Sulla base di quale normativa è possibile l'anonymizzazione dei dati personali e cosa significa effettivamente anonymizzare? Queste domande sono particolarmente importanti nel contesto dei Big Data e dell'intelligenza artificiale.
Introduzione
La GDPR si applica solo ai dati personali o collegabili a una persona. Essa definisce in Art. 4 Nr. 5 la pseudonimizzazione come un modo per trarre conclusioni su una persona da dati già disponibili. I dati pseudonimi sono quindi anch'essi coperti dalla GDPR, perché sono collegabili a una persona.
Il concetto di personenbeziehbarkeit deve essere compreso in senso molto ampio. Ciò risulta, ad esempio, dal giudizio della Corte di Giustizia dell'Unione Europea del 19.10.2016 – C-582/14, secondo cui anche le indirizzi IP dinamici devono essere considerati dati personali (in quanto personenbeziehbare). Il Tribunale Federale ha confermato ciò.
La mia tesi: l'anonimizzazione dei dati personali per scopi legittimi è sempre consentita.
La mia tesi, per cui nel contributo fornisco argomentazioni.
Il Tribunale di Giustizia dell'Unione Europea ha stabilito che i dati possono essere considerati come dati personali anche se, in teoria, potesse essere possibile, con l'ausilio di terzi come servizi segreti o fornitori di telecomunicazioni, dedurre un individuo da un dato.
La GDPR si applica quindi a tutti i dati che hanno un riferimento a una persona fisica o, con maggiori sforzi ragionevoli e oggettivamente realizzabili, potrebbero essere riferiti a una persona fisica.
Dati anonimi e dati anonimizzati
Dati anonimi sono per definizione non personali e non identificabili.
Il GDPR non si applica ai dati anonimi.
I dati anonimi non sono per sé riferibili a una persona.
A causa di applicazioni Big Data, a cui appartiene anche la Intelligenza Artificiale, sarebbe possibile, nel singolo caso, individuare una persona specifica attraverso l'analisi di un'enorme massa di dati con una certa probabilità. Ciò può essere fatto solo se esiste un registro delle persone. Se non esiste un registro delle persone, logicamente non è possibile derivare alcun collegamento a una persona (effettivamente o sicuramente) da dati anonimi.
I dati anonimizzati possono essere definiti dati che, pur essendo anonimi, derivano da dati personali. La seguente tabella illustrerà la differenza.
| Anonimo vs. anonimizzato | Fonte dei dati |
|---|---|
| Dati anonimi | caso fortuito o simile. |
| Dati anonimizzati | Dati personali |
In ultima analisi, la terminologia non conta, a condizione che l'anonymizzazione sia stata eseguita perfettamente. Teoricamente sarebbe comunque possibile che un procedimento di anonymizzazione non sia matematicamente infallibile, lasciando aperte possibilità numeriche o stocastiche per poter annullare o "crackare" l'anonymizzazione non avvenuta.
La questione di quando un'anonimizzazione sia perfetta non verrà esaminata ulteriormente. Piuttosto, si analizzerà se il processo di anonimizzazione sia conforme al GDPR. Prima di ciò, alcuni esempi chiariranno la differenza tra dati pseudonimizzati e dati anonimi,
Esempi di dati pseudonimizzati, anonimizzati e anonimi
I dati pseudonimi sono dati che non sono personali, ma possono essere riferiti a persone aggiungendo ulteriori informazioni. Questa è la mia spiegazione informale di una definizione che in Art. 4 Nr. 5 GDPR viene data in modo diverso, ma secondo la mia valutazione è identica al nucleo.
Pseudonimi e dati pseudonimizzati saranno considerati qui come sinonimi per semplicità. È possibile che non ci sia alcuna differenza tra questi due termini, cosa che tuttavia non ho esaminato in dettaglio e che, per ora, considero irrilevante.
Come punto di partenza per dati pseudonimi si utilizza in questo esempio un dato personale, cioè l'IP-Adresse esemplificativa 192.168.66.77. La seguente tabella mostra diverse possibilità di memorizzare una informazione relativa all'indirizzo IP che potrà essere valutata successivamente.
| Tipo di valore dei dati | Esempio di espressione | Regola educativa |
|---|---|---|
| Pseudonimo | 4711 | Crea un valore hash dall'input e sostituisci l'input con esso |
| Pseudonimo | 192.168.66.x | Eguagliare l'ultimo byte dal valore di input |
| Pseudonimo | 0815 | Assegna a un valore di input un valore casuale e salva il valore di input e il valore casuale in database separati |
| Anomimizzati | 0815 | Assegna un valore casuale al valore di input. Invia il valore casuale a un terzo che lo elabori. Nel terzo (importatore di dati) i dati sono idealmente anonimi, nel datore di dati i dati sono personali. |
| Anonimo | 0815 | Genera un valore casuale (completamente indipendente dal valore di input). Il valore di input può persistere per scopi legittimi |
Come mostra la tabella, non è possibile determinare direttamente da un valore se è pseudonimizzato, anonimo o anonimizzato. Piuttosto, è importante considerare la regola di formazione del valore. È altrettanto importante valutare se esiste una possibile correlazione tra il valore di input e il valore di output e se tale correlazione è ricostruibile, ad esempio tramite la lettura di dati aggiuntivi o attraverso l'individuazione della logica dietro alla regola di formazione (tenuta segreta).
Nelle informazioni anonimizzate e anonime non conta se i dati personali raccolti esistono ancora o meno. I dati anonimizzati e anonimi sono sempre senza riferimento a persone e possono mai essere correlabili a persone. I dati che sono correlabili a persone sono per definizione non anonimi e non anonimizzati.
Dati perfettamente anonimizzati hanno lo stesso livello di protezione dei dati di dati anonimi
Conclusione logica derivante dalla definizione del termine "anonymisazione".
I dati anonimizzati sono dati anonimi che sono stati generati in occasione della raccolta di dati personali o correlati a persone. Vedi anche la definizione di Anonymisierung su Wikipedia. Lì si consente addirittura che i dati anonimizzati possano essere presenti se il loro ricollegamento alle persone è teorico o praticamente possibile, benché con un grande e non economico sforzo.
Dal mio punto di vista, i dati anonimizzati includono due prospettive:
- Esportazione dati: Titolare dei dati personali, che li altera. Nel caso del datenexporteur ci sono quindi dati personali per cui esiste un valore alterato in più. Questo valore alterato viene inviato a un terzo, in modo che il terzo non possa annullare l'alterazione
- Importatore di dati: Terza parte (o anche seconda parte), che riceve i dati modificati dal datenexporteur. I dati modificati non consentono di trarre conclusioni su una persona. Presso il datenimporteur, questi dati sono quindi ideali per essere anonimi. Presso il datenexporteur erano o sono stati i dati originali personalizzati
Per una considerazione più approfondita con un esempio pratico, si veda il mio contributo all'analisi del tool Jentis.
Fondamenta legali per l'anonimizzazione dei dati personali
Per poter anonimizzare i dati personali, è necessario ricevere inizialmente tali dati personali. La raccolta di tali dati è secondo l'articolo 4, punto 2 della GDPR una elaborazione dei dati. Che già la conoscenza possibile di dati rappresenti un'elaborazione dei dati (a condizione che ci sia un'offerta in questione), lo avevo precedentemente esaminato ampiamente sul concetto della raccolta di dati e l'ho introdotto il concetto del contenitore dei dati. ([1])
L'anonymizzazione che comporta la cancellazione o distruzione di dati personali deve essere valutata solo in relazione al processo di annullamento dell'identità. La cancellazione o distruzione dei dati presenti è considerata consentita. Si veda il procedimento di cancellazione tramite annullamento dell'identità anche Stürmer Beck, ZD 2020, 626
Il Art. 6 GDPR fornisce le basi giuridiche per cui i dati personali possono essere trattati. Un trattamento è possibile quando si lavora con dati che
- acquisite (di cui è potuta venire a conoscenza)
- raccoglie
- organizzata
- ordinato,
- salvato,
- adattato,
- modificato
- estratto,
- richiesta
- utilizzato
- attraverso la trasmissione rivelata
- diffuso
- fornito
- rispetto
- collegato,
- limitato,
- eliminato o
- distrugge
sono state.
Come processi per l'anonymizzazione possono essere utilizzati ad hoc il utilizzo, il modifica, la cancellazione o la distruzione. Gli ultimi due sono esclusi, perché un'utilizzo dei dati è sempre presente anche quando i dati sono anonimizzati. La modifica non si adatta neanche troppo bene, perché l'informazione contenuta nei dati su una persona non è più disponibile dopo l'anonymizzazione. L'utilizzo di dati personali sarebbe invece già presente e mi sembra essere l'unica possibile attività di elaborazione che possa essere utilizzata per l'anonymizzazione.
Categorie particolari di dati
Se l'anonymizzazione è un'attività di trattamento ai sensi del GDPR, dovrebbe essere preso in considerazione l'articolo 9, comma 1, del GDPR, a condizione che siano presenti categorie particolari di dati personali. Comunque, il comma 2 dello stesso articolo offre la possibilità di trattare le categorie speciali di dati se si tratta di dati personali pubblicamente resi noti. In tal caso, potrebbero essere anonimizzati anche i dati pubblici, anche se si tratta di categorie critiche di dati. La lettera g dello stesso articolo consente l'anonymizzazione per tali dati, anche in presenza di un interesse pubblico rilevante. Un esempio attuale potrebbe essere l'analisi dei dati sanitari per contenere la diffusione di una pandemia. Anche la lettera i dello stesso articolo potrebbe essere utilizzata a tal fine.
Anonimizzazione per l'esplorazione statistica dei dati
In Art. 9 Abs. 2 j GDPR è esplicitamente concessa la autorizzazione per la raccolta statistica di dati di categorie particolari, che si riferisce all'Art. 89 Abs. 1 GDPR. La raccolta statistica di dati e la elaborazione di dati anonimi sono inoltre menzionate nell'considerando 26, dove viene chiarito che il GDPR non è applicabile a tali elaborazioni.
Nel motivo 50 viene descritto ancora una volta esplicitamente: (In Ragione 50 wird es noch einmal expliziet beschrieben:):
La ulteriore elaborazione per […] scopi scientifici […] di ricerca o per fini statistici dovrebbe essere considerata un processo di elaborazione lecito e consentito.
Estratto dalla motivazione 50 del Regolamento generale sulla protezione dei dati (GDPR)
Il considerando 50 afferma esplicitamente che gli scopi statistici costituiscono un trattamento legittimo. Pertanto, a mio avviso, l'anonimizzazione dei dati personali per scopi scientifici o statistici è sempre consentita, a condizione che gli scopi del trattamento dei dati allora anonimizzati siano legittimi.
Responsabilità per la gestione dei dati
Con l'esempio dell'indirizzo IP, che viene sempre raccolto quando si accede a un sito web, voglio mostrare in quali casi nasce la responsabilità per l'elaborazione dei dati.
Quando un utente visita un sito web, il gestore del sito riceve dall'utente l'indirizzo di rete, ovvero l'indirizzo IP. L'indirizzo di rete è un dato personale. Il gestore del sito ha quindi trattato dati personali dell'utente perché
a) che il sito Web costituisca un'offerta,
b) l'utente ha accettato l'offerta,
c) l'utente ha trasmesso al gestore del sito web il proprio indirizzo di rete come dato personale,
d) il gestore del sito web ha ricevuto (raccogliendo) e quindi elaborato l'indirizzo di rete tramite il suo server web.
Per questo motivo ogni sito web deve avere una dichiarazione dei diritti sulla privacy in conformità all'articolo 12 del GDPR . Le eccezioni sono siti web vuoti o quasi vuoti che non perseguono alcun obiettivo. Questa normativa giuridica è però a volte anche ai guardiani della privacy sconosciuta. Un esempio lo mostra. Io avevo scritto al responsabile, con cui ho avuto un incontro personale, e gli spiegai la situazione. Lui non rispose e lasciò in sospeso anche la mia richiesta. La mia mail è nota a lui perché l'ha inserita nella sua lista di distribuzione, che lui alimenta manualmente con email contenenti informazioni che arrivano anche a me. Alla fine gli ho comunicato che il suo sito web sarà citato come esempio negativo in un articolo (in questo). ([1]) ([2])
La visita a un sito web significa quindi il legittimo ottenimento di un indirizzo di rete identificativo, perché ciò è tecnicamente necessario.
Può questa indirizzo di rete essere anonimizzato? L'art. 6 del GDPR stabilisce le basi legali per la trattazione dei dati. Ecco ciò che è rilevante in questo contesto Art. 6 comma 1 f GDPR, cioè il giusto interesse. La dichiarata volontà di dare il consenso non voglio discuterla ulteriormente, ma la affronterò da un altro punto di vista.
Il brano di testo rilevante sull'interesse legittimo afferma che il trattamento dei dati è legittimo
…, salvo che gli interessi o i diritti fondamentali e le libertà fondamentali della persona interessata, che richiedono la protezione dei dati personali, prevalgano
Estratto dall'articolo 6, paragrafo 1, lettera f del Regolamento generale sulla protezione dei dati (GDPR)
Durante l'anonimizzazione non vengono generate dati protetti. Piuttosto, i dati personali già raccolti rimangono esattamente nella stessa forma e non vengono né trasferiti a terzi né elaborati in modo protetto.
Siccome a mio avviso l'articolo 6 comma 1 f della GDPR consente la anonimizzazione dei dati personali, a condizione che vi sia un interesse legittimo del responsabile per tale azione, un tale interesse potrebbe essere la sviluppo di procedure dell'intelligenza artificiale o qualsiasi altro scopo lecito che sembra comprensibile.
Altrimenti, l'anonymizzazione potrebbe essere intesa come un processo che non è coperto dalla trattazione dei dati secondo la GDPR e quindi non richiederebbe alcuna base giuridica, rendendolo sempre possibile (almeno se gli scopi della trattazione dei dati anonimi sono legittimi). Vedi a questo proposito l'articolo Anonymisierung come trattamento rilevante per la protezione dei dati? nella rivista ZD 2020.
Scopo del trattamento
La anonimizzazione dei dati presenti è spesso destinata a un altro scopo rispetto a quello originario. L'art. 6, comma 4 della GDPR stabilisce che si debba verificare
…se la elaborazione è compatibile con quella per la quale i dati personali sono stati originariamente raccolti…
Estratto dall'articolo 6, paragrafo 4 del Regolamento generale sulla protezione dei dati (GDPR)
Anche Art. 5 comma 1 f GDPR introduce un vincolo di scopo e una verifica dello scopo. Io vedo però lo scopo dell'anonymizzazione come riconducibile allo scopo dell'utilizzo dei dati anonimizzati. E qui sono dell'opinione che ogni legittimo scopo dell'utilizzo dei dati anonimizzati sia sufficiente a giustificare l'anonymizzazione, e quindi l'interesse legittimo.
Secondo il mio parere, lo scopo dell'anonimizzazione non è rilevante, purché sussista un legittimo interesse del responsabile ai sensi dell'art. 6, par. 1, lett. f) del GDPR. Gli altri articoli dell'art. 6, par. 4 del GDPR stabiliscono:
- Lettera a: il collegamento tra gli scopi, ovvero quello originale e quello di anonimizzazione
- Lettera b: rapporto tra l'interessato e il responsabile
- Lettera c: Tipo di dati personali
- Lettera d: Possibili conseguenze della prevista ulteriore elaborazione
- Lettera e: Presenza di garanzie adeguate
La mia opinione sull'anonimizzazione, per quanto riguarda le lettere, è la seguente:
- Lettera d: In caso di anonimizzazione perfetta, non sussistono per sé conseguenze rilevanti
- La lettera "e" è irrilevante in caso di anonimizzazione perfetta
- La lettera c è quindi altrettanto irrilevante in caso di anonimizzazione perfetta
- La lettera b potrebbe essere rilevante per la questione se sussista un legittimo interesse. Eventualmente, in un contesto di anonimizzazione perfetta, questa lettera potrebbe essere del tutto irrilevante, cosa che la giurisprudenza dovrebbe chiarire
- Per quanto riguarda la lettera a, secondo me vale lo stesso che per la lettera b
È possibile l'anonimizzazione con il consenso?
La risposta logica è No. Secondo l'articolo 7, comma 3 della GDPR la persona interessata ha il diritto di revocare la sua consapevolezza in qualsiasi momento. L'anonymizzazione per sé non può essere annullata e quindi neanche revocata. ([1])
Se l'anonimizzazione potesse essere annullata, non sarebbe anonimizzazione.
Siccome questa domanda è chiara da rispondere, a condizione che venga riconosciuto il diritto di recesso. Anche un processo di cancellazione non può essere annullato, quindi anche per la cancellazione dei dati l'autorizzazione come base giuridica esclude, a condizione che si voglia riconoscere il diritto di recesso. Ciò vale almeno per la cancellazione perfetta. Se esistono ancora backup, può essere dubitato se si tratta effettivamente di una cancellazione. In ogni caso non ci sarebbe una cancellazione perfetta e la cancellazione sarebbe in realtà stata completata solo parzialmente. Inoltre potrebbe essere considerato ammissibile che nel sistema giuridico i dati cancellati continuino a esistere nei backup. Io però credo che se i dati dei backup fossero stati resi disponibili a terzi, ciò sarebbe stato un grande problema.
Un consenso senza possibilità di revoca è in sé possibile. Almeno la persona interessata dovrebbe essere adeguatamente informata prima del consenso. Ciò però contraddice sia l'articolo 7, paragrafo 3 del GDPR, sia il fatto che si stia dando il consenso a qualcosa che riduce o elimina completamente l'impatto su una persona.
È l'anonimizzazione una modifica dei dati o un collegamento tra dati?
Il termine "elaborazione dei dati" comprende l'associazione o la modifica di dati personali. Un'associazione non può comunque esistere in caso di anonimizzazione, perché in tal caso non si avrebbero dati anonimi.
Una modifica dei dati personali non si verifica comunque nel nucleo essenziale, poiché non rimane nulla dei dati personali o riferibili a persone.
Secondo la mia opinione, ci sono almeno due modi per anonimizzare i dati.
Anonimizzazione nel caso di cancellazione dei dati personali
Se si desidera cancellare i dati personali, in linea di principio è possibile eseguire l'anonimizzazione. Ciò vale indipendentemente da eventuali basi giuridiche che potrebbero contrastarlo. Intendo dire questo solo riguardo al possibile procedimento. Se quindi la cancellazione dovesse essere appropriata o desiderata, durante tale processo sarebbe possibile anonimizzare i dati, direttamente prima della loro cancellazione.
Anonimizzazione tramite conteggio (valutazione statistica)
Con l'anonymizzazione mediante conteggio intendo determinare certi caratteristici, per i quali inizialmente non sono stati trovati nessun risultato. Un esempio di caratteristica è un intervallo d'età delle persone, ad esempio tra 40 e 49 anni. Con l'anonymizzazione mediante conteggio il contenuto dei dati personali può rimanere invariato. Tuttavia, dovrebbe essere garantito che la base di dati considerata sia sufficientemente grande da non cadere in una contabilità individuale. Si confronti con il concetto di k-anonimizzazione, che richiede almeno k individui come massa comune per evitare di trarre conclusioni su persone individuali in modo casuale. Si veda anche Google FloC, un approccio fallito per evitare i cookie.
Esistono un pool di dati con 100.000 persone e una indicazione dell'età per ogni persona, quindi si può contare quanti individui si trovano in quella specifica fascia d'età. Nella banca dati si annota che ad esempio 27.583 persone hanno tra i 40 e i 49 anni. Inoltre possono essere conteggiati ulteriori caratteristiche per tutte le persone. Ciò, tuttavia, sarebbe un esempio di anonimizzazione per cui (almeno in teoria) potrebbe esserci un atto di recesso. Tuttavia, anche un atto di recesso potrebbe comportare dei rischi, perché attraverso i reclami di più persone il pool dati potrebbe ridursi al punto che non sarebbe più possibile una perfetta anonimizzazione. Per evitare ciò si potrebbe fare solo la classificazione per fascia d'età delle x. persone nella massa dati anonima. O si valutano i blocchi di record dei dati tutti insieme. In questo modo, tuttavia, non sarebbe più possibile un atto di recesso, che io considero in generale come molto problematica e spesso anche per me teorizzabile.
Sarebbe ipotizzabile una discriminazione attraverso l'analisi di dati anonimi. Ad esempio, potrebbe essere stabilito che un certo gruppo d'età è più vulnerabile a una certa malattia. Tuttavia, ciò sarebbe una constatazione di fatto (a condizione che lo studio sia rappresentativo), che in realtà è stato fatto anche per il Covid e ha avuto conseguenze negative per molte persone nella vita quotidiana. Se una persona del gruppo d'età specifico potesse avere qualcosa contro la raccolta di tale conoscenza, che potrebbe essere dannosa per lei, non potrebbe far valere un diritto giuridico (in ogni caso, indipendentemente dalla questione se il processo di anonimizzazione dei dati sia consentito). Io lo considererei semplicemente una sfortuna. In ogni caso è anche una sfortuna personale per tutti i bambini che attualmente non possono ricevere un vaccino contro il Covid-19.
Può essere sempre permessa l'anonimizzazione?
La domanda riguarda se l'anonimizzazione dei dati personali sia consentita indipendentemente dalla specifica situazione del responsabile rispetto alla persona interessata e indipendentemente dallo scopo del trattamento iniziale, legittimo, dei dati personali.
Invito a riflettere su un esperimento di pensiero e ricordo che grandi fisici hanno creato le basi della nostra attuale telefonia, dei computer e degli smartphone, nonché la possibilità della navigazione satellitare esclusivamente con questo metodo.
Supponi di aver ottenuto legalmente dati personali di migliaia di persone. Ora anonimizzi questi dati e ottenete un pool di dati con dati completamente anonimizzati.
Come può qualcuno avere conoscenza del fatto che possiede dati anonimizzati? I dati sono infatti anonimi e non possono essere ricollegati a un caso specifico, quindi a una persona in particolare! Nessuno può lamentarsi con lei perché la persona interessata è consapevole di non esserlo. Anche se giuridicamente potrebbe non fare differenza se qualcuno abbia o meno conoscenza di un evento, è così che il processo di anonimizzazione può essere riconosciuto solo da un White Box Insider. Il termine White Box deriva dall'informatica e significa avere una conoscenza approfondita del sistema e poter esaminarne la funzionalità. Ciò si oppone a una Black Box o Grey Box, che permette solo di osservare da fuori. Il termine Insider è stato introdotto in questo contesto proprio da me. Di solito si parla di un White Box Test. Tuttavia, un test è qualcosa di diverso dall'acquisizione di conoscenza. Pertanto, il termine del Insider è stato scelto per indicare una persona che possiede una conoscenza approfondita del sistema.
Si potrebbe dedurre dall'articolo 5, comma 1, lettera a) del GDPR che l'anonymizzazione dei dati personali debba essere comunicata alle persone interessate. Tuttavia, l'articolo 5, comma 1, lettera e) del GDPR consente addirittura un'anonimizzazione, in quanto ciò permette di poter evitare, nel singolo caso, la consultazione diretta o precedente possibile delle informazioni personali. Anche la lettera f) dello stesso articolo consente un'anonimizzazione, poiché ciò aumenta notevolmente la sicurezza dei dati. ([1])
Supponiamo che una "persona interessata" sappia ora che i suoi dati sono stati anonimizzati. La questione se e in che misura sussista un pregiudizio, non la approfondirò qui. Mi interessa piuttosto se e in che modo, da un pool di dati anonimizzati, possano essere rimosse proprio le informazioni derivanti dai dati della "persona interessata". Questa domanda può essere risolta logicamente.
Da un pool di dati anonimizzati, potrebbero non essere completamente rimosse singole informazioni derivate da dati personali. In tal caso, per soddisfare una richiesta legittima della "persona interessata", sarebbe necessario cancellare l'intero pool di dati.
Supponiamo che il pool di dati anonimizzati sia già stato trasferito o combinato con altri dati anonimi. In questo caso, tutte queste altre raccolte di dati anonimi, derivate da un milione di dati di persone, dovrebbero essere cancellate perché una persona ha presentato un reclamo contro il trattamento dei suoi dati personali? Io sostengo che questo non sia il caso.
L'anonimizzazione degli indirizzi IP avviene in Germania quotidianamente miliardi di volte, senza alcuna informazione all'utente. Ritengo ciò conforme alla legge, ad esempio nel conteggio anonimo dei visitatori su un sito web. Ciò vale almeno se non vengono utilizzati cookie che aiutano a evitare un conteggio doppio della stessa persona. Non sono del tutto sicuro se vengano violate le obbligazioni informative se l'anonimizzazione avviene senza preavviso, ma è secondario. Le conseguenze di un'anonimizzazione comunque sono limitate.
Va notato inoltre che un contatore di visitatori non necessariamente elabora dati personali e, se lo fa, potrebbe farlo per scopi correlati a quelli per cui i dati sono stati originariamente raccolti.
Controargomenti
In seguito ad una discussione su XING, vorrei elencare alcuni controargomenti avanzati per sostenere che l'anonimizzazione possa essere giustificata dalla stessa attività di elaborazione dei dati.
Stessa base giuridica?
Come obiezione è stato menzionato:
"_La base giuridica per l'anonymizzazione è la stessa sulla cui base sono stati raccolti i dati personali. Infatti, il trattamento è un processo o, in via di regola (potrebbero esserci eccezioni), una sequenza di processi
Se una serie di operazioni è presente o meno, è rilevante solo se lo scopo all'interno dell'operazione è lo stesso. Questo spesso non è il caso nell'ambito dell'anonimizzazione. Basti pensare alle applicazioni Big Data e alle analisi statistiche per l'acquisizione di conoscenze.
I dati vengono sempre in qualche modo salvati?
La dichiarazione affermava che i dati sarebbero sempre conservati e che quindi il processo di anonimizzazione fosse legittimato.
Questo è sbagliato. La trattazione dei dati in base al GDPR inizia già con la raccolta di dati. La raccolta di dati a sua volta è già la possibilità oggettiva della conoscenza dei dati. Condizione per questo è che una comunicazione sia stata inviata al destinatario dei dati a causa di un'offerta del destinatario dei dati. Vedi in merito il mio contributo sulla raccolta di dati.
I dati vengono sempre in qualche modo trattati, utilizzati o impiegati?
Una parte della controargomentazione era che i dati sarebbero sempre in qualche modo trattati, utilizzati o impiegati. Anche se non lo considero un argomento, vorrei replicare.
I dati non vengono sempre trattati, utilizzati o utilizzati. Questi termini sono anche in parte irrilevanti, perché non fanno parte della definizione della GDPR da Art. 4 comma 2. GDPR. Come scritto nel paragrafo precedente, i dati possono non arrivare nemmeno a conoscenza. Basta che potrebbero arrivare a conoscenza. Una "trattazione" o "utilizzo" dei dati si verifica quindi in nessun caso.
Cancellare è equivalente ad anonimizzare?
Evidentemente, cancellare è diverso da anonimizzare.
L'anonymizzazione delle dati di partenza è infine possibile sotto conservazione dei dati di partenza, il che non sembra essere il caso quando si cancellano i dati.
Al momento del cancellazione viene liberato spazio di archiviazione, mentre al momento dell'anonymizzazione viene consumato in più o altro spazio di archiviazione, a seconda di ciò che accade alle originarie informazioni.
La data anonymizzazione significa un maggiore sforzo rispetto alla cancellazione dei dati. Per l'anonymizzazione sono necessari algoritmi e procedimenti matematici per controllare la perdita del riferimento personale.
Dall'uso linguistico si può dedurre da solo che cancellare qualcosa è diverso dall'anonymizzare. È vero che in entrambi i casi, idealmente, il riferimento alla persona viene perso.
Eliminare ha uno scopo diverso dall'acquisizione, quindi vale anche per l'anonimizzazione?
La cancellazione dei dati ha (sempre?) uno scopo diverso da quello inizialmente perseguito con la raccolta dei dati da cancellare. Quindi, si potrebbe dedurre, anche l'anonimizzazione è consentita per scopi diversi da quelli originali di raccolta dei dati.
Non è vero, perché la cancellazione dei dati è regolata esplicitamente dalla GDPR. La cancellazione è richiesta quando lo scopo dei dati raccolti non è più presente. Vedi ad esempio Articolo 17 della GDPR qui a proposito. Una persona interessata può quindi chiedere la cancellazione, se lo richiede. Al contrario, una persona non può richiedere l'anonymizzazione al posto della cancellazione. Art. 17 comma 3 e limita il diritto di cancellazione per evitare controversie legali, mentre io non vedo alcuna possibilità di limitare l'anonymizzazione dei dati, a patto che si consideri la stessa come ammissibile in generale. Su questo ci si può discutere, perché l'anonymizzazione non riesce sempre perfettamente. Io però mi riferisco all'anonymizzazione perfetta e indiscussa.
Lo scopo dell'anonimizzazione è la distruzione del riferimento alla persona
Questo è vero solo se i dati originali vengono cancellati o distrutti durante l'anonimizzazione. Un'anonimizzazione mantenendo i dati originali non modifica il grado di riferibilità alle persone nel complesso, se si considera l'intero volume dei dati e se l'anonimizzazione riesce perfettamente.
Il fine dell'anonymizzazione, a mio avviso, è più quello di valutare statisticamente i dati per scopi specifici, rispettando i diritti alla personalità. Quali siano questi scopi dipende dall'articolazione della valutazione o dagli obiettivi perseguiti. Ritorno nuovamente a applicazioni di Big Data e applicazioni dell'Intelligenza Artificiale. Ad esempio, si potrebbero anonimizzare i dati delle persone infette da influenza per scoprire se gli uomini sono più spesso affetti che le donne. Si potrebbe quindi attingere a dati completamente diversi. L'esempio è stato preso in prestito e non tiene conto del fatto che categorie speciali di dati personali siano protette dall'Articolo 9 GDPR con un trattamento speciale.
Qual è la responsabilità derivante dall'anonimizzazione?
Come nel caso di collegamenti esterni su siti web, mi sembra che la domanda sulla responsabilità per il processo di anonimizzazione sia collocata. Qualcuno che inserisce un collegamento esterno su una pagina web senza marcarlo come tale potrebbe essere pienamente responsabile delle conseguenti elaborazioni dei dati presso un terzo. Ciò può essere limitato, a condizione che al link provider non sia noto il fatto che il terzo stia trattando i dati in modo illegale, ovvero trasmettendo l'indirizzo di rete e le informazioni sul traffico del visitatore della sua pagina web a un terzo. In questo caso, per lo più nulla accade. Altrimenti potrebbe essere diverso se il collegamento destinatario fosse monitorato da un servizio segreto.
Nell'ottimale anonimizzazione dei dati, accade solo che si esegua un'analisi statistica non critica che non presenta alcun collegamento con le persone. Essere responsabili di questo, matematicamente, non comporta alcuna responsabilità. Una persona interessata potrebbe comunque citare in giudizio il responsabile per l'operazione di anonimizzazione. Tuttavia, mi chiedo cosa comporterebbe la richiesta di citazione. Probabilmente non si potrebbe pretendere un risarcimento danni. Il ricorrente potrebbe citare in giudizio per ottenere il cessazione dell'attività. Molte cose sono possibili, ma secondo me porterebbero a risultati infruttuosi e sembrerebbe più un desiderio di citare in giudizio che altro.
Diversamente potrebbe essere se l'anonimizzazione non fosse perfetta. In questo caso, nel senso stretto del termine, non si avrebbe anonimizzazione, il che potrebbe comportare un trattamento dei dati illecito, in quanto privo di una base giuridica.
Nel complesso, credo che la responsabilità derivante dall'anonimizzazione sia estremamente bassa, o addirittura inesistente. Finché milioni di violazioni evidenti della privacy si verificano su siti web, mi sembra assurdo, sebbene in linea di principio consentito, concentrarsi in modo così superficiale sull'anonimizzazione.
Conclusione
Soprattutto per le applicazioni di intelligenza artificiale come ChatGPT o altri modelli linguistici o procedure di elaborazione di immagini, nonché altre analisi di grandi quantità di dati, è rilevante la domanda sulla anonimizzazione dei dati. Nello specifico per l'intelligenza artificiale si tratta anche del diritto d'autore e della questione dell'adeguata alterazione dei dati. L'anonimizzazione può essere considerata come un'alterazione dei dati.
Per i dati anonimi, il GDPR non è applicabile. Una volta che i dati sono stati anonimizzati, il GDPR non è più applicabile.
Il processo di anonimizzazione dei dati personali o correlati a persone è forse legittimato da una base giuridica ai sensi dell'art. 6, comma 1, del Regolamento generale sulla protezione dei dati (GDPR) in base al quale si fa riferimento all'interesse legittimo. In via eccezionale (per la maggior parte dei casi) è possibile far valere l'interesse legittimo. L'art. 6, comma 4, del GDPR aiuta a valutare se esiste un interesse legittimo. Altrimenti, il motivo di giustificazione n. 50 consente lo svolgimento di trattamenti statistici senza ulteriori vincoli di scopo. ([1])
Ritengo possibile che il legislatore possa emanare una legge che consenta l'anonimizzazione dei dati, fornendo così una disposizione legale in conformità all'articolo 6, paragrafo 2, del GDPR. La sua validità, in caso di dubbio, dovrebbe essere verificata dalla Corte di Giustizia dell'Unione Europea. Tuttavia, credo che una tale legge sarebbe possibile per apportare chiarezza.
Secondo la mia valutazione, è ammissibile ogni forma di anonimizzazione perfetta dei dati personali legittimamente acquisiti, a condizione che gli scopi perseguiti con i dati anonimi siano legittimi. In tal caso, infatti, sempre secondo me, esiste un interesse giustificato per l'anonimizzazione dei dati e si applica il motivo 50, in quanto si tratta di una trattamento statistico. Ritengo che anche gli autori dell'articolo citato sopra nella rivista ZD del 2020 abbiano la stessa visione, poiché gli autori scrivono alla fine della loro analisi: „_Se – come di solito accade – non ci sono indizi per Le interessi contrari della persona interessata esistono, è quindi un trattamento dei dati ammissibile ai sensi della GDPR l'anonymizzazione dei dati personali
Posso anche immaginarmi che l'anonymizzazione di dati personali illegalmente ottenuti, non protetti da un particolare regime di tutela, sia ammissibile dal punto di vista del diritto alla protezione dei dati, poiché mediante l'anonymizzazione dei dati accade solo ciò che potrebbe avvenire al meglio con la creazione di nuove conoscenze (senza riferimento alle persone). Ciò è scritto, come sopra, in relazione alla tutela dei dati e non alla giustizia penale o simili.
Il mantenimento di una conoscenza non è, a mio giudizio, generalmente vietato e non può essere vietato da un punto di vista di tutela dei dati personali, se la base dei dati non è protetta. Mi riferisco solo alla protezione dei dati personali e non a una classificazione penale, ad esempio per il furto di documenti.
Se dovesse emergere una nuova conoscenza dall'analisi di documenti riservati, ritengo moralmente accettabile, purché non vi sia alcun riferimento a persone e i documenti riservati siano stati trattenuti per motivi puramente strategici o politici. Dal punto di vista giuridico, questo potrebbe essere valutato diversamente da servizi segreti o simili, anche se sorge la questione di quanto siano legittime le attività di singoli servizi segreti e delle leggi che ne definiscono il funzionamento. Anche il diritto penale potrebbe avere una prospettiva diversa, ma sto parlando solo della protezione dei dati in base al GDPR.
Mi piacerebbe conoscere il tuo parere in merito, anche con la citazione di eventuali basi giuridiche che potrebbero contraddire i miei argomenti. Indico questo contributo come provvisorio e non lo considero ancora definitivo in alcune parti. Aggiornamento: dopo la pubblicazione del post, nessuno ha espresso dubbi seri. Ciò suggerisce almeno che al momento non sembrano esserci dubbi significativi.
Principali punti chiave di questo articolo
I dati anonimizzati possono essere elaborati senza il consenso della persona interessata, poiché non rientrano più nella categoria dei dati personali.
I dati pseudonimizzati possono essere ricollegati a persone tramite informazioni aggiuntive, mentre i dati anonimi non possono mai essere associati a persone.
I dati anonimizzati possono essere considerati in modo diverso sia dal "esportatore di dati" (quello che rende i dati anonimi) sia dall' "importatore di dati" (quello che riceve i dati).
Il GDPR consente l'anonimizzazione dei dati per scopi scientifici e statistici, anche se si tratta di dati sensibili.
La perfetta anonimizzazione significa che i dati vengono modificati in modo da non poter più essere attribuiti a una persona specifica.
Anche se i dati anonimizzati possono fornire utili informazioni, esiste il rischio che possano comunque essere tracciati fino a singoli individui.
I dati anonimizzati spesso non possono essere completamente separati dai dati originali, rendendo impossibile la completa rimozione delle informazioni di una persona interessata.
Cancellare e anonimizzare i dati sono procedure diverse con scopi distinti.
Sui punti chiave di cui sopra
My name is Klaus Meffert. I have a doctorate in computer science and have been working professionally and practically with information technology for over 30 years. I also work as an expert in IT & data protection. I achieve my results by looking at technology and law. This seems absolutely essential to me when it comes to digital data protection. My company, IT Logic GmbH, also offers consulting and development of optimized and secure AI solutions.
