GDPR (S01 E12): Crittografia e pseudonimizzazione
Oscurare i dati per avere sicurezza
Nonostante il sistema di misure di sicurezza contenuto nel GDPR non preveda più un elenco tassativo, e specifico, di misure minime come nel Codice Privacy precedente, in diversi passaggi si indicano la cifratura dei dati e degli archivi e la pseudonimizzazione delle informazioni come tecniche ideali per aumentare la protezione dei dati, soprattutto di quelli sensibili.
L’idea è quella che un’eventuale fuga di questi dati faccia sì che le informazioni reperibili siano visibili ma assolutamente incomprensibili o destrutturate, ossia separate da altre informazioni che sarebbero in grado di dar loro un senso.
Si pensi al caso di un furto di dati da un server, o allo smarrimento di un computer portatile o di uno smartphone: il soggetto che ha rubato i dati, o ha trovato il portatile, non sarà in grado di comprendere i dati stessi, dal momento che algoritmi e tecnologie li avranno resi non intelligibili.
Cifratura dei dati e pseudonimizzazione sono strumenti differenti tra loro che mirano, però, allo stesso fine: oscurare il dato affinché sia incomprensibile a tutti coloro che non hanno i codici corretti per accedervi.
La crittografia si basa, di solito, su un algoritmo di cifratura e su una passphrase (una password, ma più lunga e complessa) che “apre” e “chiude” i dati (di solito al momento dell’autenticazione). Si tratta di una procedura che è trasparente per l’utente ma che protegge l’informazione con modalità che sono, nella maggior parte dei casi, insuperabili.
Il GDPR ha in mente la cifratura dei grandi server, dei sistemi che gestiscono credenziali, di quelli che trattano dati sensibili (si pensi al settore sanitario), di quei computer che processano una grande mole d’informazioni per profilare i consumatori e, in generale, di tutti quegli achivi che contengono dati personali.
L’idea del Legislatore europeo è di far sì che ben presto, nella società dell’informazione, tutti i dati da “in chiaro” diventino “offuscati”. Ciò comporterebbe un innalzamento della sicurezza non solo dei sistemi ma anche degli utenti comuni.
Nel Considerando n. 83 si indica proprio la cifratura delle informazioni quale sistema per mantenere la sicurezza e prevenire trattamenti in violazione al Regolamento. Il titolare del trattamento, o il responsabile del trattamento, hanno infatti il compito di ridurre i rischi inerenti al trattamento e attuare misure per limitare tali rischi, e tra tali misure è indicata specificamente la cifratura.
La pseudonimizzazione è descritta, nel Regolamento, come il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive.
La condizione essenziale è, però, che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che i dati personali non siano attribuiti a una persona fisica identificata o identificabile.
Anche questa tecnica, che opera attraverso l’uso di codici e pseudonimi, diventa particolarmente interessante quando viene completamente automatizzata, ossia inserita nel processo (e nel software) stesso di trattamento dei dati di modo che non sollevi complicazioni inutili, nell’utilizzo, per l’utente comune.
Nel testo del Regolamento, l’idea di pseudonimizzazione viene infatti spesso affiancata alle nozioni di “privacy by design” e di “privacy by default”, ossia al fatto che sia il sistema stesso, sin dalla nascita o con istruzioni ad hoc, a essere configurato sin dall’inizio come un ambiente rispettoso della privacy degli utenti.
Non è un caso che sia la pseudonimizzazione, sia la cifratura siano messi come primi due elementi nell’articolo del Regolamento che “suggerisce” alcune misure di sicurezza adeguate alla società dell’informazione (l’Articolo 32 che tratta, appunto, della “sicurezza del trattamento”): sono comunemente considerate come due tra le tecniche più efficaci per garantire una reale protezione delle informazioni.
In un’ottica di adempimenti, queste tecniche indicate esplicitamente nel GDPR comportano una serie di passaggi obbligati.
Il primo adempimento consiste nella verifica se i dati di una realtà che è presa in considerazione (ad esempio: il database di una assicurazione, l’archivio di un ospedale, i dati di una banca) siano cifrati o meno, e con quali tecniche. In questo caso il titolare si deve chiaramente confrontare con il reparto IT per avere delucidazioni se la crittografia sia presente o meno. In caso di risposta negativa, è obbligatorio, soprattutto in caso di trattamento di dati particolarmente delicati, migrare verso un sistema cifrato, anche se è comunque consigliabile per qualsiasi tipo di dato.
In secondo luogo, crittografia e pseudonimizzazione, se presenti, richiedono comunque un minimo di regole (“policy”) per una corretta gestione del sistema. Si pensi, ad esempio, all’indicazione chiara di chi detenga le chiavi di cifratura, oppure all’obbligatorietà, per tutti i dipendenti, di ricevere smartphone, chiavette USB e portatili già cifrati, e così via. La crittografia è, infatti, uno strumento estremamente sicuro, soprattutto in caso di data breach, se però, al contempo, anche i comportamenti degli utenti sono corretti. Altrimenti anche il migliore strumento di sicurezza esistente rischia di crollare inesorabilmente.