Profilazione vs. Anonimizzazione

STEFANO TAGLIABUEMilano, 29 GENNAIO 2016

#READY4EUDATAP

#READY4EUDATAP

Profilazione

Profiling: “any form of automated processing of personal data consisting of using those data to evaluate

certain personal aspects relating to a natural person, in particular to analyse or predict aspects

concerning that natural person's performance at work, economic situation, health, personal preferences,

interests, reliability, behaviour, location or movements” [Art. 4.3(aa)]

Adempimenti

Applicazione delle norme del Regolamento (basi legali per il trattamento, principi privacy, ecc.), con

specifiche misure di salvaguardia (es. PIA) [Recital 58a]

Informativa per gli interessati, anche su logiche applicate al trattamento dei dati e possibili

conseguenze [Recital 48, Art. 14(h)]

Diritti di accesso (es. conoscere logiche, finalità e possibili conseguenze del trattamento dei propri

dati) [Recital 51, Art. 15(h)] e diritto di opposizione, in base alla situazione dell’interessato [Art. 19]

Data protection impact assessment, in caso di sistematica ed estensiva valutazione di aspetti

personali basata su trattamenti automatizzati, inclusa la profilazione, che costituisce la base per

decisioni aventi effetti legali o impatti significativi su un individuo [Recital 71, Art. 33.2(a)]

NOTA: le presenti slide fanno riferimento al “compromise text” di GDPR, emerso dal trilogo tra CE, PE e Consiglio

ed inviato dal Consiglio il 15 dicembre 2015

#READY4EUDATAP

Profilazione

“Automated individual decision making, including profiling” [Recital 58, Art. 20]

ammesso solo se (in alternativa):

a) necessario ai fini di un contratto stipulato con l’interessato;

b) autorizzato dalla legge di uno Stato membro;

c) basato sul consenso dell’interessato (“explicit” vs. “unambiguous” consent).

Misure idonee a proteggere i diritti degli interessati, compreso il diritto di ottenere un intervento

umano, di esprimere i propri punti di vista e di contestare le decisioni automatizzate.

Di norma non ammesso per dati sensibili (salute, opinioni politiche, orientamento sessuale, ecc.)

Possibili in futuro linee guida del EDPS [Art. 66.1(ba)]

#READY4EUDATAP

Anonimizzazione

Anonymous information: “information which does not relate to an identified or identifiable natural

person or to data rendered anonymous in such a way that the data subject is not or no longer

identifiable”

Il Regolamento non si applica al trattamento di informazioni anonime

Per stabilire se l’interessato sia identificabile, occorre tenere conto di “all the means reasonably likely

to be used”, tenendo conto dei relativi costi, tempi e tecnologie disponibili [Recital 23]

Pro: Il trattamento di informazioni anonime non è soggetto al Regolamento

Contro: Impossibilità oggettiva di correlare i dati relativi allo stesso soggetto (anonimo)

(es. è possibile rispondere a domande del tipo: “quanti utenti hanno fruito del servizio?” ma non a domande del tipo:

“degli utenti che hanno fruito del servizio X, quanti hanno anche fruito del servizio Y?”)

Possibili metodi: cancellazione di tutte le informazioni identificative, cifratura e distruzione della relativa

chiave,…

Attenzione al rischio di re-identificazione

#READY4EUDATAP

Use case: Trentino Open Living Data

Overview

Analisi di flussi di dati derivati da CDR (traffico telefonico e navigazione internet)

anonimizzati, utilizzati per varie finalità, quali correlazione tra picchi di traffico e

determinati eventi, stima delle aree di provenienza dei visitatori di una mostra, ecc.

(Parte di un più ampio progetto di creazione di una piattaforma di raccolta, analisi e

condivisione dei dati di un territorio, es. consumi di energia, traffico veicolare, traffico

telefonico, per supportare decisioni di aziende e istituzioni, offrire servizi ai cittadini,

monitorare fenomeni sociali, ecc.)

Principali misure di privacy e protezione dei dati

Struttura dedicata (Laboratorio SKIL), separata organizzativamente e fisicamente dalle funzioni di TI.

I CDR sono anonimizzati (es. cancellando i numeri chiamanti e chiamati) nei sistemi di TI, prima dell’invio allo SKIL.

Solo dati già raccolti e trattati da TI sono anonimizzati e inviati allo SKIL (i dati non sono raccolti apposta per il

progetto).

Finalità limitate alla individuazione di trend e correlazioni nei dati, senza alcun effetto su singoli individui. Solo

informazioni statistiche, aggregate e anonime, sono communicate a terzi.

Dopo la trasmissione allo SKIL, i CDR anonimizzati sono cancellati dai sistemi di TI.

Misure di sicurezza per la protezione dei dati durante la trasmissione e il trattamento.

#READY4EUDATAP

Pseudonimizzazione

Pseudonymisation: “the processing of personal data in such a way that the data can no longer be

attributed to a specific data subject without the use of additional information, as long as such additional

information is kept separately and subject to technical and organisational measures to ensure non-

attribution to an identified or identifiable person” [Art. 4.3b]

Considerazioni generali:

I dati pseudonimizzati, che possono essere riattribuiti ad un individuo con l’uso di informazioni

aggiuntive, devono essere considerati dati personali [Recital 23]

La pseudonimizzazione può ridurre i rischi per gli interessati ed aiutare a rispettare i requisiti privacy

[Recital 23a]

Conservazione separata delle informazioni aggiutive che consentirebbero di riattribuire i dati

pseudonimizzati [Recital 23c]

Una delle misure applicabili per realizzare i requisiti di privacy by design [Recital 61, Art. 23] e di

sicurezza dei dati [Art. 30]

“Unauthorized reversal of pseudonymisation”: elemento da considerare nella valutazione dei rischi

privacy [Recital 60a] e possibile causa di data breach [Recital 67]

#READY4EUDATAP

Pseudonimizzazione

Ruolo nel trattamento dei dati personali:

Elemento da considerare nella valutazione di compatibilità del trattamento dei dati per finalità diverse

da quelle per cui erano stati inizialmente raccolti (es. Big Data analytics) [Art. 6,3a]

Pro: Possibilità di correlare i dati relativi ad uno stesso soggetto (sconosciuto)

(es. è possibile rispondere a domande del tipo: “degli utenti che hanno fruito del servizio X, quanti hanno anche

fruito del servizio Y?”)

Contro: Il trattamento rientra nel campo di applicazione della normativa privacy, con i relativi vincoli

Possibili metodi: crittografia unidirezionale (algoritmi di hashing),…

Requisiti di separazione funzionale

#READY4EUDATAP

Use case: Matrici O/D

Overview

Analisi di dati presenti nella rete mobile, per realizzare matrici

origine/destinazione (O/D), cioè tabelle che descrivono la

mobilità della popolazione in una data area, ad esempio per

supportare enti che gestiscono infrastrutture di trasporto, strade,

trasporti pubblici, ecc.

Principali misure di privacy e protezione dei dati

Crittografia unidirezionale (hashing) per sostiture i dati identificativi (es. IMSI) con codici irreversibili.

Trattamenti limitati ad analisi aggregated, senza alcun effetto su singoli individui.

I dati grezzi non sono mai comunicati a terzi.

Non sono raccolti dati ulteriori rispetto a quelli già presenti nei nodi della rete cellulare (es. non sono utilizzate le

funzionalità di localizzazione attiva della rete).

Le chiavi di inizializzazione dell’algoritmo di hash sono cambiate periodicamente.

Particolare cura per escludere gli attributi rari (es.traiettorie da/verso case isolate): 1) aree e intervalli di tempo

sufficientemente ampi, 2) cancellazione dalla matrice dei valori corrispondenti ad un solo spostamento.

Il Garante Privacy non ha rilevato particolari criticità, dall’esame della documentazione del progetto.

#READY4EUDATAP

WP 29 Opinions

L’Article 29 Working Party raggruppa le Data Protection Authorities degli Stati membri della UE. I suoi

pareri, pur non avendo carattere cogente, rappresentano importanti riferimenti per l’interpretazione e

l’applicazione della normativa privacy.

Opinion 3/2013 sulla limitazione delle finalità

Riguardo i Big Data, sono descritti due possibili scenari:

quando l’analisi mira a prevedere preferenze personali, comportamenti e attitudini dei singoli clienti, al

fine di informare misure o decisioni prese verso di loro, è necessario il relativo consenso (opt-in);

quando l’analisi mira solo ad individuare trend e correlazioni nelle informazioni, senza effetti su singoli

individui, il concetto di separazione funzionale gioca un ruolo chiave. A tal fine, dovrebbero essere

adottate misure, quali l’anonimizzazione, per garantire che i dati non siano disponibili per supportare

misure o decisioni verso gli individui.

Opinion 5/2014 sulle tecniche di anonimizzazione

Dettagliata analisi, sotto il profilo privacy, delle differenti tecniche di anonimizzazione

Indicazioni per la corretta applicazione delle tecniche di anonimizzazione e per limitare il rischio di re-

identificazione

La pseudonimizzazione è considerata un’utile misura di sicurezza ma non un metodo di

anonimizzazione.

#READY4EUDATAP

Facci una domanda sul Blog

Contattaci su Twitter