Il Consiglio europeo ha dato il via libera al nuovo Regolamento europeo in materia di libera circolazione di dati non-personali nel territorio dell’Unione Europea: uno dei pilastri del Digital Single Market. L’obiettivo del nuovo Regolamento è quello di eliminare le barriere territoriali che possono rappresentare un problema ai fini della adozione e dello sviluppo di tecnologie quali il cloud computing, i big data, l’intelligenza artificiale e l’Internet of Things (IoT): tecnologie basate sui dati e considerate, a buon diritto, driver imprescindibili ai fini della crescita economica e dell’incremento della competitività dei Paesi dell’area UE.
Il nuovo Regolamento trova applicazione esclusivamente con riguardo ai dati non-personali, facendo naturalmente salve tutte le previsioni del Gdpr (Regolamento UE 20167679) in materia di dati personali.
Ai fini dell’individuazione della normativa applicabile, occorrerà, quindi, stabilire se un set di informazioni contiene o meno informazioni di carattere personale. Il tema, nella stragrande maggioranza delle ipotesi, non pone particolari problemi: si pensi ai dati relativi a transazioni economiche B2B o ai dati generati da sensori che monitorano il funzionamento di macchinari industriali. Vi sono, tuttavia, delle casistiche più borderline.
In merito ai dati pseudonimizzati, il Gdpr è chiaro nello stabilire che la «pseudonimizzazione», ovvero il processo volto a impedire che i dati personali possano essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive (ad esempio, sostituendo i dati anagrafici di un interessato con un codice numerico), rappresenta un trattamento di dati personali, nella misura in cui essi potrebbero essere attribuiti a una persona fisica mediante l’incrocio con informazioni supplementari (ad esempio, un secondo database nel quale i codici alfanumerici sono associati ai dati identificativi di ciascun interessato).
Tale categoria di dati non rientra, quindi, nella sfera di applicazione del nuovo Regolamento. Diverso è il discorso per le informazioni anonime. Il Gdpr precisa, infatti, che i principi di protezione dei dati personali non dovrebbero applicarsi alle informazioni che non si riferiscono ad una persona fisica identificata o identificabile o a dati personali resi sufficientemente anonimi da impedire o da non consentire più l’identificazione dell’interessato.
Nel caso di informazioni anonime e aggregate, il processo di reidentificazione è pressoché impossibile e, pertanto, di regola, tali informazioni devono essere fatte rientrare nell’ambito applicativo del nuovo Regolamento.
Più complesso è, invece, il caso in cui una banca dati contenga record individuali trasformati in forma anonima. In tal caso, al fine di accertare se un’informazione possa o meno considerarsi anonima, il Gdpr chiarisce che è opportuno prendere in esame tutti i mezzi di cui il titolare del trattamento o un terzo può ragionevolmente avvalersi per identificare detta persona fisica direttamente o indirettamente. Per accertare la ragionevole probabilità di utilizzo dei mezzi per identificare la persona fisica, si dovrebbe prendere in considerazione l’insieme dei fattori obiettivi, tra cui i costi e il tempo necessario per l’identificazione, tenendo conto sia delle tecnologie disponibili al momento del trattamento, sia degli sviluppi tecnologici.
Ogni processo di anonimizzazione non può, quindi, che avere una valenza relativa, sia sotto il profilo temporale, sia sotto il profilo dei mezzi a disposizione del titolare del trattamento. La tecnologia corre veloce: un set di dati che oggi è anonimo, potrebbe non essere più tale in futuro. Come sottolineato dal Gruppo di Lavoro WP 29 con il parere sulle tecniche di anonimizzazione del 10.4.2014, il rischio di identificazione può aumentare col tempo e dipende anche dallo sviluppo della tecnologia dell’informazione e della comunicazione.
Inoltre, un set di dati personali, correttamente anonimizzato da una Pmi, potrebbe non reputarsi più tale, ove venisse trasferito ad un’altra organizzazione, ad esempio, ad un operatore Over The Top: le basi di dati, la potenza di calcolo ed i software a disposizione, variano, infatti, molto da organizzazione ad organizzazione. E, nella stessa misura, varia anche la possibilità di reidentificare le persone a cui i dati si riferiscono.
Pertanto, al fine di poter stabilire se le informazioni contenute in una banca dati siano o meno riconducibili a soggetti identificati o identificabili, l’efficacia dell’anonimizzazione dovrebbe essere verificata al momento del trasferimento e non al momento in cui il database è stato trasformato in forma anonima.
Inoltre, per le ragioni sopra esposte, una valutazione, in concreto, circa l’impossibilità di attribuire le informazioni a persone fisiche determinate dovrebbe essere valutata anche in considerazione dei mezzi a disposizione dell’organizzazione che riceverà tali dati e non solo di quella che provvederà a trasferirli.
Il tema della libera circolazione dei dati presenterà, quindi, innegabili profili di complessità e richiederà una particolare cautela, ogniqualvolta un titolare debba trasferire banche di dati costituiti da record individuali trasformati in forma anonima.