DOCS

Un sistema strutturato di policy e decision-making che determina quali dati personali possono essere accessibili per un compito specifico, da uno specifico richiedente, sotto vincoli normativi ed etici specifici.

Questo framework produce due output machine-readable:

• Privacy Allowance Profile (PAP) – definisce quali classi di PII possono essere incluse (dirette, indirette, sensibili)
• Data Access Certificate (DAC) – l’artefatto formale di autorizzazione che accompagna i dati

Scopo del framework

• Far rispettare data minimization, least privilege access e purpose limitation
• Decidere quali classi di PII sono consentite in un determinato contesto
• Decidere quale processo di anonimizzazione sia necessario o appropriato
• Integrarsi con workflow enterprise di Data Access Governance (DAG)
• Fornire tracciabilità per audit di privacy, compliance, ML governance e reporting
• Supportare dati non strutturati e workload ML (chat, log, trascrizioni, prompt)

Ambito

• Si applica a qualsiasi dataset non strutturato o richiesta
• Copre sia strumenti interni sia strumenti di terze parti (es. LLM cloud)
• Copre richiedenti umani e automatizzati
• Considera normative, etica, consenso e policy organizzative
• Produce certificazioni, obblighi e trasformazioni delle PII

Come funziona

1. Gli input vengono raccolti da metadati del dataset, profilo del richiedente, contesto d’uso e ambiente normativo
2. Gli input vengono confrontati con le regole nella matrice di autorizzazione
3. La matrice determina il Privacy Allowance Profile (es. “Nessuna PII diretta/indiretta”)
4. Il sistema produce un Data Access Certificate (DAC) con requisiti, restrizioni e metadati di audit
5. Pipeline automatizzate di anonimizzazione/redazione/scrubbing trasformano i dati di conseguenza
6. L’accesso è concesso solo alla vista trasformata e approvata dei dati

Questo si inserisce in modelli esistenti di DAG, DLP, ML governance e privacy compliance.

• P0 — Full Access: Direct/indirect/sensitive consentite (audit/certificazione richiesti).
• P1 — No Direct IDs: Dirette rimosse; indirette e sensibili possono rimanere.
• P2 — No Direct or Indirect IDs: Dirette e indirette rimosse; sensibili possono rimanere
• P3 — No Direct and sensitive: Dirette e sensibili rimosse; indirette possono rimanere
• P4 — No sensitive data: Dirette e indirette possono rimanere; sensibili mascherate o rimosse
• P5 — Fully De-Identified / External Processor: Tutte le PII rimosse/redatte; consentito solo testo aggregato o anonimizzato in modo irreversibile.
• P6 — Synthetic / Derived: Consentiti solo dati sintetici o completamente derivati.

Input information

Data source (automated from data metadata)

Informazioni che dovrebbero accompagnare la sorgente dati.

• Data type: Chat clienti, email, trascrizioni chiamate, cartelle cliniche, documenti finanziari, record dipendenti, prompt, log, altro
• Data domain: medico, finanziario, legale, governativo, altro (specificare)
• Data include minors: sì / no / sconosciuto
• Moderation risks: presenza di contenuti illegali, dannosi o potenzialmente disturbanti (richiede cura extra, specialmente se destinato a accesso umano, es. labeler)
• PII classes in data: identificatori diretti, identificatori indiretti, attributi sensibili, nessuno, sconosciuto
• Jurisdiction: localizzazione dei dati e dei soggetti per la giurisdizione
• Consent: consenso ottenuto (sì/no/parziale – specificare uso consentito). Catturare stringhe esatte, timestamp, ambito (training sì, marketing no) e fonte (UI, cookie, contratto). GDPR/CCPA richiedono prova della base legale.
• Data policy: campo per la policy di accesso e utilizzo dei dati dal provider.
• Data provenance: collega dataset a sorgenti originali, versioni e trasformazioni per audit e riproducibilità.
• Re-Use / Re-Training Flags: flag esplicito se il dataset può essere usato per training/fine-tuning successivi (sì/no/condizionale).
• Access log: monitoraggio di chi ha avuto accesso ai dati, quando, …
• Storage: dove sono archiviati i dati, eventuali copie

Requester (automated from requester profile)

• Human or automated: umano, agent/tool/program
• Party: interno / terza parte (nome & regione) / regolatore / interessato
• Role: data scientist, annotator, analyst, …
• Permissions: training, livello di accesso

Request (requester needs to provide)

• Purpose of access: training (modello), testing/valutazione, debugging, produzione user-serving, analytics, legal/compliance, altro (specificare).
• Processing location: on-prem, in-cloud (provider: …), hybrid.
• Processing tool: tool interno, LLM/tool di terza parte (sì/no. Se sì: nome provider, stato contrattuale (DPA/BAA/SCCs))
• Sensitivity of decisions: decisioni automatizzate? (sì/no); impatto sugli utenti? (sì/no); …
• PII classes requested: identificatori diretti / identificatori indiretti / informazioni sensibili

Regulations (automated)

• Jurisdiction: basata su localizzazione dati/utenti e localizzazione di processing/deployment – EU, US, UK, altro (specificare).
• Regulations: regolamenti applicabili, in base alle info disponibili
• Ethical risks: rischio di bias atteso (basso/medio/alto) e preoccupazioni

Privacy Allowance Profile (PAP)

Machine readable: istruisce la macchina a preparare i dati secondo il profilo consentito.

• Allowed classes of PII: identificatori diretti / identificatori indiretti / informazioni sensibili
• Anonymization required: workflow automatizzati da applicare prima di concedere accesso secondo il DAC: redaction, obfuscation, …

Data Access Certificate (DAC)

Accompagna i dati ed è sia human sia machine readable, per abilitare audit e rilevazione automatica di violazioni di policy.

• Request summary: dettagli su dati e per cosa l’accesso è concesso (chi può accedere, per quanto tempo, come può/non può essere usato, regolamenti rispettati, rischi etici …).
• Re-identification risk score: score automatizzato per misurare l’efficacia della de-identificazione (utile per regolatori e auditor).
• Derivative policies: policy per output dati/modelli derivati. Model inversion ed embedding leakage sono rischi noti.
• Retention and deletion policy: quanto può persistere la vista/extract o un modello derivato. Collegare emissione a scadenza.

Permissions checklist

Elenca quali permessi sono richiesti e quali mancano per accedere ai dati come specificato dal richiedente. Facilita la richiesta chiarendo cosa serve e dove richiederlo.

Questo documento definisce la metodologia di gestione e la tassonomia dei codici di errore per il miglioramento continuo dei processi di anonimizzazione dei dati.

Management Framework

Overview

Questo framework fornisce un approccio sistematico per gestire e migliorare la qualità dell’anonimizzazione tramite rilevazione, misurazione e riduzione continue degli errori. Ispirato ai principi del Six Sigma[^1], consente alle organizzazioni di ottenere un’anonimizzazione quasi perfetta minimizzando gli errori nel tempo come parte di un Privacy Information Management System (PIMS).

Process Architecture

La pipeline di anonimizzazione consiste in tre livelli:

1. Source Layer: testo originale contenente informazioni personali identificabili (PII)
2. Privacy Layer: testo con PII sostituite da privacy token (es. [NAME], [EMAIL])
3. Output Layer: testo finale dopo l’unmasking e eventuali trasformazioni (es. traduzione, sintesi)

Core Detection Function

FUNCTION DetectErrors( 	inputs: { source: String, actual-mask: PrivacyMask=[ List <{Start , End, Label, Index }>], computed-mask:PrivacyMask=[ List <{Start , End, Label, Index }>]} 	) 	-> ErrorMatrix [ List<{ activation: Code, explanation: String }> ]:

Objective: minimizzare la funzione di errore al crescere di volume e complessità delle richieste.

Quality Management Workflow:

• Inference Stage: dato il testo sorgente e la tassonomia delle label, calcolare la privacy mask
• Evaluation Stage: confrontare la mask calcolata con annotazioni gold standard
• Post-Processing Stage: applicare sostituzioni stringa e validare la qualità dell’output
• Analysis Stage: classificare errori per tipologia, calcolare metriche, identificare aree di miglioramento
• Improvement Stage: affinare modelli, regole e processi in base ai pattern di errore

1. ## Errori di classificazione token (T)

Description: fallimenti di classificazione binaria a livello di token, in cui unità di testo vengono identificate erroneamente come contenenti o non contenenti PII. Token qui indica le unità risultanti, ad esempio, dalla tokenizzazione del testo.

Application: si applica a tutti i task di anonimizzazione durante la fase iniziale di detection a livello token.

Evaluation:

• Severity: 5/5 — l’undertriggering crea violazioni dirette di privacy; l’overtriggering riduce l’utilità dei dati e può bloccare casi d’uso legittimi
• Metrics: Precision, Recall, F1-score a livello token; False Positive Rate (FPR), False Negative Rate (FNR)

1. ## Errori di entity span (S)

Description: errori nel determinare correttamente i confini delle entità PII. Il sistema riconosce che esiste PII ma non cattura l’intero span oppure cattura porzioni errate del testo circostante. Un’entità è un’informazione che può contribuire a identificare un individuo o rivelare dettagli sensibili. Le entità possono essere realizzate tramite span di uno o più token.

Application: si applica a tutti i sistemi di anonimizzazione basati su entità. Particolarmente rilevante per NER e boundary detection su entità multi-token.

Evaluation:

• Severity: 4/5 — impatto moderato su privacy (underannotation) e utilità (overannotation). Può propagarsi in errori di label classification
• Metrics: Exact Match Accuracy, Partial Match Score, Character-level F1, Boundary IoU

1. ## Errori di entity nesting (N)

Description: fallimenti nel riconoscere e rappresentare relazioni gerarchiche in cui un’entità contiene o è contenuta in un’altra entità.

Application: si applica principalmente a contesti di dati strutturati (file path, URL, indirizzi, gerarchie organizzative) e a sistemi che supportano entità annidate. Non applicabile a modelli “flat”.

Evaluation:

• Severity: 3/5 — può esporre PII annidate ma spesso l’entità contenitore offre protezione sufficiente. L’impatto varia per profondità e tipi di entità
• Metrics: Nested Entity Recognition Rate, Hierarchy Completeness Score, Parent-Child Match Accuracy

1. ## Errori di label classification (single-label) (L)

Errori nell’assegnare la corretta categoria PII a un’entità. Si verificano quando lo span è corretto ma viene assegnato il tipo/categoria sbagliato o un livello di granularità inappropriato.

Description: errori nell’assegnare la categoria PII corretta quando deve essere applicata una sola label. Lo span è corretto ma la tipologia o la granularità è errata.

Application: si applica a tutti i sistemi basati su classificazione. Critico quando entità diverse richiedono trattamenti differenti (es. retention, encryption).

Evaluation:

• Severity: 3/5 — rischio spesso più basso perché l’entità è comunque protetta, ma può impattare processing downstream, policy compliance e utilità analitica
• Metrics: Label Accuracy, Confusion Matrix, Macro/Micro F1 per classe, Granularity Appropriateness Score

1. ## Errori di label classification (multi-label) (M)

Description: errori nell’assegnare e nel rankare più categorie PII valide quando un’entità appartiene legittimamente a più classi. Include label mancanti, ranking errato o label non valide.

Application: si applica solo a sistemi multi-label, tipicamente per entità ambigue (es. “Jordan” come NAME/LOCATION) o entità con più informazioni (es. SSN italiano “RSSRRT60R27F205X” che include anche parti di nome, data di nascita, città e genere).

Evaluation:

• Severity: 2/5 — impatta decisioni downstream ma l’entità resta probabilmente protetta da almeno una label
• Metrics: ranking: nDCG o LRAP; assegnazione: Precision/Recall

1. ## Errori di privacy token (K)

Description: errori nella struttura dei privacy token, nel collegamento al testo sorgente e nella coreference lungo il documento. Impattano integrità, tracciabilità e consistenza dell’identità.

Application: si applica a tutti i sistemi token-based che mantengono mappature tra token e entità originali. Critico per anonimizzazione reversibile e scenari con più menzioni.

Evaluation:

• Severity: 4/5 — alta: può rompere l’unmasking, esporre PII tramite token mal formati o non proteggere menzioni ripetute
• Metrics: Token-Span Alignment Accuracy, Coreference Resolution F1, Token Format Compliance Rate

1. ## Errori di testo in output (O)

Description: errori durante unmasking e generazione dell’output, in cui i privacy token vengono sostituiti in modo errato, posizionati male o rendono il testo finale agrammaticale.

Application: si applica solo a sistemi reversibili con unmasking e a pipeline che includono trasformazioni (traduzione, sintesi, style transfer) dopo il masking.

Evaluation:

• Severity: 3/5 — media. Non crea privacy breach ma impatta fortemente usabilità, comprensione e fiducia
• Metrics: Unmasking Accuracy, BLEU/ROUGE, Edit Distance, Grammaticality

1. ## Errori di personalizzazione (P)

Description: errori nell’applicazione di preferenze specifiche utente/policy, che portano a gestione errata rispetto a requisiti individuali o policy organizzative.

Application: si applica solo a sistemi con regole personalizzate (es. livelli di sensibilità, custom entity type, requisiti giurisdizionali).

Evaluation:

• Severity: 4/5 — alta, perché viola aspettative e compliance di policy
• Metrics: Policy Compliance Rate, Preference Application Accuracy, User Satisfaction Score

1. ## Errori di processo legati a progetti di privacy (E)

Description: errori organizzativi e di workflow che riflettono come l’anonimizzazione è integrata nelle attività più ampie di trattamento dati.

Application: a livello di processo/workflow, non di implementazione tecnica. Rilevante per audit e valutazioni di maturità PIMS.

Evaluation:

• Severity: 5/5 — massima: fallimenti sistemici che possono impattare tutte le attività di trattamento dati
• Metrics: Privacy Impact Assessment, audit di processo, incident rate, time-to-privacy

[^1]: Six Sigma è un metodo di quality management data-driven che mira a risultati quasi perfetti minimizzando difetti e variazione nei processi.

[^2]: S: Source text; P: Privacy layer; O: output layer dopo unmasking/processing; G: Gold standard