelta di quali campi di dati devono essere pseudonimizzati è in parte soggettiva. Campi meno selettivi, come la data di nascita o il codice postale sono spesso inclusi anche perché di solito sono disponibili da altre fonti e quindi rendono un record più facile da identificare. La pseudonimizzazione di questi campi meno identificativi rimuove la maggior parte del loro valore analitico ed è quindi normalmente accompagnata dall’introduzione di nuove forme derivate e meno identificative, come l’anno di nascita o una regione di codice postale più ampia.
I campi di dati meno identificativi, come la data di partecipazione, di solito non vengono pseudonimizzati. È importante rendersi conto che questo è perché si perde troppa utilità statistica nel farlo, non perché i dati non possono essere identificati. Ad esempio, data la conoscenza preliminare di alcune date di partecipazione, è facile identificare i dati di qualcuno in un set di dati pseudonimizzato selezionando solo le persone con quel modello di date. Questo è un esempio di attacco di inferenza.
La debolezza dei dati pseudonimizzati pre-GDPR agli attacchi di inferenza è comunemente trascurata. Un esempio famoso è lo scandalo dei dati di ricerca di AOL. L’esempio di ri-identificazione non autorizzata di AOL non richiedeva l’accesso a “informazioni aggiuntive” conservate separatamente che erano sotto il controllo del titolare del trattamento dei dati come ora richiesto per la pseudonimizzazione conforme al GDPR. Vedi di seguito la nuova definizione di pseudonimizzazione ai sensi del GDPR.
La protezione dei dati pseudonimizzati statisticamente utili dalla ri-identificazione richiede:
- una solida base di sicurezza delle informazioni
- controllare il rischio che analisti, ricercatori o altri data worker causino una violazione della privacy
Lo pseudonimo consente di rintracciare i dati alle sue origini, il che distingue la pseudonimizzazione dall’anonimizzazione, dove tutti i dati relativi alle persone che potrebbero consentire il backtracking sono stati eliminati. La pseudonimizzazione è un problema, ad esempio, nei dati relativi al paziente che devono essere trasmessi in modo sicuro tra i centri clinici.
L’applicazione della pseudonimizzazione all’e-health intende preservare la privacy e la riservatezza dei dati del paziente. Consente l’uso primario delle cartelle cliniche da parte di fornitori di assistenza sanitaria autorizzati e la privacy preservando l’uso secondario da parte dei ricercatori. Negli Stati Uniti, HIPAA fornisce linee guida su come i dati sanitari devono essere gestiti e dati de-identificazione o pseudonimizzazione è un modo per semplificare la conformità HIPAA. Tuttavia, la semplice pseudonimizzazione per la conservazione della privacy spesso raggiunge i suoi limiti quando sono coinvolti dati genetici (vedi anche privacy genetica). A causa della natura identificativa dei dati genetici, la depersonalizzazione spesso non è sufficiente a nascondere la persona corrispondente. Le soluzioni potenziali sono la combinazione di pseudonimizzazione con frammentazione e crittografia.
Un esempio di applicazione della procedura di pseudonimizzazione è la creazione di set di dati per la ricerca di de-identificazione sostituendo le parole identificative con parole della stessa categoria (ad esempio sostituendo un nome con un nome casuale dal dizionario dei nomi), tuttavia, in questo caso non è in generale possibile rintracciare i dati alle sue origini.
Nuova definizione di pseudonimizzazione ai sensi di GDPREdit
In vigore dal 25 maggio 2018, il Regolamento generale sulla protezione dei dati (GDPR) dell’UE definisce la pseudonimizzazione per la prima volta a livello UE nell’articolo 4(5). Ai sensi dell’articolo 4, paragrafo 5, requisiti definitivi, i dati sono pseudonimizzati se non possono essere attribuiti a un interessato specifico senza l’uso di informazioni aggiuntive conservate separatamente.”I dati pseudonimizzati rappresentano lo stato dell’arte nella protezione dei dati per progettazione e per impostazione predefinita perché richiedono la protezione di identificatori diretti e indiretti (non solo diretti). La protezione dei dati GDPR in base alla progettazione e ai principi predefiniti incorporati nella pseudonimizzazione richiede la protezione di identificatori diretti e indiretti in modo che i dati personali non siano referenziabili (o ri-identificabili) tramite l ‘ “Effetto mosaico” senza accesso a “informazioni aggiuntive” che sono conservate separatamente dal titolare del trattamento. Poiché l’accesso a “informazioni aggiuntive” conservate separatamente è necessario per la ri-identificazione, l’attribuzione dei dati a uno specifico interessato può essere limitata dal titolare del trattamento solo per supportare scopi legittimi.
GDPR L’articolo 25(1) identifica la pseudonimizzazione come una “misura tecnica e organizzativa appropriata” e l’articolo 25(2) richiede ai responsabili del trattamento di:
“implement attuare misure tecniche e organizzative appropriate per garantire che, per impostazione predefinita, vengano trattati solo i dati personali necessari per ciascuna specifica finalità del trattamento. Tale obbligo si applica alla quantità di dati personali raccolti, all’entità del loro trattamento, al periodo di conservazione e alla loro accessibilità. In particolare, tali misure garantiscono che, di norma, i dati personali non siano resi accessibili a un numero indefinito di persone fisiche senza l’intervento della persona.”
Un nucleo centrale della protezione dei dati per progettazione e per impostazione predefinita ai sensi dell’articolo 25 del GDPR è l’applicazione di controlli tecnologici che supportano usi appropriati e la capacità di dimostrare che è possibile, di fatto, mantenere le promesse. Tecnologie come la pseudonimizzazione che impongono la protezione dei dati in base alla progettazione e per impostazione predefinita mostrano ai singoli interessati che, oltre a trovare nuovi modi per ricavare valore dai dati, le organizzazioni stanno perseguendo approcci tecnici altrettanto innovativi per proteggere la privacy dei dati—un problema particolarmente sensibile e di attualità data l’epidemia di violazioni della sicurezza
Le aree di attività economica vivaci e in crescita—l ‘ “economia fiduciaria”, la ricerca sulle scienze della vita, la medicina/educazione personalizzata, l’Internet delle cose, la personalizzazione di beni e servizi—si basano sulla fiducia degli individui che i loro dati sono privati, protetti e utilizzati solo per scopi appropriati che apportano loro e alla società il massimo valore. Questa fiducia non può essere mantenuta utilizzando approcci obsoleti alla protezione dei dati. La pseudonimizzazione, come recentemente definita dal GDPR, è un mezzo per aiutare a ottenere la protezione dei dati in base alla progettazione e per impostazione predefinita per guadagnare e mantenere la fiducia e servire in modo più efficace aziende, ricercatori, operatori sanitari e tutti coloro che fanno affidamento sull’integrità dei dati.
La pseudonimizzazione conforme al GDPR non solo consente un uso più rispettoso della privacy dei dati nell’odierno mondo dei “big data” di condivisione e combinazione dei dati, ma consente anche ai titolari del trattamento e ai responsabili del trattamento di trarre benefici espliciti ai sensi del GDPR per i dati correttamente pseudonimizzati.I vantaggi di dati correttamente pseudonimizzati sono evidenziati in più articoli GDPR, tra cui:
- Articolo 6, paragrafo 4, come salvaguardia per contribuire a garantire la compatibilità del nuovo trattamento dei dati.
- Articolo 25 come misura tecnica e organizzativa per aiutare a far rispettare i principi di minimizzazione dei dati e il rispetto della protezione dei dati in base alla progettazione e agli obblighi predefiniti.
- Articoli 32, 33 e 34 come misura di sicurezza che contribuisce a rendere “improbabile che le violazioni dei dati comportino un rischio per i diritti e le libertà delle persone fisiche”, riducendo così la responsabilità e gli obblighi di notifica per le violazioni dei dati.
- Articolo 89, paragrafo 1, come salvaguardia in relazione al trattamento a fini di archiviazione nell’interesse pubblico; a fini di ricerca scientifica o storica; o a fini statistici; inoltre, i vantaggi della pseudonimizzazione ai sensi dell’articolo 89, paragrafo 1, offrono anche una maggiore flessibilità ai sensi:
- Articolo 5, paragrafo 1, lettera b) per quanto riguarda la limitazione delle finalità;
- Articolo 5, paragrafo 1, lettera e), per quanto riguarda la limitazione della conservazione; e
- Articolo 9, paragrafo 2, lettera j), per quanto riguarda il superamento del divieto generale di trattamento Articolo 9, paragrafo 1, categorie speciali di dati personali.
- Inoltre, i dati correttamente pseudonimizzati sono riconosciuti nell’articolo 29 Parere del Gruppo di lavoro 06/2014 come ” playing un ruolo per quanto riguarda la valutazione dell’impatto potenziale del trattamento sull’interessato…tipping the balance in favor of the controller ” per contribuire a sostenere il trattamento degli interessi legittimi come base giuridica ai sensi dell’articolo GDPR 6(1)(f). Beneficia di un trattamento di dati personali utilizzando pseudonymized abilitato Interesse Legittimo, quale base giuridica, sotto la GDPR includono, senza limitazione:
- ai Sensi dell’Articolo 17, paragrafo 1, lettera c), se il titolare dimostra che “sono legittimi motivi per l’elaborazione di” supportato da misure tecniche e organizzative per soddisfare il bilanciamento di interessi test, hanno una maggiore flessibilità in conformità con il Diritto ad essere Dimenticati richieste.
- ai Sensi dell’Articolo 18, paragrafo 1, lettera d), il titolare del trattamento è flessibilità nel rispetto pretende di limitare il trattamento dei dati personali, se possono dimostrare di avere le misure tecniche e organizzative in modo che i diritti del titolare correttamente la priorità su quelle del soggetto interessato, perché i diritti dell’interessato sono protetti.
- Ai sensi dell’articolo 20, paragrafo 1, i titolari del trattamento che utilizzano il trattamento di interessi legittimi non sono soggetti al diritto alla portabilità, che si applica solo al trattamento basato sul consenso.
- ai Sensi dell’Articolo 21, paragrafo 1), il titolare del trattamento utilizza Interesse Legittimo del trattamento, potranno essere in grado di dimostrare di possedere adeguate misure tecniche e organizzative in modo che i diritti del titolare correttamente la priorità su quelle del soggetto interessato, perché i diritti dell’interessato sono protetti; tuttavia, i soggetti interessati hanno sempre il diritto, ai sensi dell’Articolo 21, paragrafo 3) per non ricevere direct marketing, relazioni con il risultato di tale elaborazione.