CRITTOGRAFIA OBBLIGATORIA PER TUTTE LE COMUNICAZIONI ELETTRONICHE? DATI PSEUDONIMI E DATI ANONIMI / by Giampietro Malusa

Una proposta del Parlamento Europeo dello scorso giugno prevede che i fornitori di servizi di comunicazione elettronica debbano garantire sufficiente protezione contro accessi non autorizzati o alterazioni dei dati contenuti nelle comunicazioni elettroniche e che la riservatezza e la sicurezza della trasmissione sia garantita anche dalla natura dei mezzi di trasmissione usati o da una crittografia end-to-end allo stato dell’arte. Inoltre, la proposta prevedrebbe che, in caso di cifratura, siano vietate decrittazione, reverse engineering o monitoraggio delle comunicazioni.

Da notare che la proposta invita a considerare i dati delle comunicazioni elettroniche in modo ampio, così da ricomprendervi qualsiasi informazione relativa al contenuto trasmesso o scambiato, includendo, ad esempio, metadati quali i dati per tracciare e identificare l’origine e la destinazione della comunicazione, il luogo, la data, l’ora, la durata e il tipo della comunicazione.

Come infatti sottolineato dal LIBE (Commissione Libertà civili, Giustizia e Affari Interni del Parlamento Europeo, soggetto proponente), i metadati possono anche rivelare informazioni molto sensibili e personali; metadati quali i numeri chiamati, i siti visitati, il luogo, l’ora, la data e la durata di una telefonata etc. consentono di tracciare precise conclusioni riguardo alla vita privata delle persone coinvolte nella comunicazione elettronica, quali le loro relazioni sociali, le loro abitudini e le attività quotidiane, i loro interessi, gusti etc.

Se quello sopra delineato è uno scenario possibile dell’evoluzione della privacy, non sempre è chiara a tutti, anche ai fini dell’applicazione imminente del nuovo Regolamento Europeo sulla protezione dei dati personali (GDPR), la differenza tra pseudonimizzazione dei dati personali (ad es. mediante crittografia o cifratura) e loro anonimizzazione.

La pseudonimizzazione (che si può ottenere con varie tecniche, tra le quali quelle sopra citate) è il il “trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l'utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile” (art. 4 GDPR). In quanto meccanismo reversibile (i dati pseudonimizzati possono, mediante informazioni aggiuntive, essere decifrati, e tornare ad identificare una persona fisica), la pseudonimizzazione è una misura di sicurezza, la cui adozione è suggerita e caldeggiata apertamente dal legislatore europeo tutte le volte che ciò sia ragionevolmente possibile. Ma i dati personali pseudonimizzati continuano a essere dati personali, soggetti a tutte le regole poste dal GDPR.

L’anonimizzazione, anch’essa ottenibile mediante diverse tecniche, più o meno sicure, è invece un meccanismo irreversibile, per il quale si ottengono informazioni che non possono più tornare a identificare una persona fisica, e i dati anonimi che ne risultano non sono più dati personali, e quindi non sono più soggetti alla disciplina posta dal GDPR.

Fonte: Parlamento Europeo        http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-%2F%2FEP%2F%2FNONSGML%2BCOMPARL%2BPE-606.011%2B01%2BDOC%2BPDF%2BV0%2F%2FEN