TUTELA DEI DATI PERSONALI
Comitato europeo per la protezione dei dati personali: pubblicate le Linee Guida 1/2025 sulla pseudonimizzazione, in consultazione pubblica fino al 28 febbraio 2025.
ll Comitato europeo per la protezione dei dati (EDPB) ha pubblicato le Linee guida 01/2025 sulla pseudonimizzazione per la consultazione pubblica.
Ribandendo la definizione di “pseudonimizzazione” contenuta nell’articolo 4 del GDPR, l’EDPB ha ricordato che la pseudonimizzazione può essere parzialmente o completamente invertita, rendendo nuovamente identificativo (e dunque “personale”) il dato riferito alla persona fisica. Ciò può avvenire per associazione, collegando i dati pseudonimizzati ai dati originali o risalendo ai dati identificativi originali mediante l’utilizzo di informazioni aggiuntive conservate dal titolare del trattamento a tal fine.
Inoltre, le Linee Guida 1/2025 evidenziano, tra l'altro, che:
Quanto alle misure tecniche e alle garanzie per la pseudonimizzazione, l'EDPB ha sottolineato che per implementare la pseudonimizzazione, i titolari del trattamento dovrebbero:
Ribandendo la definizione di “pseudonimizzazione” contenuta nell’articolo 4 del GDPR, l’EDPB ha ricordato che la pseudonimizzazione può essere parzialmente o completamente invertita, rendendo nuovamente identificativo (e dunque “personale”) il dato riferito alla persona fisica. Ciò può avvenire per associazione, collegando i dati pseudonimizzati ai dati originali o risalendo ai dati identificativi originali mediante l’utilizzo di informazioni aggiuntive conservate dal titolare del trattamento a tal fine.
Inoltre, le Linee Guida 1/2025 evidenziano, tra l'altro, che:
- la pseudonimizzazione può aiutare a soddisfare i requisiti di protezione dei dati, come la protezione dei dati fin dalla progettazione e per impostazione predefinita (privacy by design), la sicurezza e le misure supplementari per i trasferimenti internazionali di dati personali;
- in caso di trasmissione a terzi, il titolare del trattamento deve valutare se esiste ancora la riduzione del rischio ottenuta mediante pseudonimizzazione per il trattamento interno;
- il titolare del trattamento deve informare gli interessati sui processi di pseudonimizzazione che riguardano i loro dati personali e su come tali dati possono essere utilizzati per identificarli;
- qualsiasi violazione della sicurezza che porti ad una sorta di reverse engineering del dato e alla re-identificazione costituisce una violazione dei dati personali (data breach).
Quanto alle misure tecniche e alle garanzie per la pseudonimizzazione, l'EDPB ha sottolineato che per implementare la pseudonimizzazione, i titolari del trattamento dovrebbero:
- determinare gli obiettivi che intendono raggiungere con questa misura, per definire il dominio della pseudonimizzazione;
- decidere quali dati devono essere trattati; e
- stabilire determinate informazioni, come ad esempio quali attributi verranno pseudonimizzati, il metodo di pseudonimizzazione da utilizzare e chi lo eseguirà e lo memorizzerà.
