Anonimizzazione parziale

Si crede di anonimizzare completamente un dato. 

Il Garante controlla e non concorda quasi mai.

Pseudonimizzare significa cambiare il nome con uno pseudonimo, un id, un codice di hash. Resta dato personale che permette l'identificazione dell'interessato, il piu' delle volte, tramite altri dati.

Anonimizzare e' invece, spesso, aggregare i dati insieme ad altri, perdendo il "contatto" con il dato originale.

Il provvedimento 9913795 e' utile:

La mera sostituzione dell’ID attribuito ai pazienti, con un sistema di crittografia o un codice hash irreversibile – ha sottolineato l’Autorità – non costituisce, in alcuna circostanza, misura idonea rispetto al requisito della rimozione delle singolarità (single out) necessario a qualificare l’operazione di Trattamento come un’anonimizzazione

Il punto centrale e' il meccanismo di Anonimizzazione ritenuto non adeguato.

Eccolo. Scusate, non lo comprendo.

L’ulteriore affinamento previsto dalla Società che sarebbe “in grado di garantire in particolare il rispetto del principio di non singolarità del dato, modificando il paradigma operativo dell’anonimizzazione da distribuito a centralizzato” e che prevederebbe “l’aggiunta di una base di dati di servizio centralizzata, raggiungibile dai MMG partecipanti al progetto e gestita da una terza parte in qualità di Responsabile del Trattamento dei MMG che si farà carico centralmente di misurare e di garantire l’efficacia del processo di Anonimizzazione prima che i dati vengano trasmessi a Thin S.r.l., scartando o effettuando operazioni aggiuntive sui record che dovessero, per le loro caratteristiche statistiche, presentare rischi significativi di re-identificazione” e la successiva sostituzione dell’hash con un codice progressivo non rimuove l’associazione univoca tra un individuo e il codice con cui questo è rappresentato all’interno della base dati. Esso infatti introduce unicamente un’ulteriore separazione di responsabilità nell’identificazione dell’interessato tramite un intervento di carattere meramente organizzativo non in grado di scongiurare la presenza di singolarità del data set finale presso la terza parte.

La diversa valutazione comporta persino una non corretta inversione dei ruoli: fatto anch'esso sanzionato.

In poche parole la ricerca scientifica non deve seguire la storia del singolo paziente affermando che si tratta di dato anonimo.

Per la ricerca il Dato anonimo non e' quello che il Garante definisce tale.

Il punto centrale nel provvedimento citato e' questo:

"In altre parole, la tecnica di k-anonimity, che consiste nel raggruppare gli interessati sulla base di specifiche combinazioni di attributi, opportunamente generalizzati, in modo che in ciascun raggruppamento siano inclusi almeno k soggetti non distinguibili tra loro, perde efficacia laddove, come nel caso in esame, a ciascun individuo sia associato un hash univoco (codice crittografico) seppur reso più complesso dalla presenza di un elemento di disturbo ignoto (salt)."