Il concetto di
dato personale è centrale per il GDPR e di conseguenza anche per le imprese: qualsiasi "cattiva gestione" dei dati personali può essere una violazione della norma e portare a
conseguenze economiche molto serie. Si parla quasi sempre del rischio di brecce nella rete e di furti di dati, ma
non c'è solo questo. Anche perdere il classico pendrive con un foglio Excel ricco di informazioni è una possibile violazione. O permettere involontariamente la consultazione di determinati database a personale non autorizzato a consultarli. La
possibile casistica è ampia.
Il punto è che l'ampiezza del
concetto di dato personale secondo il GDPR non è immediatamente percepibile. Per la normativa si tratta di "
qualsiasi informazione riguardante una persona fisica identificata o identificabile" e proprio l'identificabilità costituisce un terreno scivoloso. Appare chiaro che "Mario Rossi, maschio, anni 35, via Verdi 1, 20100 Milano" è un blocco di informazioni sufficiente a identificare una persona e quindi si tratta di dati personali da tutelare. Ma "Signor X, maschio, anni 35, via Verdi 1, 20100 Milano"
lo è altrettanto? Se sì, è un blocco di informazioni che va tutelato. Se no, si può gestire ed elaborare con maggiore libertà.
Non esiste una
risposta univoca a questa domanda. Il GDPR recita che "
si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale". Il blocco di dati "Mario Rossi" permette una identificazione diretta. Il blocco "Signor X" forse no, ma se in via Verdi 1 c'è un solo maschio trentacinquenne allora si ha una identificazione indiretta e si rientra nell'ambito del GDPR.
La questione
non è secondaria: le imprese raccolgono dati personali per elaborarli e per trarne informazioni utili alla loro attività, in tale processo la privacy dei soggetti viene tutelata in vario grado (o dovrebbe esserlo)
aggregando e anonimizzando i dati personali. Il GDPR non vieta questo ma ci impone una verifica sui nostri processi di analisi: i dati che consideriamo "astratti" - e che per questo gestiamo con meno controlli o poniamo all'esterno dell'impresa -
lo sono davvero o da questi è ancora possibile risalire ai diretti interessati?
Le funzioni di anonimizzazione e pseudonimizzazione sono la risposta più comune all'esigenza di trattare dati personali in forma corretta dal punto di vista della privacy. La cronaca IT ha messo però in evidenza casi in cui specifici algoritmi di pseudononimizzazione erano
facilmente reversibili o altri in cui è stato relativamente semplice identificare singole persone conservate in un database apparentemente anonimizzato,
incrociando i suoi dati con quelli di altre basi dati liberamente disponibili.
Questo
non vuol dire che anonimizzazione, pseudononimizzazione e aggregazione siano ora funzioni a priori inadeguate. Con l'avvento del GDPR si ha l'
occasione di valutare - per tutti i processi di gestione dei dati che possono essere coinvolti e
per tutti i database che contengono informazioni potenzialmente sensibili - l'efficacia dei sistemi che usiamo, la quale non va data per scontata.