La DPIA, il rischio di re-identificazione e molto altro

N.2 - Gennaio 2024

  • La DPIA
  • Il Garante sul rischio di re-identificazione
  • Accordo sul regolamento AI
  • News
La DPIA

Data Protection Impact Assessment o anche Valutazione di impatto sulla protezione dei dati.

 

Cosa è?

È una procedura prevista dall’articolo 35 del Regolamento UE/2016/679 (GDPR) che mira a descrivere un trattamento di dati per valutarne la necessità e la proporzionalità nonché i relativi rischi, allo scopo di approntare misure idonee ad affrontarli.  


Quando?

La DPIA deve essere condotta prima di procedere al trattamento. Dovrebbe comunque essere previsto un riesame continuo della DPIA, ripetendo la valutazione a intervalli regolari


Chi?

La responsabilità della DPIA spetta al titolare del trattamento.


In quali casi?

La DPIA è obbligatoria in tutti i casi in cui un trattamento può presentare un rischio elevato per i diritti e le libertà delle persone fisiche. Il Gruppo Art. 29 individua alcuni criteri specifici a questo proposito:

  • trattamenti valutativi o di scoring, compresa la profilazione;
  • decisioni automatizzate che producono significativi effetti giuridici (es: assunzioni, concessione di prestiti, stipula di assicurazioni);
  • monitoraggio sistematico (es: videosorveglianza);
  • trattamento di dati sensibili, giudiziari o di natura estremamente personale (es: informazioni sulle opinioni politiche);
  • trattamenti di dati personali su larga scala;
  • combinazione o raffronto di insiemi di dati derivanti da due o più trattamenti svolti per diverse finalità e/o da titolari distinti, secondo modalità che esulano dal consenso iniziale (come avviene, ad esempio, con i Big Data);
  • dati relativi a soggetti vulnerabili (minori, soggetti con patologie psichiatriche, richiedenti asilo, anziani, ecc.);
  • utilizzi innovativi o applicazione di nuove soluzioni tecnologiche o organizzative (es: riconoscimento facciale, device IoT, ecc.);
  • trattamenti che, di per sé, potrebbero impedire agli interessati di esercitare un diritto o di avvalersi di un servizio o di un contratto (es: screening dei clienti di una banca attraverso i dati registrati in una centrale rischi per stabilire la concessione di un finanziamento).

Fuori di tali casi, la DPIA non è necessaria ma fortemente consigliata perché costituisce una buona prassi al di là dei requisiti di legge: attraverso di essa il titolare può ricavare indicazioni importanti e utili a prevenire incidenti futuri. In questo senso, la valutazione di impatto permette di realizzare concretamente l´altro fondamentale principio fissato nel GDPR, ossia la protezione dei dati fin dalla fase di progettazione (data protection by design) di qualsiasi trattamento.

 

Per approfondire

Per ogni approfondimento si rinvia alle Linee Guida del Gruppo Articolo 29


Un particolare caso di DPIA:
i servizi cloud del setttore pubblico



 


A seguito di un’indagine compiuta presso tutti i Paesi appartenenti allo Spazio Economico Europeo, l’European Data Protection Board in data 17 gennaio 2023 ha pubblicato una relazione che  fornisce anche un elenco di punti di attenzione che le pubbliche Amministrazioni dovrebbero prendere in considerazione al momento di concludere accordi con i fornitori dei servizi cloud.

Nel  documento si sottolinea in particolare di:

  • effettuare una DPIA;
  • garantire che i ruoli delle  parti coinvolte siano determinati in modo chiaro e inequivocabile;
  • garantire che il fornitore agisca solo per conto e secondo le istruzioni documentate dell'ente pubblico e identificare qualsiasi possibile trattamento da parte del fornitore in qualità di titolare del trattamento;
  • garantire che sia possibile un modo significativo per opporsi ai nuovi sub responsabili;
  • garantire che i dati personali siano determinati in relazione alle finalità per le quali sono trattati;
  • promuovere il coinvolgimento  del DPO;
  • cooperare con  altri organismi pubblici nei negoziati con i fornitori;
  • effettuare una revisione per valutare se il trattamento viene eseguito in conformità con la DPIA;
  • garantire che la procedura di approvvigionamento preveda già tutti i requisiti necessari per raggiungere la conformità al GDPR;
  • individuare quali trasferimenti possono avvenire nell'ambito della fornitura ordinaria di servizi e in caso di trattamento di dati personali per finalità commerciali proprie dei fornitori   e garantire il rispetto delle  disposizioni del capo  V   del GDPR, anche identificando ed adottando misure supplementari ove necessario;
  • analizzare se una legislazione di un paese terzo si applicherebbe al fornitore e comporterebbe la possibilità di soddisfare le richieste di accesso ai dati conservati dal fornitore nell'UE;
  • esaminare attentamente e, se necessario rinegoziare il contratto;
  • verificare le condizioni alle quali  l'organismo pubblico  è autorizzato e  può contribuire agli audit e assicurarsi che siano in atto.
Il Garante sul rischio
di re-identificazione

Il Garante nel provvedimento n. 9967883 del 27 novembre 2023 in materia accesso civico torna ad affrontare i concetti di “dati aggregati” e “dati anonimi” precisandone il contenuto in relazione al rischio di re-identificazione.


La vicenda


Un soggetto che, sulla base di ordine giudiziale, aveva già avuto accesso a un database del Ministero della salute contenente informazioni in forma individuale e disaggregata (ossia per singolo assistito) prive del nome e cognome, di più di 45 milioni di soggetti vaccinati - dei quali erano indicati: data di nascita, data di eventuale decesso, data della prima dose di vaccino anti Covid19, data delle eventuali dosi successive - domandava allo stesso Ministero di poter avere anche i dati riferiti a un periodo successivo a quello già richiesto e, precisamente, i «dati relativi ai decessi dei soggetti sottoposti alla somministrazione della prima dose di una qualunque tipologia di vaccino anti Covid19 tra il 27/12/2020 e il 26/12/2022, e che siano deceduti entro il 09/01/2023 per qualunque motivo, non necessariamente riconducibile alla somministrazione».

Il Ministero rigettava l’istanza evidenziando che le informazioni e la specificità del target richiesto costituivano un concreto pregiudizio per la riservatezza e la protezione dei dati personali dei soggetti interessati, con elevato rischio di re-identificazione. Un rischio attuale e concreto, visto che i dati estratti dal database erano stati esaminati e commentati in un articolo giornalistico, in cui si riferiva che dalle date di nascita e di morte (per cause diverse) di una sessantina tra conoscenti, amici e personaggi riportati dalla cronaca con riferimenti anagrafici certi e ai quali era stata somministrata almeno una dose di vaccino, era stato possibile risalire alle loro identità.

A seguito del diniego di accesso il richiedente si rivolgeva al Garante per un riesame del provvedimento. Il Garante, confermando il diniego, ribadiva i concetti di dati aggregati e anonimi e il relativo rischio di re-identificazione.

 

Le osservazioni


Dati aggregati

L’aggregazione è una tecnica di anonimizzazione volta «a impedire l’individuazione di persone interessate mediante il loro raggruppamento con almeno k altre persone». Per effettuarla è necessario sottoporre «i valori degli attributi  a una generalizzazione tale da attribuire a ciascuna persona il medesimo valore». Ad esempio, le date di nascita possono essere raggruppate per mese o per anno.


Per ridurre il rischio di re-identificazione è necessario utilizzare soglie di aggregazione dei dati proporzionate al campione di riferimento e alle informazioni ivi contenute. In linea generale, «la sola applicazione ex-ante di tecniche di aggregazione, non consente sempre di prevenire casi di singolarità all’interno di un campione» perché «possono, infatti, verificarsi di frequente situazioni, variabili in ragione del contesto, nelle quali la disponibilità di una informazione ausiliaria da parte di un soggetto terzo (cd attaccante) può consentire la re-identificazione di un interessato presente in un campione sottoposto a preventive tecniche di aggregazione» (cfr. par. 7, provv. n. 87 del 19/5/2020).


Nelle Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica effettuati nell’ambito del Sistema Statistico nazionale pubblicate ai sensi dell’art. 20, comma 4, del d.lgs. 10 agosto 2018, n. 101 - 19 dicembre 2018, (art 4, comma 1, lett.a) si specifica che un dato aggregato non debba raggruppare un numero di casi inferiore a tre.

In conclusione, i dati individuali che sono stati forniti, sia pure senza nome e cognome, quali le date di nascita, le date delle dosi di vaccino e di eventuale decesso, sono evidentemente in forma non aggregata. Di conseguenza, utilizzando altre fonti di dati, p.e. necrologi, è possibile ricondurre a persone determinate le informazioni presenti nell’Anagrafe dei vaccini, come infatti è stato fatto in un articolo a stampa di cui si è parlato sopra.

 

Dati anonimi

Secondo il GDPR, le informazioni anonime sono le «informazioni che non si riferiscono a una persona fisica identificata o identificabile o [i] dati personali resi sufficientemente anonimi da impedire o da non consentire più l’identificazione dell’interessato» (considerando 26). Dove per identificazione «non si intende solo la possibilità di recuperare il nome e/o l’indirizzo di una persona, ma anche la potenziale identificabilità mediante individuazione, correlabilità e deduzione» (Gruppo art. 29-WP29, Opinion 05/2014 on Anonymisation Techniques, par. 2.2.2.).

L’anonimizzazione è il risultato di un trattamento volto a impedire in modo irreversibile l’identificazione dei soggetti interessati. Nel metterla in atto, il titolare del trattamento deve tener conto di diversi elementi e prendere in considerazione tutti i mezzi che “possono ragionevolmente” essere utilizzati per l’identificazione dei soggetti interessati, anche a posteriori. Al riguardo esistono numerose pratiche e tecniche, con gradi variabili di affidabilità e differenti punti di forza e debolezza. Per la loro scelta è indispensabile un'accurata analisi preventiva caso per caso. Tenendo comunque sempre presente che un insieme di dati resi anonimi può ancora presentare rischi residui per le persone interessate.

Nel caso specifico, si può concludere dunque che i dati richiesti, anche se privati del nome e cognome, non possono essere considerati come  anonimizzati.

 

Rischio di re-identificazione

In ragione di quanto rilevato sull’aggregazione e anonimizzazione dei dati, il Garante concludeva sul rischio di re-identificazione segnalando che lo stesso va accuratamente valutato tenendo conto di «tutti i mezzi di cui il titolare del trattamento o un terzo può ragionevolmente avvalersi per identificare detta persona fisica direttamente o indirettamente. Per accertare la ragionevole probabilità di utilizzo dei mezzi per identificare la persona fisica, si dovrebbe prendere in considerazione l’insieme dei fattori obiettivi, tra cui i costi e il tempo necessario per l’identificazione, tenendo conto sia delle tecnologie disponibili al momento del trattamento, sia degli sviluppi tecnologici» (cfr. considerando n. 26 del GDPR e WP29 Opinion 05/2014 on Anonymisation Techniques, cit.).

In conclusione, un processo di anonimizzazione deve rendere impossibile con i mezzi “ragionevolmente disponibili”:

  1. l'individuazione di una persona in un gruppo (single-out);
  2. il collegamento di un dato anonimizzato a dati riferibili a una persona e presenti in un altro insieme di dati (linkability);
  3. la deduzione da un dato anonimizzato di nuove informazioni riferibili a una persona (inference).
Accordo sul regolamento AI

Dopo oltre due anni di discussioni e una maratona finale di 36 ore di negoziazioni, il 6 dicembre 2023, il Parlamento e il Consiglio europei hanno raggiunto un accordo sull'Artificial Intelligence Act (AI Act), il regolamento per l'uso dell'intelligenza artificiale (AI) in Europa. Questi i comunicati stampa del Parlamento europeo e della Commissione.

Le proibizioni:

  • categorizzazione delle persone su dati particolari, quali la religione o l'orientamento sessuale;
  • raccolta indiscriminata di immagini di volti, da Internet o da telecamere, per creare database per riconoscimento facciale;
  • riconoscimento di emozioni sul luogo di lavoro o nelle scuole;
  • punteggio sociale basato sul comportamento sociale o sulle caratteristiche personali (social scoring);
  • sistemi che manipolano il comportamento umano;
  • sistemi che sfruttano le vulnerabilità delle persone, per esempio per l'età, le disabilità, la situazione sociale o economica.

Sono previste delle eccezioni limitate all'uso di sistemi di identificazione biometrica (RBI) in luoghi pubblici, previa autorizzazione giudiziaria e per liste di reati "strettamente definite".

Per i sistemi di AI di uso generale (GPAI) ad alto rischio per possibili danni alla salute, alla sicurezza, ai diritti fondamentali, all'ambiente, alla democrazia e alle leggi sono previsti chiari obblighi -- tra cui una DPIA, test di sicurezza, riferire alla Commissione in caso di incidenti gravi. I criteri per l'appartenenza a questa categoria non sono ancora completamente definiti, al momento sembra che ci sia solo GPT4.

Gli altri sistemi GPAI dovranno rispettare requisiti di trasparenza, quali la stesura di documentazione tecnica, il rispetto della legge sul copyright dell'UE la pubblicazioni di sintesi dettagliate sui contenuti utilizzati per l’addestramento.

Ulteriori informazioni in questi articoli di Wired, del New York Times e di Euractiv.

News

È stato pubblicato, anche sulla Gazzetta Ufficiale n. 14 del 18 gennaio 2024, l'avviso per l'indagine conoscitiva del Garante sul webscraping.

Lo scopo è la raccolta di osservazioni e proposte sulle misure adottate e adottabili dai fornitori di servizi internet riguardo la raccolta massiccia di dati per l'addestramento di sistemi di AI.

Fino al 18 marzo è possibile far pervenire i propri contributi all'indirizzo webscraping@gpdp.it

Google ha accettato un accordo -- i dettagli non sono ancora noti -- nella causa da cinque milioni di dollari, che le era stata intentata per aver tracciato la navigazione internet di milioni di utenti che usavano la modalità incognito di chrome.


E' stata pubblicata l'ultima versione dei test sulla gestione della privacy per i browser più comuni.

Attenzione: il test viene fatto con la configurazione di default dei browser, senza cioè nessun add-on e l'autore lavora per Brave

Un interessante articolo di Guido Scorza su quattro argomenti, i primi due più urgenti, che dovranno essere presto affrontati:

  • la legittimità del modello "PAY or OKAY" (il caso Meta è esemplare e NOYB ha presentato un reclamo all'autorità garante austriaca), la scelta cioè tra lasciarsi profilare e pagare (magari continuando ad essere profilati...);

 

  • una base giuridica per il trattamento dei dati utilizzati per l'addestramento degli algoritmi di AI (a questo proposito ricordiamo che il New York Times ha fatto causa a ChatGPT);

 

  • il trattamento di dati per finalità di ricerca medica;

  • il ricorso all'AI da parte della pubblica amministrazione per l'adozione di decisioni, più o meno automatizzate.

Buona lettura!

Disiscriviti   |   Iscriviti
Istituto Nazionale di Fisica Nucleare
Via Enrico Fermi 54 - 00044 Frascati (ITALY)