Bollettino Legale n. 75 – Settembre 2024.  

Anonimizzazione o pseudonimizzazione: qualifiche che si evolvono nel tempo?

Il 5 settembre 2024, la CNIL ha multato Cegedim Santé per 800.000 euro per aver trattato dati sanitari senza autorizzazione.

L'autorità di controllo rileva che questi dati sono rimasti identificabili anche se presentati in forma anonima.

Questa sanzione ci offre l'opportunità di esaminare le sottigliezze del GDPR in materia di anonimizzazione e pseudonimizzazione dei dati.

Cegedim pubblica e vende software gestionale per medici di base che lavorano in studi privati e centri sanitari.

Questi programmi software consentono ai medici di gestire i propri orari, le cartelle cliniche dei pazienti e le prescrizioni.

I clienti hanno inoltre accesso a un database che consente la produzione di studi e statistiche in ambito sanitario.

Le verifiche effettuate dalla CNIL nel 2021 hanno rivelato in particolare che i dati trattati dalla società – senza previa autorizzazione – erano dati sanitari pseudonimizzati, e quindi identificabili.

Solo i dati completamente anonimi sono esenti dagli obblighi del GDPR.

Tuttavia, il processo di anonimizzazione è particolarmente impegnativo.

In questo caso specifico, Cegedim aveva messo in atto una procedura volta a eliminare gli identificativi e, alla luce di precedenti accertamenti risalenti al 2012, anche la CNIL aveva ritenuto che i dati trattati fossero effettivamente anonimi.

La Commissione ha oggi riesaminato tali conclusioni, precisando che per valutare la possibile reidentificazione dei dati occorre tenere conto del contesto dottrinale e giurisprudenziale attuale.

Pertanto, i dati che erano anonimi dieci anni fa potrebbero non esserlo necessariamente oggi: "Per stabilire se è ragionevolmente probabile che vengano utilizzati dei mezzi per identificare una persona fisica, è necessario prendere in considerazione tutti i fattori oggettivi, come il costo dell'identificazione e il tempo necessario per essa, tenendo conto delle tecnologie disponibili al momento del trattamento e della loro evoluzione".

Più nello specifico, la CNIL – come le sue controparti europee dal 2014 – ha definito i requisiti da rispettare nell'ambito di una procedura di anonimizzazione.

Spiega le principali tecniche di anonimizzazione:

• randomizzazione (che mira a modificare gli attributi in un dataset in modo che siano meno precisi, preservando al contempo la distribuzione complessiva) e
• generalizzazione (che consiste nel modificare la scala degli attributi dei dataset, o il loro ordine di grandezza).

La CNIL consiglia:

• Per identificare le informazioni da conservare, in base alla loro rilevanza.
• Rimuovere gli elementi di identificazione diretta, nonché i valori rari che potrebbero consentire una facile reidentificazione degli individui;
• Per distinguere le informazioni importanti da quelle secondarie o inutili;
• Definire il livello di dettaglio ideale e accettabile per ogni informazione memorizzata.

Per garantire che un set di dati sia veramente anonimo, si possono utilizzare tre criteri:

1. Individualizzazione: non deve essere possibile isolare un singolo individuo all'interno del set di dati;
2. Correlazione: non dovrebbe essere possibile collegare tra loro insiemi di dati distinti riguardanti lo stesso individuo;
3. Deduzione: non dovrebbe essere possibile dedurre, con quasi certezza, nuove informazioni su un individuo.

Nel caso di Cegedim, il criterio di individualizzazione non è stato rispettato: il servizio ha permesso di tracciare costantemente le persone nel tempo tramite un identificativo univoco e di incrementare i dati che le riguardano.

Ciò ha reso possibile isolare un individuo all'interno di un set di dati, aumentando di conseguenza il rischio di violazione della pseudonimità.

Infine, va notato che la persona responsabile della creazione di un data warehouse sanitario può implementarlo solo previa autorizzazione della CNIL o a condizione che sia conforme a uno standard.

In caso di subappalto, il responsabile deve includere nel contratto di subappalto tutti i requisiti necessari a garantire il rispetto delle normative, in particolare per quanto riguarda la sicurezza dei dati.

Nella maggior parte dei casi di violazione dei dati che oggi fanno notizia (vedi sotto), l'anello debole all'origine della violazione era il subappaltatore.

 

 

La composizione del nuovo governo è nota dal 21 settembre, con alcuni nuovi sviluppi riguardanti le questioni digitali.

La dicitura "sovranità digitale" scompare dalla denominazione del Ministero dell'Economia e delle Finanze, e le questioni digitali vengono affidate al Ministero dell'Istruzione Superiore e della Ricerca.

Infine, la denominazione della segreteria responsabile è ora: Intelligenza Artificiale e Tecnologie Digitali.

Per Henri d'Agrain, delegato generale del Cigref (un'associazione che rappresenta imprese e agenzie governative nel settore digitale), questo titolo "non coglie l'importanza del continuum cloud, dati e intelligenza artificiale, che qualsiasi seria politica pubblica in questo ambito deve necessariamente includere". Aggiunge che "l'enfasi sull'intelligenza artificiale in questo titolo dovrebbe essere considerata alla luce delle ambizioni del Palazzo dell'Eliseo per l'AI Action Summit, che si terrà a Parigi nel febbraio 2025".

A seguito di una consultazione pubblica, il 24 settembre la CNIL ha pubblicato la versione definitiva delle sue raccomandazioni per aiutare i professionisti a progettare applicazioni mobili che rispettino la privacy..

Garantirà, a partire dal 2025, che questi fattori vengano adeguatamente presi in considerazione attraverso una specifica campagna di controllo.

La CNIL intende chiarire e regolamentare il ruolo dei professionisti, nonché garantire la qualità delle informazioni e il consenso degli utenti delle applicazioni mobili.

Dopo SFR il mese scorso, ora è il turno di Free di avvertire i propri clienti di una fuga di dati.

Tra i dati a cui l'attaccante ha avuto accesso figuravano almeno il nome, il cognome, il numero di telefono e l'indirizzo postale dei clienti.

Oltre a questi due operatori, a metà settembre molti rivenditori francesi, tra cui Boulanger, Cultura, Truffaut e Grosbil, sono stati vittime dell'hacking dei loro dati di consegna, che sono stati poi pubblicati e rivenduti sul dark web dallo stesso hacker.

I rischi per le persone fisiche riguardano generalmente il furto di identità e l'ottenimento di dati relativi al loro indirizzo.

Per quanto riguarda Cultura, azienda specializzata nella vendita di prodotti culturali, sono trapelati anche i contenuti dei carrelli della spesa, fornendo informazioni precise sulle abitudini di lettura degli acquirenti, con conseguenze potenzialmente molto invasive.

Nella maggior parte di questi attacchi, l'hacker aveva preso di mira un fornitore di servizi delle aziende coinvolte.

Il 25 settembre, la sezione sociale della Corte di Cassazione ha emesso una sentenza con la quale ha invalidato il licenziamento di un dipendente basato sull'intercettazione di email inviate dal suo indirizzo di posta elettronica professionale.

La Corte ricorda che "il dipendente ha diritto, anche nel momento e nel luogo di lavoro, al rispetto della riservatezza della sua vita privata".

Ciò implica in particolare la riservatezza della corrispondenza.

Il datore di lavoro non può, pertanto, senza violare questa libertà fondamentale, utilizzare il contenuto dei messaggi personali inviati o ricevuti dal dipendente tramite uno strumento informatico fornito per scopi lavorativi, al fine di sanzionarlo.

 

istituzioni e organismi europei

Il 25 settembre, la Commissione ha riunito a Bruxelles i principali attori del settore dell'IA per celebrare le prime 100 firme degli impegni del Patto sull'IA.

I firmatari sono multinazionali e piccole e medie imprese europee di vari settori. Finora, Meta e Apple non hanno aderito al Patto.

Gli impegni volontari contenuti nel documento invitano le aziende partecipanti a impegnarsi a realizzare almeno tre azioni fondamentali:

• Adottare una strategia di governance dell'IA per promuovere l'adozione dell'IA all'interno dell'organizzazione e lavorare per garantire la conformità futura alle normative in materia di IA.
• Identificare e mappare i sistemi di intelligenza artificiale che potrebbero essere classificati ad alto rischio ai sensi della normativa sull'IA.
• Promuovere la consapevolezza del personale in merito all'intelligenza artificiale.

Le aziende sono incoraggiate ad assumere altri impegni specifici per le proprie attività, tra cui garantire la supervisione umana, mitigare i rischi ed etichettare in modo trasparente determinate tipologie di contenuti generati dall'IA, come i "deepfake".

La Corte di giustizia dell'Unione europea (CGUE) ha stabilito, con sentenza del 4 ottobre (C 621/22), che un interesse commerciale può essere un "interesse legittimo" ai sensi dell'articolo 6, paragrafo 1, lettera f), del GDPR, nella misura in cui non sia contrario alla legge.

Sebbene questa posizione possa sembrare ovvia, nei Paesi Bassi non lo era più da diversi anni: secondo l'Autorità olandese per la protezione dei dati (DPA), l'interesse legittimo doveva essere basato su una base giuridica.

La Corte ribadisce che tale requisito è eccessivo e che è sufficiente, ai fini del presente provvedimento, che non sia contrario alla legge. Occorre precisare che questa decisione non costituisce una carta bianca per tutte le pratiche di marketing: occorre sempre effettuare un bilanciamento degli interessi e dei diritti in gioco.

Sempre il 4 ottobre, la Corte di giustizia dell'Unione europea ha emesso una sentenza nella causa C-446/21 in cui si pronuncia a sostegno dell'azione legale intentata contro Meta in relazione al suo servizio Facebook.

Le questioni vertevano sulla limitazione dell'uso dei dati personali per la pubblicità online e sulla limitazione dell'uso dei dati personali pubblicamente disponibili alle finalità originariamente previste per la pubblicazione.

Nella stessa giornata, la Corte di giustizia dell'Unione europea ha inoltre convalidato, nella causa C-21/23, la possibilità per un concorrente di un'azienda di adire le vie legali in sede civile, sulla base del divieto di pratiche commerciali sleali, al fine di impedire una violazione, da parte di tale concorrente, delle disposizioni sostanziali del GDPR.

Occorre precisare che in Francia esiste già una giurisprudenza in tal senso.

La Corte di giustizia dell'Unione europea ha stabilito il 26 settembre (causa C 768/21) che, una volta accertata una violazione dei dati, le autorità di protezione dei dati non sono tenute a esercitare il potere correttivo previsto dall'articolo 58, paragrafo 2, del GDPR, qualora non sia opportuno, necessario o proporzionato porre rimedio alla carenza individuata.

Secondo la Corte, dopo aver analizzato tutte le circostanze del caso, le autorità di protezione dei dati possono astenersi dall'esercitare tale potere correttivo, ad esempio quando il titolare del trattamento ha adottato misure tecniche e organizzative adeguate per garantire che la violazione cessi e non si ripeta.

La Corte ha infine statuito, con sentenza del 12 settembre (cause riunite C 17/22 e C 18/22), che non solo un atto legislativo, ma anche la giurisprudenza nazionale possono prevedere un obbligo legale, conformemente all'articolo 6, paragrafo 1, lettera c), del GDPR, di comunicare a un azionista l'identità di tutti gli altri azionisti interessati.

A seguito delle iniziative avviate in Francia, Danimarca, Spagna e Germania nel campo della verifica dell'età online, l'ONG europea EDRi e 63 organizzazioni, accademici ed esperti in materia di privacy, crittografia, sicurezza dei minori, diritti delle lavoratrici e dei lavoratori del sesso e diritti dei consumatori hanno pubblicato una dichiarazione congiunta il 16 settembre.

Il documento esorta la Commissione europea a dare priorità a misure efficaci per la tutela dei minori, esprimendo al contempo serie preoccupazioni circa l'adeguatezza, la proporzionalità e l'impatto negativo sui diritti fondamentali delle proposte attuali.

 

Notizie dai paesi membri dell'Unione europea.

Una risoluzione pubblicata l'11 settembre dalla Conferenza delle autorità indipendenti per la protezione dei dati della Germania (DSK) fornisce raccomandazioni pratiche per Il quadro normativo per il trasferimento dei dati personali nell'ambito delle "Operazioni di cessione di asset" Per quanto riguarda i dati personali detenuti dalle aziende: dati dei clienti e potenziali clienti dell'azienda, dei suoi dipendenti, dei partner commerciali, ecc.

In Germania, l'Autorità per la protezione dei dati di Amburgo ha adottato un documento controverso sui modelli linguistici di grandi dimensioni (LLM).

L'autorità ha quindi concluso che le LLM non memorizzano dati personali e che tale conclusione è conforme al parere della Corte di giustizia dell'Unione europea.

Tuttavia, i dati di input e output di un sistema di intelligenza artificiale possono costituire dati personali, a differenza della fase di addestramento, con le conseguenze che ciò comporta: le richieste di accesso, cancellazione o rettifica possono quindi riguardare tali dati.

In Belgio, le Fiandre si stanno distanziando dal governo federale in materia di tutela della privacy.

Il quotidiano Le Soir ha annunciato il 1° settembre che Jan Jambon, il Ministro Presidente fiammingo, aveva ordinato ai suoi ministri, il 20 settembre, pochi giorni prima di lasciare l'incarico, di non presentare più le bozze di decreti e decisioni all'Autorità federale per la protezione dei dati (APD), bensì al suo organo regionale, la Vlaamse Toezichtcommissie (VTC).

Di fatto, già dal 2019 il governo fiammingo aggirava sistematicamente l'APD (Legge federale sui decreti) facendo approvare i propri decreti tramite il VTC (Consiglio di regolamentazione del commercio), nonostante una sentenza della Corte costituzionale del marzo 2023 avesse ricordato che il governo fiammingo doveva necessariamente passare attraverso l'APD per l'adozione dei propri testi.

Oggi il Ministro-Presidente intende formalizzare le competenze fiamminghe: ha inviato una lettera alla Commissione europea chiedendo il riconoscimento delle competenze di VTC in relazione al GDPR.

L'Autorità belga per la protezione dei dati (APD) ha multato un titolare del trattamento dei dati per 100.000 euro per non aver risposto tempestivamente alla richiesta di accesso ai dati da parte di un interessato.

L'APD ha comunque respinto la richiesta dell'interessato di ricevere informazioni sui singoli dipendenti che hanno avuto accesso ai suoi dati.

Anche in Belgio, la Camera delle controversie dell'APD ha respinto il 6 settembre la validità del mandato di rappresentanza presentato da Noyb in una causa relativa all'integrazione degli script di Google Analytics in un sito web, nel momento in cui il Privacy Shield era stato invalidato dalla Corte di giustizia dell'Unione europea.

La Camera delle controversie ha ritenuto che il mandato costituisse un abuso di diritti da parte di Noyb.

In un caso separato, l'Autorità belga per la protezione dei dati (APD) ha comunque accolto diverse denunce presentate da Noyb nel 2023 e ha ordinato a quattro importanti siti di notizie belgi di adeguare i propri banner sui cookie al GDPR.

Il 2 ottobre l'autorità spagnola per la protezione dei dati ha pubblicato un rapporto sul trattamento dei dati personali e sulla verifica dell'età dei minori nell'ambiente digitale.

Il documento sostiene lo sviluppo di politiche di protezione proattive da parte dei servizi della società dell'informazione.

L'Agenzia spagnola per la protezione dei dati (APD) ha multato una società fintech per 72.000 euro per aver implementato misure insufficienti di verifica dell'identità dei clienti, consentendo così ai truffatori di ottenere un prestito a nome della vittima a sua insaputa.

Il 27 settembre, la Commissione irlandese per la protezione dei dati (DPC) ha inflitto a Meta una multa di 91 milioni di euro.

La decisione riguarda le misure adottate dalla società per garantire un livello di sicurezza adeguato ai rischi connessi al trattamento delle password e all'obbligo di documentare e notificare all'Autorità Garante per la protezione dei dati personali le violazioni dei dati.

L'autorità ricorda ai titolari del trattamento dei dati che devono valutare i rischi inerenti alla memorizzazione delle password degli utenti e attuare misure per mitigare tali rischi.

Il 12 settembre, l'APD ha inoltre annunciato l'apertura di un'indagine nei confronti di Google in merito all'utilizzo dei dati personali degli utenti europei per sviluppare un modello di intelligenza artificiale nel campo delle traduzioni.

L'indagine riguarda il modello di intelligenza artificiale "Pathways Language Model 2" (PaLM 2), lanciato da Google nel 2023, senza che sia stata effettuata una valutazione d'impatto sulla protezione dei dati.

In Italia, l'APD ha multato un fornitore di energia per 5.000.000 di euro per non aver adottato misure adeguate a garantire il rispetto del GDPR da parte dei suoi subappaltatori.

Ciò ha permesso loro di stipulare contratti con le persone interessate a loro insaputa.

L'Autorità portoghese per la protezione dei dati (APD) ha multato un titolare del trattamento dei dati per 107.000 euro per l'invio ripetuto di comunicazioni commerciali non richieste.

Il responsabile del trattamento dei dati è stato ritenuto responsabile anche se le spedizioni erano state effettuate da un subappaltatore utilizzando il proprio database.

 

Un rapporto della Commissione Federale per il Commercio degli Stati Uniti (FTC), pubblicato il 19 settembre, rivela che le principali aziende di social media e streaming video si sono rese responsabili di una sorveglianza diffusa degli utenti, con controlli sulla privacy inadeguati e protezioni insufficienti per bambini e adolescenti.

Il rapporto raccomanda di limitare la conservazione e la condivisione dei dati, di restringere la pubblicità mirata e di rafforzare le tutele per gli adolescenti.

Il governo cinese ha pubblicato il 30 settembre il "Regolamento sulla gestione della sicurezza dei dati in rete", che entrerà in vigore il 1° gennaio 2025. 

Il testo si propone di regolamentare le attività di trattamento dei dati in rete, tutelare i diritti e gli interessi legittimi di individui e organizzazioni e salvaguardare la sicurezza nazionale e l'interesse pubblico.

Anche in Cina, il Comitato tecnico nazionale per la standardizzazione della sicurezza delle informazioni (TC260) ha pubblicato un quadro di riferimento per la governance della sicurezza delle informazioni relativo all'intelligenza artificiale.

Il documento contiene una serie di principi e fornisce un'utile classificazione dei rischi legati all'IA e delle misure tecnologiche per affrontarli.

IBM ha pubblicato un rapporto sui costi delle violazioni dei dati per il 2024.

Tra le conclusioni del rapporto, vale la pena sottolineare che:

• Il costo totale medio di una violazione dei dati è di 4,88 milioni di dollari, e le violazioni dei dati sono più costose negli Stati Uniti.
• La carenza di competenze in materia di sicurezza informatica è peggiorata,
• Quasi la metà delle violazioni riguarda dati personali (46 %) o registri di proprietà intellettuale (43 %),
• L'intervento delle forze dell'ordine riduce i costi del ransomware in media di 1 milione di dollari.
• Sono necessari 292 giorni per identificare e contenere le violazioni che coinvolgono credenziali rubate.

Instagram ora offre account per adolescenti con impostazioni di sicurezza più rigorose, consentendo ai genitori di limitare l'utilizzo dell'app.

Gli account per adolescenti sono specificamente progettati per proteggere i minori da contenuti dannosi e contatti indesiderati, riducendo al contempo il tempo trascorso sull'applicazione.