Alla scoperta della Pseudonimizzazione: Tra definizione e valore giuridico

Aniello Giugliano : 28 Marzo 2025 07:19

La pseudonimizzazione è una tecnica di protezione dei dati definita dall’art. 4(5) del GDPR. Consiste nella trasformazione dei dati personali in modo tale che non possano più essere attribuiti direttamente a un interessato, se non attraverso l’uso di informazioni aggiuntive tenute separate e protette da misure tecniche e organizzative adeguate. 

Questa tecnica ha il vantaggio di ridurre il rischio di identificazione pur mantenendo la possibilità di utilizzare i dati per scopi analitici, statistici o operativi. Il processo si basa sulla sostituzione degli identificatori diretti (come nome, cognome, codice fiscale, ID) con pseudonimi, ossia valori che, da soli, non consentono di risalire all’identità dell’individuo, ma che possono essere ricostruiti mediante l’accesso controllato a informazioni aggiuntive, come tabelle di corrispondenza o chiavi crittografiche.

Perché la pseudonimizzazione sia efficace, è essenziale che queste informazioni aggiuntive siano custodite separatamente e protette da accessi non autorizzati. È importante sottolineare che i dati pseudonimizzati rimangono, a tutti gli effetti, dati personali secondo il GDPR, poiché esiste sempre la possibilità teorica di reidentificare l’interessato. Solo un processo che renda l’identificazione assolutamente impossibile e irreversibile può essere considerato anonimizzazione, uscendo così dall’ambito di applicazione del regolamento.

Iscriviti GRATIS alla RHC Conference 2025 (Venerdì 9 maggio 2025)

Il giorno Venerdì 9 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la RHC Conference 2025. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico.

La giornata inizierà alle 9:30 (con accoglienza dalle 9:00) e sarà interamente dedicata alla RHC Conference, un evento di spicco nel campo della sicurezza informatica. Il programma prevede un panel con ospiti istituzionali che si terrà all’inizio della conferenza. Successivamente, numerosi interventi di esperti nazionali nel campo della sicurezza informatica si susseguiranno sul palco fino alle ore 19:00 circa, quando termineranno le sessioni. Prima del termine della conferenza, ci sarà la premiazione dei vincitori della Capture The Flag prevista per le ore 18:00.
Potete iscrivervi gratuitamente all'evento utilizzando questo link.

Per ulteriori informazioni, scrivi a [email protected] oppure su Whatsapp al 379 163 8765

Supporta RHC attraverso:

• L'acquisto del fumetto sul Cybersecurity Awareness
• Ascoltando i nostri Podcast
• Seguendo RHC su WhatsApp
• Seguendo RHC su Telegram
• Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab

Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

Oltre al valore operativo, la pseudonimizzazione è riconosciuta dal GDPR come una misura tecnica e organizzativa utile per ridurre i rischi nel trattamento dei dati. Rientra infatti tra le pratiche raccomandate per attuare i principi di privacy by design e by default (artt. 25 e 32) e può essere prevista anche da normative nazionali o settoriali come requisito per trattamenti specifici.

Obiettivo e Vantaggi della Pseudonimizzazione

Come indicato nel Considerando 28 del GDPR, la pseudonimizzazione rappresenta una misura strategica per ridurre i rischi connessi al trattamento dei dati personali, preservando al contempo la possibilità di effettuare analisi e valutazioni sui dati in forma non identificabile.

Riduzione del rischio

Quando implementata in modo corretto, la pseudonimizzazione contribuisce significativamente alla protezione della riservatezza dei dati. La sua efficacia si fonda sulla separazione e sulla protezione delle informazioni aggiuntive necessarie per la reidentificazione, in linea con quanto previsto dall’Art. 4(5) del GDPR.

Questa tecnica opera su due livelli:

• Previene l’esposizione diretta degli identificatori personali, garantendo che i destinatari dei dati pseudonimizzati non possano identificare gli interessati.
• Attenua le conseguenze di eventuali violazioni di sicurezza, riducendo il rischio di danni per gli interessati, a condizione che terze parti non abbiano accesso ai dati ausiliari che permetterebbero la reidentificazione.

Un ulteriore beneficio risiede nella mitigazione del rischio di function creep, ovvero dell’utilizzo dei dati per scopi diversi e incompatibili rispetto a quelli originariamente dichiarati. L’impossibilità per i soggetti autorizzati – come responsabili o incaricati del trattamento – di risalire direttamente all’identità degli interessati limita il potenziale abuso e rafforza il principio di limitazione della finalità.

La pseudonimizzazione, inoltre, può contribuire alla qualità del dato. L’utilizzo di pseudonimi differenziati per soggetti con attributi simili aiuta a prevenire errori di attribuzione e migliorare l’accuratezza complessiva delle informazioni trattate.

Infine, il livello di protezione offerto da questa tecnica è direttamente proporzionale alla robustezza delle misure tecniche e organizzative adottate. Una progettazione attenta e coerente consente ai titolari e ai responsabili di conformarsi agli obblighi previsti dagli Articoli 24, 25 e 32 del GDPR, assicurando un trattamento dei dati conforme, sicuro e incentrato sulla tutela dei diritti e delle libertà degli interessati.

Struttura della Trasformazione Pseudonimizzante

Per essere considerata efficace, la pseudonimizzazione deve impedire che i dati trasformati contengano identificatori diretti, come il codice fiscale o altri identificatori univoci, qualora questi possano permettere l’attribuzione dell’identità dell’interessato all’interno del contesto operativo ( dominio di pseudonimizzazione). Tali elementi vengono rimossi durante la trasformazione o sostituiti con identificatori alternativi (i pseudonimi)che, da soli, non consentono l’identificazione, se non tramite l’uso di informazioni aggiuntive tenute separatamente.

Oltre alla sostituzione degli identificatori diretti, la trasformazione può intervenire su altri attributi sensibili attraverso tecniche come la soppressione, la generalizzazione o l’introduzione di rumore controllato. Questi interventi sono finalizzati a limitare la possibilità di reidentificazione e a rafforzare la protezione dei dati trattati.

Un aspetto centrale della pseudonimizzazione è l’impiego di dati riservati (segreti di pseudonimizzazione) come chiavi crittografiche o tabelle di corrispondenza tra identificatori originali e pseudonimi. Questi elementi, essenziali per la riconduzione del dato all’interessato, devono essere generati e gestiti in modo da garantirne la sicurezza e la separazione logica e fisica rispetto ai dati pseudonimizzati.

Dal momento che tali segreti rappresentano le informazioni aggiuntive menzionate all’Art. 4(5) del GDPR, è obbligatorio proteggerli tramite misure tecniche e organizzative adeguate. Il loro accesso deve essere limitato esclusivamente al personale autorizzato, e devono essere conservati in ambienti sicuri, al fine di prevenire ogni possibilità di uso improprio o non autorizzato.

Tecniche di Pseudonimizzazione

La scelta della tecnica di pseudonimizzazione più appropriata dipende da molteplici fattori, tra cui il livello di rischio, la necessità di reversibilità, la dimensione del dataset e le finalità specifiche del trattamento. Di seguito sono illustrate le principali tecniche disponibili, con una valutazione comparativa di vantaggi e criticità operative.

Principali Tecniche

• 1. Contatore Sequenziale (Counter)
  È la tecnica più semplice, in cui ogni identificatore viene sostituito da un numero progressivo. Il vantaggio è nella facilità di implementazione, soprattutto in contesti di dati ridotti o poco complessi. Tuttavia, la sequenzialità può rivelare informazioni implicite (come l’ordine temporale), e questa tecnica mostra limiti significativi in termini di scalabilità e sicurezza per dataset più ampi o sofisticati.
• 2. Generatore di Numeri Casuali (Random Number Generator – RNG)
  In questo caso, a ogni identificatore viene associato un valore generato casualmente. L’assenza di una relazione diretta con il dato originale garantisce un buon livello di protezione, a patto che la tabella di mappatura sia adeguatamente protetta. I principali punti critici sono il rischio di collisioni (assegnazione accidentale dello stesso pseudonimo a più identificatori) e le problematiche di gestione in contesti su larga scala.
• 3. Funzione di Hash crittografica
  Consiste nell’applicare una funzione unidirezionale (come SHA-256) all’identificatore, producendo un output fisso. Sebbene offra integrità e irreversibilità, da sola non è sufficiente per garantire protezione: è vulnerabile ad attacchi di forza bruta e dizionario, soprattutto se gli input sono prevedibili (come codici fiscali o email aziendali).
• 4. Message Authentication Code (MAC)
  Si tratta di una variante sicura della funzione hash, che introduce una chiave segreta nel processo. Senza conoscere la chiave, è impossibile ricostruire il legame tra pseudonimo e identificatore originale. L’HMAC è oggi tra i metodi più robusti per la pseudonimizzazione, e viene ampiamente utilizzato nei protocolli Internet. Unico limite: la difficoltà nella riconciliazione dei dati se non si conservano gli identificatori originali.
• 5. Cifratura Simmetrica
  Utilizza un algoritmo di cifratura a blocchi (es. AES) per trasformare l’identificatore in un pseudonimo, utilizzando una chiave segreta. Questa chiave funge sia da “segreto di pseudonimizzazione” che da chiave di decifratura. È una tecnica potente e flessibile, simile al MAC, ma introduce una sfida importante: chi possiede la chiave può sempre decifrare i dati, il che potrebbe non essere conforme al principio di minimizzazione se la riconciliazione non è necessaria.
• 6. Tokenizzazione
  La tokenizzazione consiste nella sostituzione di identificatori sensibili (es. nome, codice fiscale, ID cliente) con stringhe o valori alternativi detti token, generati in modo casuale o secondo regole predefinite.
  • I token non hanno alcun significato intrinseco e non possono essere riconvertiti al valore originario senza una lookup table che gestisca le corrispondenze.
  • Questa tabella di associazione deve essere conservata separatamente, protetta da cifratura e accessibile solo a personale autorizzato.
  • È una tecnica altamente flessibile e indicata in contesti in cui serve mantenere la struttura del dato (es. lunghezza del campo, formato), ma garantire un buon livello di protezione.

Politiche di Pseudonimizzazione

Oltre alla tecnica adottata, è fondamentale stabilire una politica di pseudonimizzazione, ovvero definire come e quando applicare le trasformazioni nei vari dataset:

• Pseudonimizzazione Deterministica
  La pseudonimizzazione deterministica è una tecnica in cui lo stesso identificatore originale viene sempre trasformato nello stesso pseudonimo, ogni volta che compare, sia nello stesso dataset che in dataset diversi.

Identificatore	Pseudonimo
BNCLRA89A41H501Z	TK_XX1
BNCLRA89A41H501Z	TK_XX1

Vantaggi

• Coerenza trasversale: lo stesso individuo può essere riconosciuto in dataset differenti, senza conoscerne l’identità. Questo è utile in analisi longitudinali o confronti tra sistemi.
  
• Efficienza analitica: facilita il collegamento di record riferiti allo stesso soggetto in contesti diversi (es. database clinico + database farmaceutico).
  
• Non richiede lookup table (in alcuni casi): se il pseudonimo è generato tramite funzioni deterministiche (es. HMAC), la mappatura è implicita.
  

Rischi

• Linkability elevata: un attore malevolo che ottiene due dataset pseudonimizzati può facilmente riconoscere che lo stesso pseudonimo (TK_XX1) si riferisce allo stesso soggetto, anche senza sapere chi sia. Questo aumenta il rischio di ricostruzione del profilo di un individuo.
  
• Vulnerabilità alle correlazioni: se un pseudonimo appare frequentemente in correlazione con dati noti o prevedibili può essere dedotto chi sia l’individuo.
  
• Non ideale per dati altamente sensibili: soprattutto se distribuiti a più soggetti esterni, poiché consente collegamenti tra informazioni.
  

• Pseudonimizzazione Randomizzata a Livello di Documento
  Questa tecnica consiste nel generare pseudonimi diversi per lo stesso identificatore, ma conservando coerenza all’interno di insiemi specifici di dati (ad esempio tra due documenti correlati o due dataset congiunti). È utile quando si desidera rompere la linkabilità globale tra tutti i dataset, ma preservare relazioni locali all’interno di uno stesso contesto operativo.

Identificatore	Pseudonimo
BNCLRA89A41H501Z → TK_X1	BNCLRA89A41H501Z → TK_Y1
RSSMRC80C20F205X → TK_X2	RSSMRC80C20F205X → TK_Y2

Tuttavia, il sistema mantiene una mappatura logica: i record riferiti allo stesso soggetto sono riconoscibili come tali in entrambi i dataset A e B, pur avendo pseudonimi differenti (TK_X1, TK_Y1).

Vantaggi

• Maggiore protezione contro la linkabilità trasversale: anche se più dataset venissero compromessi, un attaccante non potrebbe collegare lo stesso soggetto attraverso dataset diversi usando i pseudonimi, perché questi cambiano da un dataset all’altro.
  
• Preserva l’analiticità locale: consente l’analisi delle relazioni all’interno dello stesso dataset o gruppo di documenti, mantenendo intatte le correlazioni.
  
• Equilibrio tra sicurezza e usabilità: è un buon compromesso tra le esigenze di protezione e la necessità di analisi complesse.
  

Rischi

• Complessità gestionale aumentata: richiede la gestione di più tabelle di corrispondenza o meccanismi logici per sincronizzare le relazioni tra dataset.
  
• Possibile perdita di confrontabilità esterna: non consente analisi aggregate tra database diversi senza accesso alla logica di corrispondenza dei pseudonimi.
  
• Maggior carico computazionale: i sistemi devono essere in grado di gestire trasformazioni dinamiche e coerenza dei dati su più livelli.

• Pseudonimizzazione Completamente Randomizzata
  La pseudonimizzazione completamente randomizzata è una tecnica in cui ogni occorrenza di uno stesso identificatore viene trasformata in un pseudonimo diverso, anche all’interno dello stesso documento o dataset. Non viene mantenuta alcuna coerenza tra dataset, tra righe, né tra sessioni diverse di elaborazione. Questo approccio rompe completamente ogni possibilità di tracciamento o correlazione automatica tra record appartenenti allo stesso soggetto.

Occorrenza del Valore	Valore Originale	Pseudonimo
Dataset A – Riga 1	BNCLRA89A41H501Z	TK_A93F
Dataset A – Riga 3	BNCLRA89A41H501Z	TK_B92K
Dataset B – Riga 1	BNCLRA89A41H501Z	TK_C78L

Anche se l’identificatore di partenza è lo stesso (BNCLRA89A41H501Z), ogni sua rappresentazione pseudonimizzata è unica e scollegata dalle altre.

Vantaggi

• Massima protezione contro la reidentificazione e la linkabilità: non essendoci coerenza tra pseudonimi, risulta estremamente difficile, se non impossibile, correlare le informazioni per risalire a un individuo, anche analizzando più dataset.
  
• Impatto positivo sul rischio residuo: particolarmente utile in ambiti dove i dati pseudonimizzati devono essere largamente condivisi o trattati in ambienti a rischio elevato.
  
• Conformità rafforzata: offre un livello di protezione tale da soddisfare anche i requisiti più stringenti di privacy by design e by default.

Limiti

• Totale perdita di tracciabilità: non è possibile collegare le diverse istanze di un soggetto, né all’interno di un dataset né tra dataset diversi. Questo impedisce analisi longitudinali, statistiche personalizzate o valutazioni storiche.
  
• Inapplicabile in scenari che richiedono reversibilità o audit: nei casi in cui sia necessario dimostrare che determinati record appartengono allo stesso individuo (es. per diritto d’accesso ai dati), questa tecnica si rivela inadatta.
  
• Richiede un’accurata valutazione del contesto: va usata solo quando la completa disconnessione tra i dati è accettabile e voluta.

La scelta delle tecniche di pseudonimizzazione deve basarsi su una valutazione del rischio, della necessità di reversibilità, e della robustezza delle misure organizzative a supporto. In uno scenario ideale, queste tecniche dovrebbero essere complementari, rafforzando la resilienza del trattamento anche in presenza di attacchi o accessi non autorizzati. Le tecniche più robuste (come RNG, HMAC e cifratura) offrono un’elevata protezione contro attacchi di tipo esaustivo o basati su dizionari, ma possono limitare la flessibilità d’uso. Le politiche deterministiche e document-randomised permettono analisi trasversali o longitudinali, ma con un rischio maggiore di linkabilità. Nella pratica, spesso è consigliabile combinare più tecniche per ottenere un equilibrio tra sicurezza, utilità e reversibilità, adattando l’approccio al contesto operativo e normativo.

Caso Pratico: Pseudonimizzazione dei Dati Sanitari

Scenario Errato: Trasferimento di Dati Identificabili

Un ospedale condivide con un’azienda di ricerca un dataset clinico contenente dati personali in chiaro:

Nome	Cognome	Codice Fiscale	N. Cartella Clinica	Data di Nascita	Diagnosi
Laura	Bianchi	BNCLRA89A41H501Z	123456	01-01-1989	Sclerosi multipla
Marco	Rossi	RSSMRC80C20F205X	789101	20-03-1980	Diabete

Problemi riscontrati:

1. Rischio elevato di reidentificazione diretta
La presenza di identificatori espliciti come nome, cognome, codice fiscale e numero della cartella clinica consente un’immediata associazione tra i dati e l’identità dei pazienti. Questo espone gli interessati a potenziali violazioni della riservatezza, discriminazioni o abusi in caso di accesso non autorizzato.

2. Violazione dei principi fondamentali del GDPR
Il trasferimento di dati in chiaro senza adeguate misure di protezione contrasta con i principi di minimizzazione, integrità e riservatezza previsti dagli articoli 5(1)(c) e 5(1)(f) del GDPR. Inoltre, l’assenza di misure tecniche e organizzative adeguate costituisce una violazione dell’articolo 32, che impone la protezione dei dati personali da trattamenti non autorizzati o illeciti.

3. Esposizione a gravi rischi in caso di violazione o intercettazione
Nel caso in cui i dati vengano sottratti o intercettati durante il trasferimento, gli identificatori presenti permetterebbero una facile reidentificazione. Questo scenario espone l’organizzazione a sanzioni, perdita di reputazione e responsabilità nei confronti degli interessati, i quali potrebbero subire danni concreti (furti d’identità, esclusioni assicurative, stigmatizzazione sociale).

Scenario Corretto: Applicazione di Tecniche di Pseudonimizzazione

Dopo aver applicato un processo strutturato di pseudonimizzazione, i dati vengono trasformati come segue:

Elemento	Tecnica	Valore Originale	Valore Pseudonimizzato
Nome,Cognome,CF	Tokenizzazione	Laura Bianchi – BNCLRA89A41H501Z	TK_93AF71F0
Nome,Cognome,CF	Tokenizzazione	Marco Rossi – RSSMRC80C20F205X	TK_C76D9B4E
N. Cartella Clinica	HMAC (SHA-256 con chiave “mySecretKey123”)	123456	6f839993d8bc2cbe9a2c1cfd4de53eae9405fe9867dfec8ae31a38909e8044e1
N. Cartella Clinica	HMAC (SHA-256 con chiave “mySecretKey123”)	789101	bde5eb6e4c9e9e0b4d05c1214b75542f1311f4b79bc2d3ab46fc0156262e32b4
Lookup Table	Cifratura	(Token → Dato originale)	Cifrata in AES-256 e salvata in storage separato

Struttura della Lookup Table

Token	Nome	Cognome	Codice Fiscale
TK_93AF71F0	Laura	Bianchi	BNCLRA89A41H501Z
TK_C76D9B4E	Marco	Rossi	RSSMRC80C20F205X

Conservazione delle tabelle

Di seguito le misure tecniche utilizzate per proteggere le tabelle:

1. Cifratura con AES-256

AES-256 (Advanced Encryption Standard a 256 bit) è uno degli algoritmi di crittografia simmetrica più sicuri e ampiamente adottati nel settore. Applicare la cifratura AES-256 alle tabelle di pseudonimizzazione significa che:

• Il contenuto della tabella (che collega i dati pseudonimizzati agli identificatori originali) è inaccessibile in chiaro anche in caso di accesso non autorizzato al file o al database.
• Solo chi possiede la chiave di decifratura, custodita separatamente e con accesso controllato, può leggere o gestire i dati.

Vantaggi:

• Alto livello di protezione in caso di data breach.
• Conforme alle misure tecniche richieste dall’Art. 32 del GDPR.

Best practice:

• Conservare la chiave in un HSM (Hardware Security Module) o sistema equivalente.
• Ruotare periodicamente le chiavi e revocarle in caso di compromissione.

2. Accesso consentito solo a personale sanitario autorizzato

Il principio di “need-to-know” e limitazione degli accessi è centrale nel GDPR (Art. 5 e 32). In questo caso:

• Solo operatori sanitari autorizzati, esplicitamente identificati e abilitati, possono accedere alla tabella.
• L’accesso deve avvenire tramite autenticazione forte (es. 2FA o smart card).
• Ogni operatore deve avere un profilo con permessi minimi necessari per svolgere le proprie funzioni (principio del least privilege).

Misure organizzative associate:

• Contratti e policy interne che specificano i ruoli.
• Formazione obbligatoria sulla sicurezza dei dati e sul GDPR.
• Revoca immediata degli accessi in caso di cambio mansione o cessazione del rapporto.

3. Logging e auditing 

Il monitoraggio continuo delle attività svolte sulle tabelle di pseudonimizzazione è fondamentale per garantire trasparenza e tracciabilità. Ciò include:

• Logging automatico di ogni accesso, modifica, copia o esportazione della tabella.
  • Dati registrati: ID utente, data/ora, operazione effettuata, esito.
• Auditing periodico, ossia la revisione dei log da parte di un responsabile (es. DPO o IT security officer), per:
  • Individuare comportamenti anomali o accessi non autorizzati.
  • Dimostrare la conformità in caso di ispezioni da parte del Garante Privacy.

Obblighi GDPR:

• Questi log costituiscono una misura di accountability, come richiesto dall’art. 5(2) e 24 del GDPR.
• I log devono essere conservati in forma protetta, non modificabile e accessibile solo a personale designato.

Conclusioni

La pseudonimizzazione, seppur spesso percepita come una semplice tecnica di protezione dei dati, rappresenta in realtà un pilastro strategico della sicurezza informatica e della conformità normativa, in particolare nel contesto del GDPR. La sua corretta implementazione consente di ridurre significativamente i rischi per i diritti e le libertà degli interessati, senza compromettere l’utilità dei dati per fini analitici, statistici o operativi.

Come abbiamo visto, esistono diverse tecniche e politiche applicative, ognuna con vantaggi e limiti specifici. La scelta del metodo più idoneo deve essere il risultato di una valutazione del rischio ben strutturata, che tenga conto delle finalità del trattamento, del contesto operativo e delle esigenze di reversibilità o anonimato.

L’adozione di misure tecniche avanzate (es. HMAC, AES, tokenizzazione sicura) e organizzative (es. segregazione dei dati, controllo degli accessi, auditing) non è solo raccomandata, ma necessaria per trasformare la pseudonimizzazione in una reale garanzia di protezione, in linea con i principi di privacy by design e by default.

In un’epoca in cui il valore del dato è al centro di ogni processo decisionale e innovativo, pseudonimizzare non significa solo proteggere, ma anche abilitare: consente di trattare dati sensibili in sicurezza, favorendo al contempo la ricerca, l’analisi e l’interoperabilità tra enti pubblici e privati.

La pseudonimizzazione, quindi, non è un semplice adempimento tecnico, ma uno strumento di equilibrio tra privacy e progresso, tra sicurezza e innovazione. E in questo equilibrio risiede la