Pseudoanonimizzazione vs anonimizzazione: il recente caso deciso dal CNIL
L’utilizzo dei dati sanitari è fondamentale per il progresso della ricerca scientifica e medica in quanto, grazie all’analisi di un grande quantitativo di dati clinici, è possibile sviluppare nuovi trattamenti, migliorare l’efficacia delle terapie e identificare le tendenze epidemiologiche. Tuttavia, la gestione di questi dati particolari presenta importanti sfide in termini di tutela della privacy.
Spesso, nonostante i soggetti che trattano tali dati affermino di procedere all’anonimizzazione – o siano garantite in questo senso dai loro partner commerciali e/o dai loro fornitori di applicativi per l’anonimizzazione, i dati resi disponibili sono in realtà solo pseudonimizzati, i quali, pur garantendo un livello abbastanza elevato di protezione, rientrano nell’ambito di applicazione del Regolamento Generale sulla Protezione dei Dati (di seguito, “GDPR” o “Regolamento”), con tutte le implicazioni normative che ciò comporta.
Il problema: la pseudoanonimizzazione e l’applicazione del GDPR
Uno degli ostacoli principali nell’utilizzo dei dati sanitari a fini scientifici è la difficoltà di ottenere dati anonimi così come definiti ai sensi del GDPR, ossia dei dati rispetto ai quali non è più possibile associare un individuo identificato o identificabile, neanche indirettamente. Pertanto, i dati anonimi, esulando dall’ambito di applicazione del GDPR, possono essere utilizzati senza particolari restrizioni.
Invece, la pseudoanonimizzazione comporta la rielaborazione dei dati personali in modo tale da renderli non immediatamente associabili a un individuo specifico, ma – a differenza dell’anonimizzazione – tale processo non elimina del tutto la possibilità di reidentificazione del soggetto, anche attraverso l’uso di informazioni aggiuntive conservate separatamente.
Per tale motivo, ai dati pseudonimizzati si applica la disciplina prevista dal GDPR. Questo comporta, tra gli obblighi, l’adozione di misure di sicurezza specifiche, la predisposizione di informative dettagliate per gli interessati, la necessità di trattare i dati utilizzando un’adeguata base giuridica e l’identificazione del titolare del trattamento, ossia il soggetto che determina le finalità e i mezzi del trattamento dei dati, oltre a procedere ad una adeguata valutazione d’impatto.
Il Parere del Gruppo di lavoro Articolo 29: linee guida per l’anonimizzazione
Sul tema, il Gruppo di lavoro Articolo 29 (di seguito, “WP29”), nel suo parere del 2014 (Opinion 05/2014 on Anonymisation Techniques), ha fornito chiare linee guida su cosa debba intendersi per anonimizzazione. Secondo il WP29, in particolare, affinché i dati possano essere considerati anonimi, devono essere resi irriconoscibili, sia direttamente che indirettamente, escludendo qualsiasi possibilità di identificazione, anche combinando i dati con altre informazioni a disposizione di chi li tratta. I criteri chiave per garantire l’anonimizzazione includono:
- l’impossibilità di isolare un individuo specifico all’interno di un dataset (single-out);
- l’impossibilità di collegare diverse informazioni relative a un singolo individuo linkability);
- l’impossibilità di fare deduzioni su un individuo basate sui dati trattati (inference).
Questi principi segnano una netta distinzione tra dati anonimi e pseudonimizzati. La pseudonimizzazione, infatti, consente di proteggere i dati personali tramite la sostituzione degli identificatori diretti (come nomi o codici fiscali) con codici o stringhe criptate, tuttavia, tali dati possono ancora essere ricondotti all’identità degli individui, rendendo necessarie ulteriori misure di protezione e il rispetto delle norme previste dal GDPR.
Contrasti tra la giurisprudenza europea e italiana
In tema di anonimizzazione, la giurisprudenza europea e italiana presenta orientamenti non uniformi.
Un esempio di interpretazione più flessibile emerge dal caso Deloitte, in cui la Corte di Giustizia dell’Unione Europea ha stabilito che, affinché i dati possano essere considerati anonimi, devono essere sottoposti ad un test di reidentificabilità da parte delle autorità garanti. Questo test serve a verificare se il destinatario dei dati “anonimizzati” abbia, con i mezzi concretamente a sua disposizione, la reale possibilità di reidentificare un soggetto specifico.
Al contrario, la giurisprudenza italiana adotta un approccio più severo. In un provvedimento del 1° giugno 2023 (la cui efficacia esecutiva è stata momentaneamente sospesa per effetto dell’impugnazione di tale decisione al TAR), il Garante Privacy ha sanzionato la società Thin S.r.l. per non aver adottato tecniche di anonimizzazione adeguate al trattamento dei dati sanitari. I dati oggetto di tale provvedimento erano raccolti tramite un add-on di un software utilizzato dai medici di base, destinato alla raccolta e trasmissione dei dati sanitari dei pazienti a un database per studi di ricerca medica. Nonostante la società sostenesse di aver utilizzato tecniche avanzate per anonimizzare i dati, quali la crittografia e la sostituzione degli identificatori personali con un codice crittografico (un hash irreversibile, ulteriormente complicato con l’aggiunta di un valore casuale chiamato salt), il Garante ha rilevato come tali misure non rimuovessero la “singolarità” (single-out) dai dati trattati, ovvero l’isolamento di un singolo individuo all’interno di un dataset, lasciando così aperta la possibilità di reidentificazione dei pazienti.
Segnaliamo al riguardo che tale provvedimento è stato emesso dal Garante Privacy sulla scorta di una sua precedente decisione in cui aveva stabilito che anche le radiografie, benché prive di identificatori diretti come nome o cognome, contengono comunque informazioni sufficienti per identificare il paziente e, pertanto, non possono essere considerati dati anonimi (cfr. provvedimento n. 424 del 28.9.2023). Questo approccio palesa come, in molti casi, anche dati apparentemente privi di collegamenti diretti con l’identità del soggetto cui si riferiscono possano comunque permettere la sua identificazione, ricadendo quindi sotto l’ambito di applicazione del GDPR.
Il recente Provvedimento del CNIL contro Cegedim Santé
Con il provvedimento del 5.9.2024 contro la società Cegedim Santé (di seguito, la “Società”), anche il CNIL, che è l’autorità di controllo francese, ha adottato una posizione rigorosa in materia di anonimizzazione dei dati, al pari del Garante Privacy italiano.
In tale provvedimento, in particolare, il CNIL ha sottolineato l’importanza della corretta gestione dei dati sanitari pseudonimizzati e ha sanzionato la Società per non aver adottato misure sufficienti a garantire l’anonimizzazione dei dati sanitari trattati tramite il software CROSSWAY, utilizzato da migliaia di medici per la gestione delle loro agende, delle cartelle cliniche e delle prescrizioni.
Più in particolare, la Società aveva creato un “osservatorio sanitario”, attraverso il quale i medici potevano condividere i dati estratti dalle cartelle cliniche dei pazienti per fini statistici e di studio, in cambio di sconti sull’uso del software. Sebbene la Società sostenesse che i dati fossero stati anonimizzati, l’indagine ha dimostrato che questi erano in realtà solo pseudonimizzati, poiché era ancora possibile risalire all’identità dei pazienti. Infatti, il processo di pseudonimizzazione aveva rimosso gli identificatori diretti, come nome e codice fiscale, ma ogni paziente rimaneva associato ad un identificatore univoco collegato al proprio medico di riferimento. Questo identificatore permetteva infatti di tracciare la storia clinica del paziente nel tempo all’interno dello stesso studio o clinica, mantenendo quindi la possibilità di reidentificazione.
La Società, inoltre, trattando i dati sanitari come se fossero anonimi, non aveva ottenuto il consenso esplicito dei pazienti per l’uso dei loro dati a fini di ricerca e, pertanto, la CNIL ha ulteriormente contestato la mancanza di trasparenza e correttezza in tale attività di trattamento. In aggiunta, la Società non si era identificata quale Titolare del trattamento, aggravando ulteriormente la sua condotta in contrasto con le norme del GDPR.
Il caso Cegedim Santé rappresenta un monito per tutte i soggetti che intendono trattare dati nella propria attività di ricerca scientifica. La distinzione tra dati anonimi e pseudonimizzati è di fondamentale importanza: mentre i dati anonimi non rientrano nell’ambito di applicazione del GDPR, infatti, i dati pseudonimizzati richiedono la piena conformità alle norme del GDPR.
Di conseguenza, ogni soggetto che intende utilizzare dati anonimi nell’ambito della propria attività di ricerca scientifica deve effettuare una rigorosa valutazione sulla banca dati che intende utilizzare, per poi andare ad implementare, se del caso, idonee misure tecniche atte a garantire un’effettiva anonimizzazione dei dati, tenendo conto che solo l’adozione di tecniche di anonimizzazione forti come (i) la generalizzazione e l’astrazione dei dati (ad esempio, sostituendo le date di nascita con intervalli di tempo), (ii) la rimozione completa degli identificatori univoci e (iii) l’utilizzo di tecniche avanzate come la k-anonymity, che garantisce che ogni individuo in un dataset non possa essere distinto da almeno altri k individui, sono idonee a qualificare i dati in questione quali anonimi e quindi al di fuori dell’alveo di applicazione del GDPR.