Lo scorso 3 dicembre l’European Union Agency for Cybersecurity (l’ENISA, precedentemente denominata European Union Agency For Network and Information Security) ha pubblicato un importante documento sulla pseudonimizzazione dal titolo “Pseudonymisation techniques and best practices” in cui vengono proposti alcuni possibili scenari di attacco a cui sono esposti i nostri dati e le migliori tecniche di difesa oggi in circolazione.
L’esplicito riferimento al GDPR lo rende un prezioso aiuto per i titolari del trattamento dati ma, soprattutto, per i soggetti che devono offrire soluzioni di mercato.
Ricordiamo, infatti, che la pseudonimizzazione è uno dei meccanismi di sicurezza che il Reg. UE 2016/679 (GDPR) ha messo nero su bianco per aiutare i titolari e i responsabili del trattamento a proteggere i dati personali. All’articolo 4, la definisce come “il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile”.
In realtà, di pseudonimizzazione già parlava il Working Party 29 nella “Opinion on Anonymisation Techniques” (adottata il 10 aprile 2014) definendola come “la tecnica di sostituzione, in un record, di un attributo (tipicamente un attributo univoco) con un altro” e precisando, tuttavia, che, con tale procedimento, i dati personali non sono anonimizzati poiché “la persona fisica può continuare ad essere identificata, sebbene indirettamente”.
Oggi la pseudonimizzazione costituisce una misura che dovrebbe essere largamente utilizzata dai titolari e dai responsabili facendo, tuttavia, molta attenzione ai riflessi che può avere sul trattamento dei dati personali.
Il documento dell’ENISA, nella parte iniziale, presenta:
- i possibili scenari di pseudonimizzazione rispetto ai ruoli che titolare (controller), responsabile del trattamento (processor) o terze parti (tipicamente contitolari) possono assumere nell’applicare questa misura;
- le tipologie di attaccanti rispetto alla possibilità di riuscire a scoprire il segreto S che renderebbe collegabili i dati a specifiche persone fisiche cioè di risalire dai DF ai DV e, quindi, riferire a soggetti precisi il resto dei dati presenti nel dataset.
Queste sezioni sono propedeutiche a motivare una delle conclusioni a cui giunge l’ENISA: la pseudonimizzazione deve seguire un’attenta valutazione del rischio. Questo perché la pseudonimizzazione costa sia in fase di progettazione sia in fase di implementazione.
Infatti, la parte più interessante del documento è nella presentazione di policy e tecniche di pseudonimizzazione: le prime sono quelle che definiscono l’approccio complessivo alla pseudonimizzazione mentre le seconde consentono di trasformare il singolo dato vero nel singolo dato falso.
La definizione di policy e tecniche diventa, quindi, un passaggio fondamentale per l’applicazione della data protection by design e hanno un impatto notevole sulla complessità del sistema finale e, naturalmente, sui costi di implementazione e sulle performance di esercizio.
Inoltre, come sottolinea l’ENISA, nell’effettuare le valutazioni bisogna tener conto che la facilità di impiego (di policy e tecniche) si contrappone, spesso, all’efficacia protettiva dei dati personali: più una tecnica (o una policy) è facile da progettare e implementare meno i dati risultano protetti.