Pseudonimizare și anonimizare

GDPR introduce (pe lîngă altele) un nou concept: pseudonimizare.

prelucrarea datelor cu caracter personal într-un asemenea mod încât acestea să nu mai poată fi atribuite unei anume persoane vizate fără a se utiliza informații suplimentare, cu condiția ca aceste informații suplimentare să fie stocate separat și să facă obiectul unor măsuri de natură tehnică și organizatorică care să asigure neatribuirea respectivelor date cu caracter personal unei persoane fizice identificate sau identificabile;

Pseudonimizarea nu este obligatorie dar este recomandată, încurajată. Articolul 32:

Securitatea prelucrării

(1)   Având în vedere stadiul actual al dezvoltării, costurile implementării și natura, domeniul de aplicare, contextul și scopurile prelucrării, precum și riscul cu diferite grade de probabilitate și gravitate pentru drepturile și libertățile persoanelor fizice, operatorul și persoana împuternicită de acesta implementează măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător acestui risc, incluzând printre altele, după caz:

(a) pseudonimizarea și criptarea datelor cu caracter personal

(b) capacitatea de a asigura confidențialitatea, integritatea, disponibilitatea și rezistența continue ale sistemelor și serviciilor de prelucrare;

(c)  capacitatea de a restabili disponibilitatea datelor cu caracter personal și accesul la acestea în timp util în cazul în care are loc un incident de natură fizică sau tehnică

(d) un proces pentru testarea, evaluarea și aprecierea periodice ale eficacității măsurilor tehnice și organizatorice pentru a garanta securitatea prelucrării

Pseudonimizarea nu este o metodă de anonimizare a datelor personale! Este o tehnică prin care se restrînge legătura dintre un set de date personale și identitatea subiectului. Este o măsură de securitate!

Anonimitatea unei persoane înseamnă că identitatea acesteia nu este cunoscută sau persoana însăși nu dorește ca identitatea să îi fie cunoscută. Pseudonmizarea presupune că datele de identificare ale unei persoane sînt înlocuite cu un pseudonim. Poate fi același pseudonim.

În legislația UE nu există prevederi cu privire la tehnicile de pseudonimizare sau anonimizare.

Într-o opinie (cu un caracter ceva mai tehnic) publicată în 2014, ARTICLE 29  DATA PROTECTION WORKING PARTY prezintă principalele riscuri ale anonimizării:

  • Singling out – posibilitatea de a izola anumite sau toate înregistrările unui individ din cadrul unui set de date.
  • Linkability – abilitatea de a lega între ele cel puțin două înregistări cu privire la aceeași persoană sau grup de persoane (fie în aceeași bază de date fie în baze de date diferite)
  • Inferențe – posibilitatea de a deduce, cu o probabilitate mare, valoarea unui atribut dintr-un set de valori sau set de atribute.

Sînt prezentate și tehnicile care pot contribui la reducerea sau eliminarea acestori riscuri: randomizarea și generalizarea.

Scriam mai sus că pseudonimizarea implică schimbarea unui atribut dintr-o înregistrare cu un alt atribut.Indirect, persoana în cauză poate fi încă identificată și, prin urmare, este o măsură de securitate dar nu și de anonimizare. Punctul (a) al Articolului 32 menționează distinct pseudonimizarea și criptarea. Nu sînt oferite alte detalii, dar probabil s-a ținut cont de faptul că, luată singular, criptarea nu este o soluție fezabilă: ori de cîte ori un angajat al operatorului va lucra cu date personale ar trebui decriptate și apoi criptate. Complicat.

Nu am prea multe informații despre situația din România. Am însă un sentiment care duce mult spre certitudine că foarte puțini operatori și-au bătut capul cu lucrurile astea.

 

 

 

 

 

 

 

 

Un gând despre “Pseudonimizare și anonimizare

  1. As zice si ca „Anonimitatea unei persoane înseamnă că identitatea acesteia nu este cunoscută” si nici nu poate fi cunoscuta.

    Despre pseudonimizare e important sa zicem ca a fost introdus ca un compromis cerut in special de industria de publicitate online, care colecteaza date personale, dar nu este interesata de identificarea utilizatorilor in sine.

    E important sa punctam si ca datele pseudonime sunt in continuare date cu caracter personal, pe cand cele anonime nu mai sunt.

    Apreciat de 1 persoană

Mulţumesc.

Completează mai jos detaliile despre tine sau dă clic pe un icon pentru autentificare:

Logo WordPress.com

Comentezi folosind contul tău WordPress.com. Dezautentificare / Schimbă )

Poză Twitter

Comentezi folosind contul tău Twitter. Dezautentificare / Schimbă )

Fotografie Facebook

Comentezi folosind contul tău Facebook. Dezautentificare / Schimbă )

Fotografie Google+

Comentezi folosind contul tău Google+. Dezautentificare / Schimbă )

Conectare la %s