RICERCA ITALIANA     

ANONIMO: metodi informatici e legali per la protezione della privacy e l'anonimato.

Università di Pisa

Abstract

La proposta ANONIMO nasce in modo naturale come progetto interdisciplinare sulla base della considerazione che la ricerca nel settore della protezione della privacy viene al momento condotta sia dal punto di vista giuridico regolamentare che dal punto di vista tecnologico informatico e che, in entrambi i campi, si sente la necessità di integrare i propri risultati con i risultati dell’altro settore. Un tema strettamente connesso con il diritto alla privacy e la protezione dei dati personali è quello dell’anonimato: nella tendenza contemporanea di una sempre maggiore presenza e pervasività delle tecnologie dell’informazione e della comunicazione, verso l’ubiquitous computing, il diritto dell’individuo a restare anonimo, quando è riconosciuto dal legislatore, è continuamente posto in discussione dalla grande quantità di tracce digitali che ognuno lascia nei più disparati sistemi informatici: nelle reti telefoniche fisse e mobili, nei servizi bancari, nelle transazioni economiche, nei sistemi informativi sanitari, sul web, eccetera.
L’obiettivo principale del progetto è la caratterizzazione quantitativa e relativa ai contesti dei concetti di privacy e di anonimato e il loro uso in applicazioni di importanza crescente quali il data mining e l’analisi dei dati, i servizi basati sulla ubicazione e la negoziazione della fiducia nelle reti sociali. Dal punto di vista giuridico la principale attività è proprio lo studio sistematico dell’uso dei concetti di privacy e anonimato, che può fornire indicazioni fondamentali allo sviluppo delle applicazioni informatiche suddette e, dal punto di vista informatico, le attività mirate alla quantificazione dell’anonimato e della privacy, che può fornire indicazioni fondamentali per chiarire il concetto di “ragionevolezza” a cui spesso si fa riferimento in termini giuridici.
Questi risultati di fondo consentiranno al consorzio di produrre risultati nel campo del privacy preserving data mining, ovvero nel produrre metodi e strumenti che consentano di analizzare grandi masse di dati contenenti anche dati sensibili per produrre modelli di interesse sociale, garantendo al contempo, in modo ragionevole, il diritto alla privacy e all’anonimato dei possessori dei dati. Un contesto di particolare rilevanza, anche se non l’unico, sarà quello dei dati di mobilità di persone e veicoli, acquisiti attraverso le infrastrutture di rete per la comunicazione wireless ed l’ubiquitous computing. Oltre al privacy preserving data mining la ricerca affronterà anche il discrimination-aware data mining, ovvero il problema di garantire che nei modelli generali estratti non si faccia uso di regole decisionali discriminatorie.
Le nozioni di privacy e di anonimato sono anche fortemente connesse con la necessità di stabilire la fiducia (trust) nelle interazioni tra due soggetti e, più in generale, tra i partecipanti ad una rete sociale. Lo sviluppo di opportuni protocolli per garantire interazioni fidate, con particolare riguardo alle reti sociali, è un’altra delle attività del progetto.
Il terzo ambito applicativo dei concetti di privacy e anonimato è quello dei servizi basati sull’ubicazione. In questo caso il servizio viene personalizzato in base alla posizione dell’utente in quel momento. Da un punto di vista informatico, l’obiettivo è quello di ottenere la migliore qualità di servizio preservando un livello di privacy determinato dalle preferenze dell’utente e dallo specifico contesto in cui si trova.
La strategia che il progetto persegue è di favorire una fertilizzazione reciproca tra i punti di vista legale e computazionale<<<

Coordinatore Scientifico del Programma di Ricerca

Franco Turini Università degli Studi di PISA

Obiettivo del Programma di Ricerca

La proposta nasce in modo naturale come progetto interdisciplinare sulla base della considerazione che la ricerca nel settore della protezione della privacy viene al momento condotta sia dal punto di vista giuridico regolamentare che dal punto di vista tecnologico informatico e che, in entrambi i campi, si sente la necessità di integrare i propri risultati con i risultati dell’altro settore. Un tema strettamente connesso con il diritto alla privacy e la protezione dei dati personali è quello dell’anonimato: nella tendenza contemporanea di una sempre maggiore presenza e pervasività delle tecnologie dell’informazione e della comunicazione, verso l’ubiquitous computing, il diritto dell’individuo a restare anonimo, quando è riconosciuto dal legislatore, è continuamente posto in discussione dalla grande quantità di tracce digitali che ognuno lascia nei più disparati sistemi informatici: nelle reti telefoniche fisse e mobili, nei servizi bancari, nelle transazioni economiche, nei sistemi informativi sanitari, sul web, eccetera.
Nell’ordinamento giuridico italiano, non esiste una definizione giuridica condivisa di diritto all’anonimato e il dibattito sull’esistenza stessa di tale diritto è tuttora aperto. Tuttavia diverse sono le disposizioni normative che, in relazione ad ambiti specifici, richiamano il concetto dell’anonimato. In particolare, alcune disposizioni consentono all’individuo di rimanere anonimo, garantendogli a tutti gli effetti il diritto all’anonimato. L’anonimato è, inoltre, garantito “come diritto alla riservatezza dei dati personali”. L’anonimato infatti, come hanno affermato in più occasioni la Commissione Europea e il Consiglio d’Europa, rappresenta il miglior modo di tutelare la riservatezza e di proteggere i dati personali di un soggetto. Definire il dato anonimo non è, tuttavia, operazione semplice. L’anonimato è difatti un concetto relativo che si configura in relazione a determinati soggetti o a determinati fatti o per specifiche finalità. La relatività dell’anonimato è evidente nella definizione che ne fornisce il Codice per la protezione dei dati personali, all’art. 4, co. 1°, lett. n). Secondo questa disposizione è anonimo “il dato che in origine, o a seguito di trattamento, non può essere associato ad un interessato identificato o identificabile”. Il giurista deve quindi chiedersi in quali casi si può ritenere che un dato non possa essere associato ad un soggetto. La relatività dell’anonimato assume oggi una maggiore evidenza ed una maggiore problematicità poiché le reti telematiche consentono un più agevole collegamento fra le informazioni, rendendo più difficile la stessa configurabilità dei dati anonimi. Dal versante della ricerca giuridica è quindi necessario delimitare l’uso di questo concetto all’interno di un quadro definitorio consolidato che fornisca misure anche quantitative di concetti quali ragionevoli garanzie di anonimato, ovvero costo di reidentificazione non commisurato ai benefici ottenibili, alla sua operatività in diversi ambiti normativi ed al carattere altamente ideologico delle problematiche ad esso connesse. Nell’ambito del presente progetto di ricerca si tenterà quindi di fornire una risposta ai seguenti quesiti: quali sono le modalità per rendere anonimi i dati personali, ovvero per evitare, o almeno rendere improponibili, possibili reidentificazioni dell’interessato, quali sono le modalità e quali gli strumenti da impiegare per valutare e quantificare la garanzia dell’anonimato.
Dal versante della ricerca informatica, un interesse fondamentale è quello di implementare tecniche di anonimizzazione dei dati compatibili con le esigenze giuridiche, ma in grado di conservare una qualità dei dati sufficiente a scopi di analisi dei dati stessi, in particolare mediante le tecniche di data mining. Esiste infatti la necessità di non disperdere il patrimonio informativo digitale che si accumula per finalità di comprensione di fenomeni complessi, quali ad esempio la mobilità urbana, i comportamenti collettivi nelle reti sociali, le dinamiche socio-sanitarie, i comportamenti collettivi economicamente e socialmente rilevanti. Il punto chiave diventa quello di consentire l’analisi e la scoperta di conoscenza collettiva, garantendo al contempo la privacy (l’anonimato) delle persone a cui i dati sorgente delle analisi si riferiscono.
Un ulteriore aspetto riguarda la garanzia della privacy durante l’erogazione di servizi in contesti di mobilità. In molti casi gli utenti sono disposti ad affidare la gestione di informazioni personali (come ad esempio la loro identità e la loro posizione) a terze parti (quali ad esempio gli operatori di telefonia mobile), ma vorrebbero il rispetto di specifiche politiche di privacy nel momento in cui questi dati vengano inoltrati a fornitori esterni per ottenere servizi personalizzati in base al contesto di fruizione. Molti sono i soggetti interessati a fornire questi servizi, ed alcuni sono già presenti sul mercato, in particolare con l’offerta di servizi basati sull’ubicazione degli utenti (nel seguito indicati con LBS - Location-Based Services). Da un punto di vista informatico, l’obiettivo è quello di ottenere la migliore qualità di servizio preservando un livello di privacy determinato dalle preferenze dell’utente e dallo specifico contesto in cui si trova. Per la privacy c’è un duplice problema: da una parte un utente potrebbe non voler rivelare la propria posizione in determinate situazioni, e dall'altra, nel caso di uso di tecniche per l'anonimato, la posizione potrebbe essere utilizzata per risalire, con l'ausilio di informazioni esterne, all'identità dell'utente. Le tecniche di generalizzazione o offuscamento delle informazioni spazio-temporali per essere efficaci devono considerare diversi aspetti: a) le capacità di acquisizione di conoscenze esterne da parte di chi potrebbe essere interessato a violare la privacy, b) la possibilità di correlare richieste fatte in istanti diversi dallo stesso utente, ottenendo dei percorsi o schemi ricorrenti, c) la presenza di richieste da diversi utenti contenenti analoghe informazioni sensibili. Le tecniche ad oggi proposte affrontano problemi che ancora necessitano di adeguata formalizzazione e non tengono in considerazione tutti gli aspetti sopra citati.
Infine, la fase di erogazione dei servizi, sia in contesti di mobilità sia in ambiti più generali, può richiedere che tra il richiedente e chi fornisce il servizio si stabilisca un grado sufficientemente elevato di fiducia (trust) prima di procedere all’erogazione del servizio stesso. Il grado di fiducia raggiunto può inoltre condizionare la qualità e le caratteristiche del servizio erogato. Tale attività avviene solitamente con protocolli detti di trust negotiation, tramite cui viene regolato lo scambio di informazioni personali tra i due soggetti al fine di acquisire il livello di trust sufficiente per procedere all’erogazione del servizio. La ricerca su tali tematiche è attualmente solo agli inizi. Problematiche analoghe a quelle precedentemente menzionate si riscontrano anche nel contesto delle reti sociali, dove questo modello di negoziazione tra due parti viene esteso e generalizzato al contesto di una intera community. Le reti sociali, nate inizialmente per finalità prevalentemente legate all’intrattenimento ed alla socializzazione, si stanno oggi affermando anche come modello di business per la cooperazione e la condivisione di informazione a livello inter ed intra-organizzativo. In tale ambito, non è solo importante proteggere le risorse che ogni utente della rete vuole condividere con gli altri, ma è altresì importante proteggere le relazioni che un utente stabilisce con gli altri membri della rete. Scopo del presente progetto sarà quindi quello di investigare opportuni modelli di trust e meccanismi di trust negotiation, strettamente finalizzati alla salvaguardia della privacy, con una particolare attenzione all’ambito delle reti sociali. <<<

Risultati parziali attesi

RISULTATI
L’obiettivo generale è di creare un canale formalizzato di trasferimento di conoscenza che connetta nei due sensi il contesto giuridico e il contesto informatico nel campo della privacy e l’anonimato e le loro applicazioni nei settori del data mining, servizi basati sull’ubicazione e negoziazione della fiducia. Un promettente approccio alla formalizzazione di tale canale appare l’uso e la definizione di appropriate ontologie, campo in cui il consorzio ha già una notevole esperienza.

Dalla formalizzazione e condivisione della conoscenza il consorzio conta di ottenere risultati quali:

nel mondo informatico: definizione di tecniche di protezione della privacy aderenti agli standard giuridici e de facto nazionali e internazionali in campi quali:
- l’analisi di mobilità
- l’analisi dell’uso discriminatorio di attributi personali
- l’analisi di dati personali da fonti censuarie, sanitarie, ecc.
- modelli di privacy e trust in reti sociali
- tecniche di gestione della privacy e del trust durante l’erogazione di servizi location based


nel mondo giuridico: analisi sistematica del tema dell' anonimato condotta lungo i seguenti step:
- analisi sotto il profilo linguistico della nozione di anonimato e sua riconduzione all’interno dei concetti giuridici
- analisi della normativa e della giurisprudenza nazionale e dei più rilevanti riferimenti normativi internazionali in cui il concetto dell’anonimato è richiamato
- catalogazione alla luce dell’analisi del dato normativo e giurisprudenziale delle diverse modalità operative dell’anonimato
- analisi del rapporto tra anonimato, quale misura idonea a garantire la protezione dei dati personali, e il valore della sicurezza
- analisi della prefigurazione di un diritto all’anonimato in relazione ai servizi di Internet
- l’identificazione e la quantificazione del criterio dell’anonimato ragionevole
- prospettazione di fattispecie cui applicare il criterio dell’anonimato ragionevole
- analisi dei risultati dell’applicazione del criterio dell’anonimato ragionevole e verifica dell’eventuale impatto derivante dal ricorso al criterio nella normativa italiana

IMPATTO

Il progetto mira a chiarire i concetti di privacy e anonimato, soprattutto dal punto di vista della loro definizione relativa ai contesti applicativi e delle possibili quantificazioni. Tali risultati possono contribuire a chiarire la giurisdizione e a consentire una più oggettiva applicazione delle norme esistenti e la messa a punto di nuove. La prevista collaborazione del consorzio con il Garante per la Protezione dei Dati Personali è uno dei canali a disposizione del progetto.

La diffusione di tecnologie dell’informazione e della trasmissione consente al giorno d’oggi una grande facilità di accumulo di dati, che, in linea di principio, potrebbero essere miniere per scoprire informazioni generali di grandissima importanza, per esempio schemi di mobilità urbana, i comportamenti collettivi nelle reti sociali, le dinamiche socio-sanitarie, i comportamenti collettivi economicamente e socialmente rilevanti. Ma tali analisi sono rese difficili proprio dai rischi di violazione della privacy degli individui. Nel campo del knowledge discovery, quindi, ogni risultato che permette di effettuare l’analisi dei dati con garanzie di protezione della privacy, così come definita dalle normative, è un evidente contributo alle possibilità di sfruttare i dati stessi per fini socialmente utili.
Un' analoga situazione si presenta anche negli altri due settori applicativi del progetto: servizi basati sull’ubicazione e reti sociali. L’utilità di queste applicazioni, nel fornire servizi personalizzati nel primo caso, e nel consentire la condivisione di informazioni e servizi nel secondo, sono evidenti. Ma la loro diffusione dipende ancora una volta dalle garanzie sulla protezione dei dati personali forniti agli individui. Ogni risultato positivo che avrà dunque il progetto in questi campi avrà un impatto rilevante su queste importanti applicazioni.
Infine e` importante notare come gli obiettivi di questo progetto siano in linea con la riconsiderazione sul concetto di base di “dato personale” che, a livello Europeo, sta portando avanti il cosidetto Data Protection Working Party ex Articolo 29, ovvero la commissione formata dai Garanti europei per la privacy. Tale discussione, che ancora non ha portato ad atti normativi, è descritta nel documento intitolato “Opinion 4/2007 on the concept of personal data”, emanato nel giugno 2007 (disponibile all’indirizzo http://ec.europa.eu/justice_home/fsj/privacy/workinggroup/wpdocs/2007_en.htm). Questa discussione in atto è una ulteriore testimonianza della tempestività di questa proposta di progetto interdisciplinare. <<<

Durata

24 mesi

Base di partenza scientifica nazionale o internazionale

Il problema della privacy e della garanzia all’anonimato è sempre più intrecciato con le ICT, specie con la diffusione capillare delle tecnologie mobili di rete e dell’ubiquitous computing. All’ordine del giorno, anche sui media, troviamo il tema dei rischi per la privacy in contesti quali:

- il data mining e l’analisi dei dati personali,
- la fornitura di servizi basati sull’ubicazione (location-based services),
- l’interazione fra le persone nelle reti sociali e la negoziazione in rete.

In tutte queste aree dell’informatica si percepisce chiaramente, sia fra i ricercatori che nell’opinione pubblica, il contrasto fra nuove opportunità e nuovi rischi, così come la consapevolezza che senza affrontare in modo convincente questo nodo sarà difficile che le nuove tecnologie dell’ubiquità trovino una larga accettazione sociale. Altra convinzione è che il tema vada affrontato sul piano giuridico dei diritti delle persone, trovando definizioni e strumenti per i concetti stessi di privacy, dati personali e anonimato che siano applicabili, e quindi efficaci. Come considerazione generale, le tecnologie della privacy nel data mining, nei location-based services e nelle reti sociali sono oggetto di ricerca da pochi anni, ed i relativi risultati sono ad un livello embrionale; inoltre, il dialogo interdisciplinare informatico-giuridico è assai carente su temi, come quelli citati, che è ormai impossibile eludere.
Nel seguito diamo un breve acconto dello stato dell’arte delle ricerche sulle tecnologie per la privacy nei tre ambiti citati, concludendo con il punto di vista giuridico su privacy e anonimato.

Per motivi di spazio, le citazioni bibliografiche sono riportate in calce alla versione inglese di questa sezione.

Privacy, analisi dei dati e data mining

L’abbondanza di dati relativi ad ogni attività umana, dovuta alla crescente ubiquità dell’ICT, e le accresciute capacità analitiche del data mining (DM) offrono sempre maggiori opportunità di estrazione di conoscenza sui sistemi sociali ed economici più complessi. Sia i processi che i risultati del DM corrono, però, il rischio di intaccare la privacy degli individui i cui dati sono oggetto di analisi. Per proteggere la privacy nell’analisi dei dati e nel data mining è quindi necessario poter disporre di: 1) indicatori e misure del rischio di violazione della privacy; 2) metodi di analisi dei dati in grado di produrre risultati soddisfacenti pur contenendo i rischi suddetti entro limiti accettabili e misurabili.

La ricerca nelle tecnologie della privacy nell’analisi dei dati e nel data mining (Privacy-Preserving Data Mining, PPDM), è ad oggi in uno stadio ancora embrionale, sebbene abbia avuto un forte impulso negli ultimi tre anni; nell’ambito dei dati di mobilità sta addirittura muovendo i primi passi. Le tecniche oggetto di studio per il PPDM sono molto sofisticate: uno stato dell’arte si trova in [BA07a] e in [VCZ06]. Una bibliografia aggiornata è in [L07]. La ricerca in PPDM si è concentrata su:

- Privacy nella publicazione dei dati: analisi di modelli di attacco per l’identificazione personale, trasformazioni dei dati basate su anonimizzazione, randomizzazione, sanitizzazione.
- Privacy nel processo e nei modelli di DM: secure multi-party computation degli algoritmi di DM, pubblicazione sicura dei pattern e dei modelli estratti, eliminazione dei pattern sensibili alla privacy, effetti delle trasformazioni sui dati (k-anonimiz., randomiz., ecc.) sulla qualità dei risultati di DM.

Il primo punto è motivato dall’osservazione che i dati anonimizzati sono sufficienti per estrarre pattern aggregati e modelli di DM. Questo è anche coerente con le normative sulla protezione dei dati, come quella Europea, le quali affermano che i dati personali, se anonimizzati, non sono soggetti alle restrizioni di legge. Anonimizzare significa rendere ragionevolmente impossibile la re-identificazione, ovvero il collegamento tra i dati personali e l’identità di un individuo. Questo è però un obiettivo difficile, soggetto a molti possibili attacchi. [BA07b] discute vari esempi di re-identificazione in dati di pazienti, in log di ricerche su web e in dati di mobilità.

La protezione della privacy nell’uso di modelli di DM, oltre ad essere socialmente rilevante, è un problema scientifico stimolante. La questione è quella di trovare un buon compromesso tra la precisione della conoscenza estratta, utile per l’analisi, e l’imprecisione della stessa, necessaria per la protezione della privacy. Tale conflitto risulta essere sia un problema matematico che una sfida sociale. La presente proposta tiene in conto tale aspetto interdisciplinare.

Privacy nei Location-based services

Le tecnologie per la privacy sono carenti anche nel contesto della fruizione di servizi basati sulla ubicazione dell’utente (LBS), erogati tramite dispositivi mobili in grado di fornire diverse informazioni contestuali incluse, ad esempio, posizione, tempo, direzione e velocità di spostamento. Nel contesto LBS, e sempre in coerenza con le normative europee sulla privacy, il problema è quello di trasmettere all’erogatore del servizio la minima informazione da parte dell’utente che consenta di ottenere il servizio ad una qualità soddisfacente; in altre parole, si tratta nuovamente di trovare il miglior compromesso fra precisione della domanda di un LBS (in termini di ubicazione e identificazione) e qualità del servizio stesso. Ad esempio, se la precisione dell’ubicazione dell’utente è alta, la risposta alla domanda “Dov’è il benzinaio più vicino a me?” sarà ottimale, e minima la protezione della privacy dell’utente. Viceversa, se l’erogatore del servizio conosce la posizione dell’utente con un errore di 10 km, la protezione della privacy sarà maggiore e la risposta alla stessa domanda sarà meno affidabile. Dunque, il filone di ricerca principale si è focalizzato su tecniche di generalizzazione dell’informazione spazio-temporale contenuta nelle richieste, offuscando il luogo esatto (e talvolta anche il tempo) in cui la richiesta viene emessa. Gruteser [GG03] è forse il primo ad estendere ai LBS la nozione di k-anonimato [Sam01, Swe02].

Mentre la maggior parte delle ricerche focalizzano su singole richieste isolate, è stato osservato che anche una correlazione tra richieste successive fatte dallo stesso utente (sebbene anonimo) possa aumentare la probabilità di identificazione del richiedente. L’estensione del concetto di k-anonimato alle tracce (sequenze storiche di richieste) è stata formalizzata in [BWJ05], ma la proposta di tecniche efficaci per il suo raggiungimento è ancora oggetto di studio.

Privacy nella “trust negotiation” e nelle reti sociali

L’ambito dei protocolli di trust negotiation è oggetto di un crescente interesse e di una notevole attività di ricerca che ha portato allo sviluppo di numerosi sistemi [BFS04]. I lavori iniziali si sono focalizzati sulle strategie per condurre la negoziazione. Solo successivamente sono emerse alcune proposte che affrontano il problema della salvaguardia della privacy e dell’anonimato durante la negoziazione. Alcune proposte si sono concentrate sulla protezione delle politiche che esprimono i requisiti di trust di entrambe le parti. Il problema della safety rispetto all’inferenza di informazioni personali durante una negoziazione è stato investigato in [WL04], dove è stato proposto un metodo per determinare se durante la negoziazione possono essere inferite informazioni personali, il cui rilascio non è consentito dalle politiche delle parti coinvolte nella negoziazione. Un’altra proposta è il sistema Trust-X [BFS04], che prevede una serie di strumenti concepiti per la protezione della privacy durante una negoziazione [SBFPT07]. Un approccio alternativo alla tutela della privacy durante le negoziazioni è stato recentemente proposto in [SBFR06], attraverso il concetto di privacy preserving disclosure set, cioè di un insieme di proprietà/credenziali il cui rilascio congiunto non viola la privacy delle parti coinvolte nella negoziazione; sono stati inoltre definite alcune tecniche, basate su soppressione e generalizzazione di alcuni attributi, per fare in modo che una negoziazione proceda generando solo privacy preserving disclosure set.

La ricerca su tematiche connesse alla sicurezza e alla privacy in reti sociali ha mosso i suoi primi passi solo recentemente ed esistono quindi poche proposte. Le reti sociali sono nate come un ambiente finalizzato alla massima condivisione di informazioni tra i partecipanti. La condivisione di informazioni è generalmente basata sulle relazioni che intercorrono tra i vari partecipanti (quali ad esempio “amico” o “collega”). Solo recentemente si è iniziato ad investigare i problemi di privacy e di riservatezza connessi alle informazioni generate all’interno di reti sociali [Bar06]. La maggior parte delle proposte in tale ambito ha come scopo quello di preservare la privacy delle relazioni che i singoli membri di una rete sociale intrattengono, durante l’analisi dei dati relativi ai comportamenti collettivi dei membri della rete. A tal fine, vengono applicate tecniche sviluppate nel contesto del PPDM, quali k-anonimato o perturbazione, per proteggere le relazioni che intercorrono tra i nodi di una rete sociale. Le proposte esistenti non si occupano della condivisione controllata delle risorse tra i membri della rete sociale stessa e dei problemi di privacy ad essa connessa. Per sopperire a queste carenze, alcune reti sociali hanno iniziato a dotarsi di alcuni rudimentali sistemi di protezione, che consentono ad un utente di scegliere se le sue risorse (dati, relazioni, ecc.) devono essere pubbliche oppure accessibili solo agli utenti con cui intrattiene una relazione diretta. Per superare i limiti di tali soluzioni, recentemente in [CFP06] è stato proposto un sistema in grado di consentire l’accesso selettivo alle risorse presenti nella rete sociale. I requisiti di protezione vengono specificati dagli utenti della rete tramite regole di accesso. In questo ambito, è necessario essere in grado di proteggere la privacy delle relazioni che intercorrono tra gli utenti della rete, quando queste vengono utilizzate al fine di controllo dell’accesso. Ad esempio, è necessario far in modo che un utente, inviando una serie di richieste di accesso ad hoc ad un altro membro della rete, non riesca ad inferire mediante l’analisi delle risposte, l’esistenza di relazioni che il ricevente vuole mantenere private. A tal fine, in [CFP07] sono stati proposti alcuni protocolli che utilizzano tecniche crittografiche.

Privacy e anonimato dal punto di vista giuridico

Da un punto di vista più strettamente giuridico, il tema dell’anonimato si lega a quello della protezione dei dati personali. L’art. 4 del Codice in materia di protezione dei dati personali (D.Lgs. 30 giugno 2003, n. 196) contiene la definizione (tra l’altro già presente nell’art. 1, comma 2, lett. i della legge 675/96) di “dato anonimo”, “quale dato che in origine, o a seguito di trattamento, non può essere associato ad un interessato identificato o identificabile”. Altre disposizioni del Codice privacy tutelano nello specifico l’anonimato dei dati (v. artt. 22, 123, 126). Ci sono inoltre molte normative speciali che tutelano il trattamento anonimo dei dati in relazione a specifici settori (ad esempio, anonimato dei punteggi nei concorsi, anonimato dei dati nel processo e pubblicazione delle sentenze su riviste giuridiche anche on-line). Nella linea di demarcazione che distingue le informazioni a carattere personale da quelle anonime si è potuto notare come il dato anonimo presupponga l’impossibilità di risalire all’interessato. L’Autorità Garante per la protezione dei dati personali ha più volte chiarito che non possono essere considerati dati anonimi quelle informazioni che, pur non consentendo direttamente l’identificazione dell’interessato, se associate ad altri dati permettano, comunque, di risalire a quest’ultimo (Autorità Garante per la protezione dei dati personali, 21 dicembre 1998).

Quello delle informazioni ricavabili in via mediata rappresenta uno dei riferimenti cardine della disciplina in materia di protezione dei dati personali. La definizione di dato personale contenuta nel Codice in materia di protezione dei dati personali infatti dà rilievo sia alle informazioni nominative sia a qualunque notizia utile a rendere identificabile, anche indirettamente, l’interessato. Potrebbe, dunque, capitare che una serie di dati, apparentemente anonimi se considerati singolarmente, una volta combinati con altre informazioni o messi in rapporto tra di loro, possano comportare una lesione della privacy dell’interessato. Per queste ragioni si è deciso di garantire una tutela ad ampio raggio ricomprendendo anche quei dati non direttamente collegabili ad un soggetto ben definito ma che, invece, una volta elaborati, ne potrebbero consentire l’identificabilità a chiunque vi entri in contatto. Il problema è, tuttavia, stabilire quanto ampia debba essere questa forma di tutela. Secondo quanto previsto dal considerando n. 26 della Direttiva n. 95/46/CE “per determinare se una persona è identificabile, è opportuno prendere in considerazione l’insieme dei mezzi che possono essere ragionevolmente utilizzati dal responsabile del trattamento o da altri per identificare detta persona”. Si evoca un criterio, quello della ragionevolezza, di per sè connotato da indeterminatezza e polivalenza. Nell’ordinamento giuridico italiano il concetto della ragionevolezza può dirsi consolidato al vocabolario della giurisprudenza costituzionale dove, attraverso il suo utilizzo, sono stati introdotti nel sindacato di costituzionalità delle leggi specifici criteri di valutazione che consentono di far riferimento tanto al sistema dei valori e dei principi costituzionali considerato nella sua complessità, quanto alla necessità di garantire un certo grado di coerenza interna nelle scelte adottate dal legislatore. Vi è, tuttavia, una più specifica accezione della “ragionevolezza” che la descrive quale regola di misura composita non riconducibile al mero rispetto dei dati legislativi perché includente regole di buon senso non codificate nel dato normativo. Pur mutevole nelle sue concretizzazioni, il criterio della ragionevolezza risponde all’esigenza di ponderare interessi contrapposti e di valutare la corrispondenza di una decisione, ovvero di un comportamento, alle caratteristiche del caso concreto. Sotto questo profilo, la ragionevolezza è un criterio relazionale, la cui definizione postula necessariamente il confronto con un valore ovvero con un determinato contesto di riferimento. E’, inoltre, un criterio adeguativo, aperto al rapido modificarsi della realtà - nell’ambito della protezione dei dati personali, una realtà tecnologica su cui incidono, tra l’altro, profili economici – idoneo a mantenervi la normatività di cui è espressione. In questa sua veste, il criterio della ragionevolezza misura non solo il processo di identificazione indiretta del soggetto ma più in generale individua il limite superato il quale le operazioni di trattamento dei dati dati personali non possono più qualificarsi rispettose del principio di necessità di cui all’art. 3 del Codice in materia di protezione dei dati personali.

E’ possibile, tuttavia, quantificare la ragionevolezza, impiegata quale strumento di misura del processo di identificazione indiretta? L’esigenza di quantificare la ragionevolezza nasce dalla considerazione che la costante implementazione della tecnologia informatica rende sempre più agevole risalire all’identità dell’individuo tramite l’interconnessione di informazioni diverse, ragion per cui lo stesso criterio della ragionevolezza, riferito al processo di identificazione indiretta dell’interessato, dovrebbe essere costantemente aggiornato. <<<