I termini “pseudonimizzare” e “pseudonimizzazione” sono comunemente indicati nel mondo della privacy dei dati, ma le loro origini e il loro significato preciso non sono ampiamente compresi tra gli avvocati americani. In effetti, la maggior parte dei dizionari americani non riconosce entrambi i termini come parte della lingua inglese.1 Mentre i termini derivano dalla parola radice “pseudonimo” – che è definito come un” nome che qualcuno usa al posto del suo vero nome ” – i loro significati sono leggermente più complessi.2
Il CCPA è stato il primo statuto degli Stati Uniti (federale o statale) ad utilizzare entrambi i termini.3 Le definizioni del CCPA per i termini prendono in prestito dal GDPR europeo emanato due anni prima del CCPA. Infatti, ad eccezione di piccoli aggiustamenti per conformare la definizione alla terminologia specifica della CCPA (ad esempio, “consumatore” anziché “interessato”), le definizioni sono praticamente identiche:
Fonte | GDPR | CCPA | Modifica da GDPR per CCPA |
Termine | pseudonymisation | Pseudonymize / Pseudonymization | |
Definizione | egli trattamento dei dati personali, in modo tale che i dati personali non può più essere attribuito ad una specifica interessato senza l’uso di ulteriori informazioni, a condizione che tali informazioni sono conservati separatamente e sono soggette a misure tecniche e organizzative per garantire che i dati personali non sono attribuiti a una persona fisica identificata o identificabile.4 | “egli trattamento dei dati personali in un modo che rende le informazioni personali non è più attribuibile ad un particolare consumatore senza l’uso di ulteriori informazioni, a condizione che le informazioni aggiuntive sono conservati separatamente e sono soggette a misure tecniche e organizzative per garantire che le informazioni personali non è attribuito ad un soggetto identificato o identificabile consumatore.”5 | il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un consumatore interessato specifico senza l’uso di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e siano soggette a misure tecniche e organizzative per garantire che le informazioni sui dati personali non siano attribuite a una persona fisica identificata o identificabile consumatore. |
La confusione che circonda il termine “pseudonimizzare” deriva in gran parte dall’ambiguità su come il termine è destinato a inserirsi nello schema più ampio della CCPA. Oltre a definire il termine, il CCPA si riferisce solo a “pseudonimizzato” in un’occasione. Nell’ambito della definizione di “ricerca”, il CCPA implica che le informazioni personali raccolte da un’azienda dovrebbero essere “pseudonimizzate e deidentificate” o “deidentificate e in forma aggregata.”6 Il riferimento congiuntivo alla” ricerca “sia pseudonimizzata” che “deidentificata solleva la questione se il CCPA dia alcun effetto al termine” pseudonimizzato.”In particolare, il CCPA sembra assegnare una soglia più alta di anonimizzazione al termine” deidentified.”Di conseguenza, se i dati devono già essere deidentificati, non è chiaro quale ulteriore elaborazione o insieme di operazioni è prevista anche pseudonimizzando i dati.
Il risultato netto è che mentre il CCPA prende in prestito il termine “pseudonimizzazione” dalla legge europea sulla privacy dei dati, e lo introduce nel lessico legale americano, non sembra applicare il termine o dargli alcun effetto legale o status indipendente.