Anonimizarea si pseudonimizarea datelor cu caracter personal

Article Anonimizarea si pseudonimizarea datelor cu caracter personal | Decalex

Ce înseamnă anonimizarea datelor?

Anonimizarea datelor cu caracter personal, presupune un proces de modificare a datelor, astfel încât să devină imposibil de identificat persoana la care acele date se referă, fie direct, fie indirect. Astfel, datele anonime își pierd calitatea de date cu caracter personal. Având în vedere că principiile protecției datelor se aplică oricărei informații referitoare la o persoană fizică identificată sau identificabilă, acestea nu se vor aplica informațiilor anonime, adică informațiilor care nu sunt legate de o persoană fizică identificată sau identificabilă sau datelor cu caracter personal care sunt anonimizate astfel încât persoana vizată nu este sau nu mai este identificabilă.

Ce înseamnă pseudonimizarea datelor?

Regulamentului (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a datelor, definește pseudonimizarea ca fiind ”prelucrarea datelor cu caracter personal într-un asemenea mod încât acestea să nu mai poată fi atribuite unei anume persoane vizate fără a se utiliza informații suplimentare, cu condiția ca aceste informații suplimentare să fie stocate separat și să facă obiectul unor măsuri de natură tehnică și organizatorică care să asigure neatribuirea respectivelor date cu caracter personal unei persoane fizice identificate sau identificabile."

Având în vedere că pseudonimizarea este un proces reversibil, datele pseudonimizate își păstrează caracterul de date cu caracter personal, legislația privind protecția datelor fiindu-le în continuare aplicabilă.

Utilizarea anonimizării

Diferența dintre cele două procese este dată de posibilitatea de a mai identifica sau nu persoana vizată.

Regulamentului (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a datelor, reglementează faptul că atunci când determinăm dacă o persoană este identificabilă sau nu "(...) ar trebui să se ia în considerare toate mijloacele, cum ar fi individualizarea, pe care este probabil, în mod rezonabil, să le utilizeze fie operatorul, fie o altă persoană, în scopul identificării, în mod direct sau indirect, a persoanei fizice respective."

În cazul în care datele sursă nu au fost șterse la momentul anonimizării, operatorul care păstrează atât datele sursă cât și datele anonimizate, va avea posibilitatea să identifice persoanele cu ajutorul datelor anonimizate. În acest caz, datele anonimizate vor fi în continuare tratate ca date cu caracter personal, cu excepția cazului în care procesul de aninimizare, ar împiedica identificarea persoanei vizate, chiar și pentru deținătorul datelor sursă.

Așa cum am subliniat mai sus, datele pot fi considerate ca fiind anonimizate, atunci când persoanele vizate nu mai pot fi identificate, luând în considerare orice metode ce pot fi utilizate în mod rezonabil de către operator pentru identificarea persoanelor vizate. În ipoteza în care operatorul păstrează orice cheie de identificare sau alte informații care pot fi utilizate pentru a face reversibil procesul de anonimizare, identificarea va fi posibilă iar datele nu vor mai fi anonimizate, rămânând astfel supuse prevederilor legale privind protecția datelor.

Metodele de anonimizare pot fi diverse dar toate au ca scop eliminarea informațiilor care fac posibilă identificarea persoanei vizate.

Eliminarea completă a datelor este una din cele mai puternice metode de anonimizare a datelor.

Criptarea datelor este o altă metodă de anonimizare eficientă atâta vreme cât cheia de decriptare este ștearsă definitiv odată ce criptarea este finalizată.

Mascarea datelor este o modalitate de anonimizare care presupune păstrarea structurii datelor și care se realizează prin codarea datelor și înlocuire a caracterelor din datele cu caracter personal.

Utilizarea pseudonimizării

Pseudonimizarea se poate realiza prin înlocuirea mai multor câmpuri de identificare dintr-un set de date, cu unul sau mai mulți identificatori precum coduri, simboluri aleatorii etc., scopul pseudonimizării fiind acela de a crește gradul de protecție a datelor cu caracter personal.

Astfel, există mai multe tehnici de pseudonimizare dar trebuie subliniat faptul că este necesar ca operatorii să se asigure că măsurile tehnice și organizatorice utilizate garantează detașarea informațiilor pseudonme de cheia care permite reidentificarea persoanei vizate.

 Cele mai utilizate tehnici de pseudonimizare sunt (i) criptarea cu o cheie secretă; (ii) funcția de codare (hash); (iii) funcția de codare cu cheie, cheia fiind memorată; (iv) funcția de codare cu cheie, cheia fiind ștearsă; (v) utilizarea de tokens.

Erori în utilizarea proceselor de anonimizare și pseudonimizare

În practică, pot apărea diverse erori în utilizarea proceselor de anonimizare și pseudonimizare a datelor, erori ce pot face ineficientă aplicabilitatea acestor instrumente.

De exemplu, atunci când dorim să anonimizăm date cu caracter personal, trebuie să ne asigurăm că procesul este unul ireversibil și că elementele de identificare nu rămân în baza de date astfel încât să facă posibilă reconstituirea informațiilor.

Erorile cele mai des întâlnite în procesul de pseudonimizare, presupun utilizarea aceleiași chei în mai multe baze de date. Operatorii trebuie să se asigure că este eliminată posibilitatea de a face legătura între mai multe seturi de date, iar acest lucru se poate realiza prin utilizarea unui algoritm și a faptului că o singură persoană vizată va corespunde unor atribure diferite de pseudonimizare, în contexet diferite.

O altă eroare des întâlnită vizează păstrarea cheii împreună cu datele pseudonimizate sau păstrarea cheii într-un mediu nesecurizat.

Concluzionând, în cazul în care compania dumneavoastră dorește aplicarea uneia din cele două tehnici, trebuie sa aibă în vedere faptul că diferența dintre anonimizare și pseudonimizare este aceea că anonimizarea este un proces ireversibil, spre deosebire de pseudonimizare care permite reconstituirea datelor cu caracter personal.

Pentru informații suplimentare privind parcurgerea procesului de anonimizare sau pseudonimizare a datelor companiei dumneavoastră, ne puteți scrie la office@decalex.ro.

Share:
Decalex
Autor: DECALEX
Ultimele articole
Captivi în Scroll: Cum se transformă responsabilitatea digitală

Captivi în Scroll: Cum se transformă responsabilitatea digitală

Plătim amenda și continuăm - o strategie care poate costa mai mult decât crezi

Plătim amenda și continuăm - o strategie care poate costa mai mult decât crezi

Licențierea seturilor de date pentru AI - oportunități și responsabilități

Licențierea seturilor de date pentru AI - oportunități și responsabilități

Inteligența articifială și interesul legitim: recomandări, riscuri și bune practici pentru organizații

Inteligența articifială și interesul legitim: recomandări, riscuri și bune practici pentru organizații

Cele mai citite articole
Condiții pentru a fi scutit de impozit dacă lucrezi în domeniul IT

Condiții pentru a fi scutit de impozit dacă lucrezi în domeniul IT

Ai o firma inactiva? Procesul de lichidare voluntara te poate scapa de probleme!

Ai o firma inactiva? Procesul de lichidare voluntara te poate scapa de probleme!

Date cu caracter personal: Tot ce trebuie să știi

Date cu caracter personal: Tot ce trebuie să știi

Tot ce trebuie sa stii despre GDPR: ce inseamna, regulament, aplicare si riscuri

Tot ce trebuie sa stii despre GDPR: ce inseamna, regulament, aplicare si riscuri

PUNE O INTREBARE

Contactează-ne

CLIENTI