Il documento discute le differenze tra profilazione e anonimizzazione dei dati secondo il GDPR, evidenziando le misure di protezione dei dati e i diritti degli interessati. Viene anche presentato un caso d'uso dell'anonimizzazione nel progetto 'Trentino Open Living Data' per analizzare flussi di dati, nonché i requisiti per la pseudonimizzazione. Infine, si menzionano le linee guida dell'Article 29 Working Party su big data e anonimizzazione.

1. Profilazione vs. Anonimizzazione
STEFANO TAGLIABUE
Milano, 29 GENNAIO 2016
#READY4EUDATAP

2. #READY4EUDATAP
Profilazione
Profiling: “any form of automated processing of personal data consisting of using those data to evaluate
certain personal aspects relating to a natural person, in particular to analyse or predict aspects
concerning that natural person's performance at work, economic situation, health, personal preferences,
interests, reliability, behaviour, location or movements” [Art. 4.3(aa)]
Adempimenti
 Applicazione delle norme del Regolamento (basi legali per il trattamento, principi privacy, ecc.), con
specifiche misure di salvaguardia (es. PIA) [Recital 58a]
 Informativa per gli interessati, anche su logiche applicate al trattamento dei dati e possibili
conseguenze [Recital 48, Art. 14(h)]
 Diritti di accesso (es. conoscere logiche, finalità e possibili conseguenze del trattamento dei propri
dati) [Recital 51, Art. 15(h)] e diritto di opposizione, in base alla situazione dell’interessato [Art. 19]
 Data protection impact assessment, in caso di sistematica ed estensiva valutazione di aspetti
personali basata su trattamenti automatizzati, inclusa la profilazione, che costituisce la base per
decisioni aventi effetti legali o impatti significativi su un individuo [Recital 71, Art. 33.2(a)]
NOTA: le presenti slide fanno riferimento al “compromise text” di GDPR, emerso dal trilogo tra CE, PE e Consiglio
ed inviato dal Consiglio il 15 dicembre 2015

3. #READY4EUDATAP
Profilazione
“Automated individual decision making, including profiling” [Recital 58, Art. 20]
 ammesso solo se (in alternativa):
a) necessario ai fini di un contratto stipulato con l’interessato;
b) autorizzato dalla legge di uno Stato membro;
c) basato sul consenso dell’interessato (“explicit” vs. “unambiguous” consent).
 Misure idonee a proteggere i diritti degli interessati, compreso il diritto di ottenere un intervento
umano, di esprimere i propri punti di vista e di contestare le decisioni automatizzate.
 Di norma non ammesso per dati sensibili (salute, opinioni politiche, orientamento sessuale, ecc.)
Possibili in futuro linee guida del EDPS [Art. 66.1(ba)]

4. #READY4EUDATAP
Anonimizzazione
Anonymous information: “information which does not relate to an identified or identifiable natural
person or to data rendered anonymous in such a way that the data subject is not or no longer
identifiable”
 Il Regolamento non si applica al trattamento di informazioni anonime
 Per stabilire se l’interessato sia identificabile, occorre tenere conto di “all the means reasonably likely
to be used”, tenendo conto dei relativi costi, tempi e tecnologie disponibili [Recital 23]
Pro: Il trattamento di informazioni anonime non è soggetto al Regolamento
Contro: Impossibilità oggettiva di correlare i dati relativi allo stesso soggetto (anonimo)
(es. è possibile rispondere a domande del tipo: “quanti utenti hanno fruito del servizio?” ma non a domande del tipo:
“degli utenti che hanno fruito del servizio X, quanti hanno anche fruito del servizio Y?”)
Possibili metodi: cancellazione di tutte le informazioni identificative, cifratura e distruzione della relativa
chiave, …
Attenzione al rischio di re-identificazione

5. #READY4EUDATAP
Use case: Trentino Open Living Data
Overview
Analisi di flussi di dati derivati da CDR (traffico telefonico e navigazione internet)
anonimizzati, utilizzati per varie finalità, quali correlazione tra picchi di traffico e
determinati eventi, stima delle aree di provenienza dei visitatori di una mostra, ecc.
(Parte di un più ampio progetto di creazione di una piattaforma di raccolta, analisi e
condivisione dei dati di un territorio, es. consumi di energia, traffico veicolare, traffico
telefonico, per supportare decisioni di aziende e istituzioni, offrire servizi ai cittadini,
monitorare fenomeni sociali, ecc.)
Principali misure di privacy e protezione dei dati
 Struttura dedicata (Laboratorio SKIL), separata organizzativamente e fisicamente dalle funzioni di TI.
 I CDR sono anonimizzati (es. cancellando i numeri chiamanti e chiamati) nei sistemi di TI, prima dell’invio allo SKIL.
 Solo dati già raccolti e trattati da TI sono anonimizzati e inviati allo SKIL (i dati non sono raccolti apposta per il
progetto).
 Finalità limitate alla individuazione di trend e correlazioni nei dati, senza alcun effetto su singoli individui. Solo
informazioni statistiche, aggregate e anonime, sono communicate a terzi.
 Dopo la trasmissione allo SKIL, i CDR anonimizzati sono cancellati dai sistemi di TI.
 Misure di sicurezza per la protezione dei dati durante la trasmissione e il trattamento.

6. #READY4EUDATAP
Pseudonimizzazione
Pseudonymisation: “the processing of personal data in such a way that the data can no longer be
attributed to a specific data subject without the use of additional information, as long as such additional
information is kept separately and subject to technical and organisational measures to ensure non-
attribution to an identified or identifiable person” [Art. 4.3b]
Considerazioni generali:
 I dati pseudonimizzati, che possono essere riattribuiti ad un individuo con l’uso di informazioni
aggiuntive, devono essere considerati dati personali [Recital 23]
 La pseudonimizzazione può ridurre i rischi per gli interessati ed aiutare a rispettare i requisiti privacy
[Recital 23a]
 Conservazione separata delle informazioni aggiutive che consentirebbero di riattribuire i dati
pseudonimizzati [Recital 23c]
 Una delle misure applicabili per realizzare i requisiti di privacy by design [Recital 61, Art. 23] e di
sicurezza dei dati [Art. 30]
 “Unauthorized reversal of pseudonymisation”: elemento da considerare nella valutazione dei rischi
privacy [Recital 60a] e possibile causa di data breach [Recital 67]

7. #READY4EUDATAP
Pseudonimizzazione
Ruolo nel trattamento dei dati personali:
 Elemento da considerare nella valutazione di compatibilità del trattamento dei dati per finalità diverse
da quelle per cui erano stati inizialmente raccolti (es. Big Data analytics) [Art. 6,3a]
Pro: Possibilità di correlare i dati relativi ad uno stesso soggetto (sconosciuto)
(es. è possibile rispondere a domande del tipo: “degli utenti che hanno fruito del servizio X, quanti hanno anche
fruito del servizio Y?”)
Contro: Il trattamento rientra nel campo di applicazione della normativa privacy, con i relativi vincoli
Possibili metodi: crittografia unidirezionale (algoritmi di hashing), …
Requisiti di separazione funzionale

8. #READY4EUDATAP
Use case: Matrici O/D
Overview
Analisi di dati presenti nella rete mobile, per realizzare matrici
origine/destinazione (O/D), cioè tabelle che descrivono la
mobilità della popolazione in una data area, ad esempio per
supportare enti che gestiscono infrastrutture di trasporto, strade,
trasporti pubblici, ecc.
Principali misure di privacy e protezione dei dati
 Crittografia unidirezionale (hashing) per sostiture i dati identificativi (es. IMSI) con codici irreversibili.
 Trattamenti limitati ad analisi aggregated, senza alcun effetto su singoli individui.
 I dati grezzi non sono mai comunicati a terzi.
 Non sono raccolti dati ulteriori rispetto a quelli già presenti nei nodi della rete cellulare (es. non sono utilizzate le
funzionalità di localizzazione attiva della rete).
 Le chiavi di inizializzazione dell’algoritmo di hash sono cambiate periodicamente.
 Particolare cura per escludere gli attributi rari (es.traiettorie da/verso case isolate): 1) aree e intervalli di tempo
sufficientemente ampi, 2) cancellazione dalla matrice dei valori corrispondenti ad un solo spostamento.
Il Garante Privacy non ha rilevato particolari criticità, dall’esame della documentazione del progetto.

9. #READY4EUDATAP
WP 29 Opinions
L’Article 29 Working Party raggruppa le Data Protection Authorities degli Stati membri della UE. I suoi
pareri, pur non avendo carattere cogente, rappresentano importanti riferimenti per l’interpretazione e
l’applicazione della normativa privacy.
Opinion 3/2013 sulla limitazione delle finalità
Riguardo i Big Data, sono descritti due possibili scenari:
 quando l’analisi mira a prevedere preferenze personali, comportamenti e attitudini dei singoli clienti, al
fine di informare misure o decisioni prese verso di loro, è necessario il relativo consenso (opt-in);
 quando l’analisi mira solo ad individuare trend e correlazioni nelle informazioni, senza effetti su singoli
individui, il concetto di separazione funzionale gioca un ruolo chiave. A tal fine, dovrebbero essere
adottate misure, quali l’anonimizzazione, per garantire che i dati non siano disponibili per supportare
misure o decisioni verso gli individui.
Opinion 5/2014 sulle tecniche di anonimizzazione
 Dettagliata analisi, sotto il profilo privacy, delle differenti tecniche di anonimizzazione
 Indicazioni per la corretta applicazione delle tecniche di anonimizzazione e per limitare il rischio di re-
identificazione
 La pseudonimizzazione è considerata un’utile misura di sicurezza ma non un metodo di
anonimizzazione.

10. #READY4EUDATAP
Facci una domanda sul Blog
Contattaci su Twitter