Pseudonimizzazione: le tecniche avanzate dell’Enisa

La pseudonimizzazione rappresenta una misura di protezione dei dati che, seppur già consolidata, ha usufruito di una maggiore attenzione e sensibilità grazie alla sua espressa indicazione all’interno degli artt. 4 n. 5)^[1] e 32 paragrafo 1) lettera a)^[2] del Regolamento UE n. 2016/679: essa è infatti idonea, in linea generale, a contribuire alla riduzione dei rischi circa la protezione dei dati personali, alla luce, peraltro, dei recenti (e ormai famosi) sviluppi sull’attività di trasferimento extra SEE.

In ragione, appunto, dell’indiscutibile e crescente importanza di tale tecnica, in data 28.1.2021 l’Agenzia dell’Unione Europea per la cyber sicurezza (ENISA) ha deciso di pubblicare un ulteriore documento (intitolato “Data Pseudonymisation: Advanced Techniques and Use Cases”) ove, in un ottica di continuità con le relazioni precedentemente pubblicate sul tema nel 2019^[3], esplora e illustra, inter alia, ulteriori tecniche (avanzate) di pseudonimizzazione, fondate su algoritmi crittografici ovvero su tecnologie volte a un oggettivo miglioramento della protezione dei dati personali oggetto di trattamento.

Le (basilari) tecniche di pseudonimizzazione

Ancor prima di occuparsi delle citate tecniche avanzate di pseudonimizzazione, occorre, innanzitutto, illustrare, seppur in via sintetica, quelle considerate basiche o comunque comuni, già peraltro esposte dalla medesima Agenzia all’interno del proprio documento intitolato “Pseudonymisation techniquest and best practices” del 3.12.2019:

• Contatore: essa rappresenta la più elementare tecnica di pseudonimizzazione, consistente nella sostituzione degli identificatori con un numero scelto da un contatore monotono; i suoi vantaggi risiedono nella semplicità di applicazione, soprattutto con riguardo ad un set di pochi e non complessi dati personali;
• Generatore di numeri casuali: è un approccio simile a quello precedente, con la differenza, tuttavia, che un numero casuale viene assegnato all’identificatore;
• Funzione hash crittografica: viene applicato direttamente e in modo unidirezionale a un identificatore al fine di ottenere uno pseudonimo;
• Codice di autenticazione del messaggio: è simile a una funzione hash crittografica, tranne per il fatto che viene introdotta una chiave segreta per generare lo pseudonimo;
• Crittografia simmetrica: è una tecnica fondata sul crittografare un identificatore mediante una chiave segreta.

Al riguardo, giova evidenziare, infine, che, sulla scia di quanto già rilevato dalla medesima Enisa, la scelta di una tecnica di pseudonimizzazione dipende, in via generale, dalla preventiva valutazione di una serie differenti di parametri, tra cui, in particolar modo, il livello di rischio di una re-identificazione e l’utilizzo previsto (o comunque prevedibile) del set di dati personali sottoposto a tale tecnica.

Le tecniche di pseudonimizzazione avanzate

Come anticipato, l’Enisa ha provveduto, proprio di recente, a elaborare alcune nuove tecniche di pseudonimizzazione, di seguito descritte, volte ad affrontare situazioni specifiche e complesse, onde così apportare un significativo miglioramento nel livello di protezione dei relativi dati personali:

• Crittografia asimmetrica: essa offre la possibilità di avere due differenti entità coinvolte nel processo di pseudonimizzazione, ove la prima è volta a creare gli pseudonimi dagli identificatori mediante l’utilizzo della chiave di pseudonimizzazione pubblica, mentre la seconda è in grado di risolvere gli pseudonimi grazie alla relativa chiave segreta (privata)^[4].
• Firme ad anello e pseudonimi di gruppo: una sottoscrizione ad anello è una firma digitale^[5] che viene creata da un membro di un gruppo di utenti, in modo da garantire la seguente caratteristica: il verificatore ha la facoltà di controllare che la firma sia stata effettivamente creata da un membro di quel determinato gruppo, ma, di converso, non può esattamente determinare la persona del gruppo che abbia provveduto a creare quella firma^[6]; invece, la tecnica degli “pseudonimi di gruppo” – proposta, con frequenza, in molti protocolli di tracciamento dei contatti durante l’attuale pandemia “Covid-19” – consiste nel far sì che ogni qual volta due soggetti interessati si incontrano viene creato uno pseudonimo con il contributo di ciascun interessato, così che, a seguito dell’incontro stesso, ambedue i soggetti hanno calcolato lo stesso pseudonimo, e ogni persona interessata possiede un elenco di gruppi (e di pseudonimi) incontrati da verificare in modo pubblico, laddove si registri un evento oggetto d’analisi.
• Catena: consiste nella temporanea creazione di diversi pseudonimi intermedi, onde così ottenere uno pseudonimo finale, il quale rappresenta l’output dell’ultima funzione di hash; ogni pseudonimo è calcolato da un’entità differente, e ogni entità possiede un segreto utilizzato per ottenere uno pseudonimo intermedio^[7].
• Pseudonimi basati su identificatori o attributi multipli: sebbene la pseudonimizzazione sia stata tradizionalmente considerata come un sistema di elaborazione di un identificatore con uno pseudonimo (cd. one to one), essa può, invero, aver a oggetto uno identificatore (es. numero di telefono) legato, però, a persone differenti ovvero più identificatori (es. numero di telefono, di previdenza sociale; nome e cognome) corrispondenti ad un unico individuo.
• Pseudonimi con prova di proprietà: come già osservato, la pseudonimizzazione è una tecnica di protezione dei dati personali che mira a proteggere l’identità delle persone sostituendo i loro identificatori con uno pseudonimo; essa, tuttavia, può interferire, in alcuni casi, con l’esercizio dei diritti del soggetto interessato, laddove, ad esempio, il Titolare del trattamento non abbia accesso agli identificatori (originali) ma soltanto agli pseudonimi, rendendo, pertanto, necessario che l’interessato dimostri la proprio correlazione al relativo pseudonimo. A tal riguardo, è, dunque, utile creare degli pseudonimi con prova di proprietà: tale tecnica consiste nella creazione di uno pseudonimo da parte di una persona interessata la quale, a sua volta, lo trasferisce ad un Titolare del trattamento, soggetto incapace di recuperare dal medesimo pseudonimo alcuna informazione personale.
• Zero knowledge proof: è un metodo (interattivo) utilizzato da un soggetto al fine di dimostrare ad un’altra persona che un’affermazione (solitamente di natura matematica) è vera, senza rivelare nient’altro oltre alla veridicità della stessa; nello specifico, per essere tale deve soddisfare tre proprietà: i) completezza; ii) correttezza; iii) conoscenza cd. zero: infatti, nel caso in cui un’affermazione sia corretta e completa, il verificatore non capisce nient’altro che il fatto che la stessa è, appunto, conforme e dotata di tutte le necessarie caratteristiche.
• Schema di condivisione segreta: è una nota tecnica crittografica volta a dividere, in modo adeguato, un’informazione segreta in più parti.

Conclusioni

Si conclude precisando che tali tecniche avanzate di pseudonimizzazione – la cui applicazione è, peraltro, consigliata nei confronti di scenari reali maggiormente sofisticati – devono essere selezionate, da parte del soggetto (attivo) del trattamento, secondo il consueto approccio case by case, onde così individuare quella più opportuna e corretta al fine di garantire una maggior protezione alle informazioni personali trattate.

Note

1. Art. 4 n. 5) del GDPR: “pseudonimizzazione”: “il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile”. ↑
2. Art. 32 paragrafo 1) lettera a) del GDPR: “Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità di trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso: a) la pseudonimizzazione e la cifratura dei dati personali”. ↑
3. Documenti intitolati “Recommendations on shaping technology according to GDPR provisions – An overview on data pseudonymisation” del 28.1.2019, e “Pseudonymisation techniquest and best practices” del 3.12.2019. ↑
4. Esempio: un Titolare del trattamento può rendere disponibile la sua chiave cd. pubblica ad un Responsabile del trattamento, il quale può raccogliere e pseudonimizzare i dati personali utilizzando tale chiave; tuttavia, solo il Titolare del trattamento possiede la capacità di risolvere gli pseudonimi mediante la relativa chiave cd. privata. ↑
5. Essa rappresenta una delle principali e primitive tecniche di crittografia volte a garantire sia l’integrità dei dati sia l’autenticazione dell’utente originante (firmatario del messaggio), grazie all’ausilio di una terza parte attendibile deputata a rilasciare le chiavi di decodifica. ↑
6. Sebbene le firme ad anello siano spesso menzionate, in letteratura, come firme anonime, esse costituiscono, in realtà, dei dati pseudonimi, giacché sono, di fatto, associate, in modo univoco ad una persona (dando, peraltro, per assunto che il gruppo di possibili firmatari sia costituito da individui), nonostante il fatto che nessun’altra entità possa re-identificare, in modo esplicito, il firmatario: infatti, la chiave cd. segreta del firmatario è sufficiente a dimostrare, laddove venga rivelata, che la firma è stata generata da esso. ↑
7. Uno dei principali aspetti negativi di tale tecnica è rappresentato dal fatto che la risoluzione dello pseudonimo richiede necessariamente la collaborazione di tutte le entità coinvolte. ↑