L’encryption dei dati

14.01.2019

E' una procedura necessaria per il GDPR ?

Sono in molti a chiedersi se è necessario o meno criptare i dati e gli archivi informatici soggetti alla privacy; NON c'è obbligatorietà ma va considerata come misura da implementare per rafforzare l'accountability e potrebbe essere una misura di default in funzione di logiche analizzate dalla valutazione dei rischi.
Infatti nel caso di violazioni di dati personali, che hanno subito preventivamente un processo di criptazione, non c'è l'obbligo di notifica dell'eventuale data breach al Garante.Cifratura dei dati e pseudonimizzazione sono strumenti differenti tra loro, ma con un medesimo fine: oscurare il dato per renderlo incomprensibile a coloro che non hanno i codici per accedervi.
La crittografia si basa, di solito, su un algoritmo di cifratura e su una passphrase che "apre" e "chiude" i dati.
La pseudonimizzazione garantisce i dati personali, facendo in modo che gli stessi non siano attribuibili ad una persona fisica identificata o identificabile.
Entrambe sono comunemente considerate dal GDPR alcune delle tecniche più efficaci per garantire una reale protezione delle informazioni.

Nonostante il sistema di misure di sicurezza contenuto nel GDPR non preveda più un elenco tassativo e specifico di misure minime come nel Codice Privacy precedente, in diversi passaggi si indicano la cifratura dei dati e degli archivi e la pseudonimizzazione delle informazioni come tecniche ideali per aumentare la protezione dei dati, soprattutto di quelli sensibili.

Si pensi al caso di un furto di dati da un server, o allo smarrimento di un computer portatile o di uno smartphone: il soggetto che ha rubato i dati, o ha trovato il portatile, non sarà in grado di comprendere i dati stessi, dal momento che algoritmi e tecnologie li avranno resi non intelligibili.

Nel Considerando n. 83 si indica proprio la cifratura delle informazioni quale sistema per mantenere la sicurezza e prevenire trattamenti in violazione al Regolamento. Il titolare del trattamento, o il responsabile del trattamento, hanno infatti il compito di ridurre i rischi inerenti al trattamento e attuare misure per limitare tali rischi, e tra tali misure è indicata specificamente la cifratura.

Non è un caso che sia la pseudonimizzazione, sia la cifratura siano messi come primi due elementi nell'articolo del Regolamento che "suggerisce" alcune misure di sicurezza adeguate alla società dell'informazione (l'Articolo 32 che tratta, appunto, della "sicurezza del trattamento"): sono comunemente considerate come due tra le tecniche più efficaci per garantire una reale protezione delle informazioni.

Il primo adempimento consiste nella verifica se i dati di una realtà che è presa in considerazione (ad esempio: il database di una assicurazione, l'archivio di un ospedale, i dati di una banca) siano cifrati o meno, e con quali tecniche. In questo caso il titolare si deve chiaramente confrontare con il reparto IT per avere delucidazioni se la crittografia sia presente o meno.

In caso di risposta negativa, è obbligatorio, soprattutto in caso di trattamento di dati particolarmente delicati, migrare verso un sistema cifrato, anche se è comunque consigliabile per qualsiasi tipo di dato.

In secondo luogo, crittografia e pseudonimizzazione, se presenti, richiedono comunque un minimo di regole ("policy") per una corretta gestione del sistema. Si pensi, ad esempio, all'indicazione chiara di chi detenga le chiavi di cifratura, oppure all'obbligatorietà, per tutti i dipendenti, di ricevere smartphone, chiavette USB e portatili già cifrati, e così via.

Fonte web: IPSOA