Il Comitato europeo per la protezione dei dati – EDPB – ha recentemente approvato le nuove linee guida sulla pseudonimizzazione, oltre ad una dichiarazione che approfondisce l’interazione tra le normative sulla concorrenza e la protezione dei dati.
Pseudonimizzazione: definizione
La pseudonimizzazione è una tecnica di protezione dei dati personali che consiste nel trasformare le informazioni in modo tale che non possano più essere attribuite a un individuo specifico senza l’uso di informazioni aggiuntive.
Queste informazioni aggiuntive devono essere conservate separatamente e protette con misure tecniche e organizzative per garantire che i dati pseudonimizzati non possano essere ricondotti all’interessato senza autorizzazione.
La pseudonimizzazione come strumento per la conformità al GDPR
L’EDPB, attraverso le sue nuove linee guida, fornisce un quadro chiaro sul concetto di pseudonomizzazione e come essa possa essere impiegata per conformarsi al GDPR.
Le indicazioni presentate dal comitato si concentrano su due aspetti chiave:
- Definizione giuridica dei dati pseudonimizzati: i dati pseudonimizzati possono comunque essere considerati dati personali – nel caso in cui esista la possibilità di ricollegarli ad una persona fisica attraverso informazioni supplementari. In sostanza, se il titolare del trattamento o terzi possono riconnettere i dati a un individuo, questi rimangono soggetti alle disposizioni del GDPR;
- Ruolo della pseudonimizzazione nella gestione dei dati: l’adozione della pseudonimizzazione può contribuire a mitigare i rischi associati al trattamento dei dati e facilitare l’applicazione della base giuridica dell’interesse legittimo. In aggiunta, questa tecnica può favorire la compatibilità dell’uso dei dati con la finalità originaria per cui sono stati raccolti.
Pseudonomizzazione e conformità al GDPR
Le linee guida dell’EDPB evidenziano come la pseudonimizzazione possa supportare le organizzazioni nel rispettare i principi fondamentali della protezione dei dati, tra cui:
- Il principio di minimizzazione e limitazione della conservazione (articolo 5 GDPR);
- L’obbligo di adottare misure di protezione dei dati fin dalla progettazione e per impostazione predefinita (articolo 25 GDPR);
- L’implementazione di misure di sicurezza adeguate per prevenire accessi non autorizzati e garantire l’integrità delle informazioni (articolo 32 GDPR).
Consultazione pubblica e prossimi sviluppi
Le linee guida dell’EDPB saranno oggetto di una consultazione pubblica fino al 28 febbraio 2025. In questo lasso di tempo, gli stakeholder potranno contribuire all’ottimizzazione del quadro normativo e al suo adattamento alle più recenti evoluzioni giuridiche.
Questa iniziativa rappresenta un’importante opportunità per rendere più chiara l’applicazione del GDPR, fornendo strumenti pratici per assicurare una gestione dei dati conforme, nel rispetto delle normative europee sulla privacy.
