GDPR E DATA MASKING

Scritto da Alfredo Visconti Presidente ANDIP

_________________________________________________

Abrogate le misure minime di sicurezza previste dal D. lgs 196/2003, il GDPR per garantire un livello di sicurezza adeguato al rischio ha introdotto il criterio della pseudonimizzazione/anonimizzazione dei dati ossia la conservazione di informazioni di profilazione dell’utente atte da impedirne l’identificazione.

Come già detto con il GDPR si è abbandonato il concetto di sicurezza minima per affrontare la sicurezza sia fisica che logica all’interno di un concetto che raccomanda l’utilizzo di sistemi che consentano di anonimizzare o pseudonimizzare le informazioni che identificano una persona, nell’ottica della protezione dei dati

Nell’ottica nuova, rispetto al vecchio D.lgs 196/2003 (come detto misure minime allegato abrogato), tra le misure di sicurezza per la protezione dei dati personali, si raccomanda in modo forte e perentorio l’utilizzo di sistemi atti ad anonimizzare o pseudonimizzare le informazioni che identificano una persona.

Non stiamo parlando di fantascienza ma di tecniche o meglio di meccanismi il cui scopo è quello di ridurre i rischi connessi al trattamento di dati personali e contribuire a rendere i titolari/responsabili del trattamento conformi alle nuove regole sulla privacy.

Ma al fine di non ingenerare fraintendimenti è bene specificare da subito che stiamo parlano di due tecniche diverse per cui occorre una scelta oculata e cosciente per intraprendere una strada piuttosto che un’altra.

La pseudonimizzazione garantisce i dati sottoposti al trattamento di privacy, operando tecnicamente attraverso la sostituzione della la maggior parte dei campi identificabili contenuti all’interno di un record in cui sono presenti dati personali, con uno o più elementi mascherati o pseudonimi. Può essere usato ad esempio un unico pseudonimo riferito ad un insieme univoco di dati, ma anche un singolo pseudonimo per ogni specifico dato.

 

Dati di produzione Dati mascherati
Nome Cognome Email Nome Cognome Email
Alfredo Visconti vis@gmail.com Aldo Perti per@gmail.com

 

Il GDPR fornisce una definizione di pseudonimizzazione, spiegandola come il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile.

Pertanto, in base a quanto stabilito dal Regolamento n.679, al fine di pseudonimizzare correttamente un insieme di dati occorre che le ulteriori informazioni che rendono quei dati attribuibili ad un soggetto specifico, consentendone dunque l’identificazione, siano conservate separatamente e soggette a misure tecniche e organizzative che garantiscano la non attribuzione a una persona identificata o identificabile.

Come detto è fondamentale capire che Pseudonimizzazione e anonimizzazione se pur simili nelle tecniche e nei risultati sono estremamente diverse, entrambe le tecniche, oscurano i dati personali, ma la pseudonimizzazione permette di identificare in un secondo momento i dati anche in maniera indiretta o da remoto, mentre i dati anonimi non consentono la successiva identificazione.

Riassumendo quindi con l’anonimizzazione, viene rimosso qualsiasi dato/valore riconoscibile che possa permettere di risalire ad un soggetto specifico identificandolo, di converso invece la pseudonimizzazione  non elimina gli elementi identificativi dai dati, ma ne riduce il collegamento con il valore/identità originale ad esempio attraverso l’utilizzo della crittografia.

Nella scelta fra le due tecniche non vi sono particolari accorgimenti e/o consigli è importante invece identificare i dati che solo a titolo di esempio anche se non esaustivo, potrebbero essere::

  • codici fiscali, partita iva;
  • coordinate bancarie, IBAN;
  • dichiarazioni di redditi;
  • certificati medici
  • fatture;
  • dati genetici, dati sanitari, dati finanziari
  • numeri di carte di credito;
  • numeri di telefono;
  • indirizzi

Esistono molte tecniche per la pseudonimizzazione del dato, la scelta deve essere la conseguenza di un serio lavoro di confronto tra costi e benefici, ben calato nella realtà produttiva in cui deve operare, perché uno studio di fattibilità sbagliato potrebbe anche comportare un oneroso carico sia economico si di lavoro fino a giungere eventualmente anche alla perdita dei dati stessi o meglio sarebbe dire fino a rendere il dato inutilizzabile.

Solo per citare qualche esempio si può operare sull’uso di chiavi d’accesso, funzioni di hash e token, se non si vuole alterare in alcun modo la struttura del set di dati è possibile selezionare le informazioni identificabili e usare la crittografia mediante l’impiego di una chiave d’accesso forte o una funzione di hash.

Cosi facendo le informazioni saranno opportunamente mascherate, protette e rese illeggibili e solo le persone che avranno a disposizione la chiave d’accesso (comunemente chiamata chiave di decrittografia) o la password potranno leggere il contenuto del file.

Un’altra tecnica è quella che impiega il token, che come ben sappiamo si usa solitamente per criptare i dati finanziari, essa si basa sull’impiego di un meccanismo di crittografia univoca o sull’assegnazione, tramite una funzione indicizzata, di un numero sequenziale o di un numero generato casualmente che non deriva esattamente dai dati originali.

Diverse invece sono le tecniche per l’anonimizzazione ed in tal caso possiamo parlare di:

  • Correlabilità; stiamo parlando nello specifico di correlare appunto almeno due informazioni riguardanti una stessa persona o un gruppo di soggetti inseriti nella stessa banca di dati o in due diverse banche dati; mediante questa tecnica un soggetto non autorizzato potrebbe essere in grado di determinare (ad esempio mediante un’analisi della correlazione) che due informazioni sono assegnate allo stesso gruppo di persone, ma non riuscirebbe ad identificare alcuna persona del gruppo;
  • rumore statico; oltre la correlabilità questa tecnica consiste nell’alterazione degli attributi contenuti in un set di dati in modo tale da renderli meno precisi, mantenendo allo stesso tempo la composizione generale. Nel momento in cui tratta il set di dati, l’osservatore presume che i valori attribuiti siano certi ed esatti, ma ciò corrisponde solo limitatamente al vero. Se la tecnica viene applicata in maniera efficace, eventuali terzi non riescono a identificare una persona né possono correggere i dati;
  • Scrambling; tecnica che consente di offuscare le lettere dell’alfabeto mescolandole tra loro. A volte il processo può essere invertito.

Naturalmente, esistono molte altre tecniche con gradi di affidabilità differenti e molti software e aziende che forniscono servizi per effettuare la pseudonimizzazione o l’anonimizzazione del dato: utilizzandoli sui propri database questi software restituiscono un contenuto in cui i dati personali sono sostituiti da valori non correlati ai dati a seconda della tecnica impiegata. Vi sono alcuni software che consentono di essere installati sulle macchine, vengono concessi in licenza (alcuni sono opensource) e permettono di effettuare la conversione direttamente in house, senza passare per la rete Internet, permettendo così una maggiore protezione del dato e un più alto livello di sicurezza per l’adeguamento al GDPR di titolari e responsabili del trattamento.