di Lorenzo Cristofaro e Gabriele Franco
La scienza e l’innovazione necessitano per definizione di grandi moli di informazioni che, quando riferite ad una persona fisica, costituiscono dati personali, con conseguente necessità di procedere al relativo trattamento secondo regole determinate e rigorose a tutela della libertà e della dignità umana.
In quest’ottica, una via frequentemente percorsa per accompagnare il progresso della tecnica nel rispetto del diritto alla protezione dei dati personali è quella di far leva su dati anonimi, esclusi dall’ambito di applicazione della relativa normativa.
Come si avrà modo di vedere, tuttavia, tale impostazione ha raramente portato i frutti sperati, principalmente in ragione del «divario concettuale tra il pensiero legale e matematico sulla privacy dei dati» (come efficacemente evidenziato da Aloni Cohen e Kobbi Nissim)[1].
Nei tempi più recenti, tuttavia, si sta assistendo alla rapida affermazione di una nuova applicazione del machine learning in grado di porsi validamente al servizio tanto del diritto alla privacy quanto dell’innovazione: i dati sintetici.
I limiti dell’anonimizzazione alla luce dell’attuale cornice normativa
Per comprendere quale sia l’effettiva portata dei dati sintetici (synthetic data), occorre dare brevemente conto del contesto tecnologico e regolamentare nell’ambito del quale tale innovazione ha iniziato a diffondersi.
Come detto, sulla distinzione tra dato anonimo e dato personale si regge il delicato discrimen tra applicazione o meno della normativa in materia. Il relativo perimetro è stato tracciato, fin dai tempi dalla Direttiva 95/46/CE, con il noto Considerando 26, il cui contenuto è stato quasi pedissequamente riproposto dal Regolamento Generale sulla Protezione dei Dati Personali (GDPR), significativamente sempre nel Recital 26.
Alla lettera della legge, che ancorava (e tuttora àncora) la nozione di anonimizzazione ad un criterio di ragionevolezza, con ciò sposando – soprattutto nell’ottica del GDPR – un approccio ai dati anonimi dinamico e basato sul rischio in chiave di responsabilizzazione, si è tuttavia e fin da subito affiancata una diversa e più rigida interpretazione avanzata dall’allora Gruppo di lavoro Articolo 29 (WP29, ossia l’attuale European Data Protection Board) con l’ormai celebre Parere 05/2014 sulle tecniche di anonimizzazione (WP 216) del 10 aprile 2014.
…
Continua a leggere l’articolo su Agenda Digitale.
