How can encryption help you?

Il GDPR UE mette accento sulla protezione dei dati personali, incoraggiando la protezione dei dati “a partire dal momento dell’ideazione e in modo implicito” (by design and by default). Detto questo, come implementare i metodi di sicurezza e protezione dei dati è lasciato su scelta di ogni organizzazione. Ci si aspetta che tutte le ditte seguano i più nuovi e i migliori metodi. Ad esempio la criptazione e la pseudonimizzazione sono elencati quali buoni metodi per assicurare un idoneo livello di protezione.

CRIPTAZIONE

La criptazione è una soluzione comune quando si tratta della sicurezza dei dati. Protegge l’informazione contro l’accesso indesiderato, il trattamento non autorizzato e illegale dei dati. Le organizzazioni che trattano moltissimi dati personali dovrebbero prendere in considerazione la criptazione insieme ad altre misure, sia tecniche che organizzative, considerando sia i benefici che i rischi forniti da tale metodo. Ci sono varie situazioni quando la criptazione dei dati è raccomandata, situazioni che dovrebbero essere valutate con attenzione dagli operatori di dati. Ad esempio le e-mail non hanno sempre bisogno di criptazione. Nonostante tutto questo se una e-mail include dati personali sensibili, la criptazione è raccomandata.

La criptazione riduce i rischi associati al trattamento dei dati personali visto che i dati non saranno disponibili senza la giusta chiave. In più la criptazione aiuta nel caso di una breccia di sicurezza. Il GDPR dice che le autorità devono essere avvisate su ogni breccia di sicurezza entro 72 ore dal momento in cui l’organizzazione ha preso nota dell’esistenza della breccia. Le persone interessate devono esserne altrettanto avvisate. Però nel caso in cui i dati siano criptati e l’organizzazione possa dimostrare che le persone interessate non possono essere identificate partendo dai dati rubati, il loro avviso non è più obbligatorio.

PSEUDONIMIZZAZIONE E TOKENIZZAZIONE

Il regolamento definisce la pseudonimizzazione come “trattamento dei dati personali in un tale modo che non ne possano più essere assegnate ad una certa persona interessata.”

I dati identificativi dovrebbero essere conservati separatamente e l’organizzazione deve assicurarsi che non possa essere fatto il collegamento con una persona fisica. È interessante che, benché la pseudonimizzazione non anonimizzi i dati, l’identificazione diretta non è più possibile. I rischi associati al trattamento dei dati sono bassi, ma nello stesso tempo si mantiene l’utilità dei dati. Un noto tipo di pseudonimizzazione sono le funzioni flash, utilizzate per mappare dati di ogni dimensione verso codici di dimensioni fisse.

Un altro metodo sicuro è la tokenizzazione. In tal caso i dati sono sostituiti con token generati casualmente prima di essere processati. I dati originari e i relativi token sono stoccati localmente e sono controllati soltanto dalla compagnia responsabile per i rispettivi dati. La tokenizzazione è a volte ritenuta più efficiente rispetto alla criptazione visto che non ci sono relazioni matematiche che portino indietro i dati originari. Si ritiene che per i files e i dati non strutturati, la criptazione sia preferibile, mentre nel caso dei dati strutturati quali le basi di dati la tokenizzazione sia migliore.