La pseudonimizzazione GDPR

Pseudonimizzazione: che cos’è e cosa viene richiesto dal GDPR

La pseudonimizzazione è una tecnica che consiste nel conservare i dati in una forma che impedisce l’identificazione del soggetto senza l'utilizzo di informazioni aggiuntive.

Pseudonimizzazione al centro del GDPR

Il GDPR, in applicazione dal 25 Maggio 2018, pone tra gli aspetti principali la pseudonimizzazione, una parola difficile da pronunciare, poco chiara ai più ma essenziale. Infatti, la pseudonimizzazione è uno strumento fondamentale per proteggere i dati personali e sensibili di persone fisiche e giuridiche al fine di garantire loro piena e totale riservatezza.

Questa tecnica consiste nel conservare i dati in una forma che impedisce l’identificazione del soggetto senza l’utilizzo di informazioni aggiuntive.

Al fine di limitare il rischio di violazioni di privacy e furti d’identità, il GDPR spinge le organizzazioni a pseudonimizzare i propri dati.

Cosa dice il nuovo regolamento europeo sulla protezione dei dati? Download del regolamento formato PDF.

Il diritto alla protezione dei dati personali è un diritto fondamentale dell'individuo
Il diritto alla protezione dei dati personali è un diritto fondamentale dell’individuo

La situazione in Europa

Fin qui tutto chiaro, peccato però, che non tutte le aziende europee siano pienamente consapevoli di questa richiesta.

L’analisi condotta da Delphix evidenzia che fra gli stati membri analizzati nello studio, la Francia vanta un 38% di rispondenti che dichiarano di avere compreso il principio della pseudonimizzazione. Nel Regno Unito e in Germania questa quota diminuisce al 21%. In Italia non si è neanche riusciti a produrre una quantificazione percentuale e Delphix ha evidenziato una situazione “preoccupante”.

Proviamo a fare chiarezza

La pseudonimizzazione, o cifratura, consiste nel modificare e mascherare i dati personali e sensibili di una persona fisica al fine di non renderli direttamente e facilmente attribuibili allo stesso senza l’utilizzo di informazioni aggiuntive.

Risulta evidente che il dato e le informazioni aggiuntive, comunemente chiamate chiavi, debbano essere materialmente conservati in zone differenti, ad esempio server distinti, al fine di impedire un facile ricongiungimento.

Questa tecnica consente quindi di aumentare la protezione di un dato.

Si parla di pseudonimizzazione o cifratura e non di anonimizzazione poiché non esistono tecniche informatiche per rendere completamente anonimo un dato: in verità ci sarebbero anche ma se implementate non si avrebbe più la possibilità di leggere il dato originale.

Pseudonimizzazione dei dati personali
Pseudonimizzare un dato significa mascherare i dati di una persona fisica e tutelare la sua privacy

Vi sono due tipologie di pseudonimizzazione in base alle chiavi utilizzate:

Pseudonimizzazione simmetrica

Nella pseudonimizzazione simmetrica si utilizza la stessa chiave per cifrare, o mascherare, il dato e per renderlo nuovamente leggibile. Ovviamente questa tecnica crea il problema di come condividere la chiave senza che questa venga scoperta.

Pseudonimizzazione asimmetrica

Nella pseudonimizzazione asimmettrica si utilizzano due chiavi distinte: la prima per cifrare il dato, la seconda per decifrarlo. In questo modo è possibile facilitare la condivisione poiché si utilizza una chiave per crittografare, visibile a chiunque, e una chiave per decifrare che conosce solo il destinatario rendendo quindi non necessaria la sua condivisione.

La pseudonimizzazione è sicura al 100%?

La pseudonimizzazione non è una tecnica infallibile: eventuali malintenzionati potrebbero tentare di identificare una chiave mediante tecniche di forza bruta (brute-force attack).

L’attacco brute-force consiste nell’uso di un algoritmo che prova teoricamente tutte le possibili chiavi di lettura fino a scoprire quella effettivamente corretta.

Questa motivazione ha portato allo sviluppo nuove tecniche ancora più sicure, tra cui la tokenizzazione.

SUITE GDPR SENTINEL

  • ✓ Inventario e discovery della rete aziendale
  • ✓ Analisi delle vulnerabilità e delle anomalie
  • ✓ Registrazione dei log di sistema
  • ✓ Monitoraggio intelligente degli accessi
Questo articolo parla di:
Pseudonimizzazione: che cos’è e cosa viene richiesto dal GDPR
Titolo
Pseudonimizzazione: che cos’è e cosa viene richiesto dal GDPR
Descrizione
La pseudonimizzazione è una tecnica che consiste nel conservare i dati in una forma che impedisce l’identificazione del soggetto senza l'utilizzo di informazioni aggiuntive.
Autore
Publisher
InfoGDPR
Logo Publisher

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *