Nuove indicazioni del Garante per la privacy sulle misure tecniche di pseudonimizzazione.

Il Garante per la privacy, con il recente provvedimento del 23 gennaio 2020, ha autorizzato l’ISTAT a procedere al trattamento dei dati raccolti nell’ambito del censimento permanente, superando il precedente provvedimento del 2018 con cui ne aveva permesso la raccolta ma non l’elaborazione.

Nonostante il via libera, il Garante ha rilevato alcune carenze sul piano della tutela dei dati personali, indicando all’ISTAT ulteriori misure da implementare, con particolare attenzione alla fase della loro conservazione.

In particolare, sono state giudicate inadeguate le misure tecniche scelte per eseguire la pseudonimizzazione dei dati personali, ottenuta con l’attribuzione di un codice univoco per ogni singola persona fisica, replicato in tutte le banche dati dell'Istituto e valido per un lungo periodo di conservazione dei dati.

Questa soluzione non permette di differenziare i tempi di conservazione rispetto alle diverse finalità perseguite, con il rischio di trattamenti di dati non pertinenti ed eccedenti rispetto allo scopo per cui sono stati raccolti e, pertanto, in violazione del principio di minimizzazione e di limitazione della conservazione dei dati.

Il Garante ha quindi indicato all’ISTAT le misure tecniche di pseudonimizzazione, implementando ad esempio un meccanismo di disaccoppiamento gerarchico dei codici con l'assegnazione di diversi codici pseudonimi, ciascuno con una validità limitata alla specifica finalità perseguita.

(Garante per la protezione dei dati personali, provvedimento del 23 gennaio 2020)