E' possibile applicare il decreto sulla protezione dei dati personali (GDPR) nella UE?

L'introduzione del Regolamento Europeo per la Protezione dei Dati Personali (GDPR) impone controlli serrati sulle aziende che raccolgono, utilizzano e condividono i dati dei cittadini europei.
Le aziende - con sede nell'UE oppure altrove - affrontano nuove richieste, per le quali dovranno riconsiderare la propria strategia in ambito privacy del cliente e applicare nuovi sistemi di protezione. Infatti, è stato coniato il termine pseudonimizzazione per individuare e promuovere la protezione che può essere dedicata ai dati personali applicando misure come le tecnologie di data masking.

La pseudonimizzazione è un termine che comprende diversi approcci, come il data masking, che mira a tutelare le informazioni riservate che possono rivelare, direttamente o indirettamente, l'identità di un individuo. Il GDPR sanziona le aziende che non tutelano i dati personali e promuove l'utilizzo delle tecnologie di pseudonimizzazione, come parte delle misure di sicurezza. La sanzione per l'inadempienza può essere aspra e arrivare al 4% del fatturato globale di un'azienda, abbastanza elevata da compromettere le operazioni di qualsiasi azienda che commercializza nell'UE.
In che modo la pseudonimizzazione aiuta le aziende a rispettare il GDPR?
Il GDPR contiene una definizione legale precisa di "pseudonimizzazione" definendola come "l'elaborazione dei dati personali in modo da non poter essere attribuiti ad un soggetto specifico senza l'utilizzo di ulteriori informazioni, fino a quando queste ulteriori informazioni vengono tenute separate e sono soggette a misure tecniche e organizzative per garantire la non-attribuzione ad una persona identificata o identificabile".

Più semplicemente, il GDPR spiega che i dati pseudonimizzati vengono archiviati in un formato che non consente l'identificazione diretta di un individuo senza utilizzare ulteriori informazioni, come le tabelle di mapping archiviate separatamente.
Ad esempio, "User ABC12345" invece di "James Smith" - per identificare "James Smith" partendo da "User ABC12345" dovrebbe esserci una tabella di mapping che traccia le user ID e le collega ai nomi degli utenti. Ovunque si trovino queste informazioni sulle associazioni, queste devono essere archiviate separatamente e sottoposte a controlli che ne impediscano l'associazione a dati pseudonimizzati ai fini dell'identificazione. Il data masking e l'hashing sono alcuni esempi di tecnologie di pseudonimizzazione.
La pseudonimizzazione e la tecnologia di data masking
Data masking significa sostanzialmente sostituire i dati sensibili di un'azienda con un equivalente non sensibile, "masked", pur rispettando la qualità e la coerenza necessarie a garantire che i masked data restino comunque utilizzabili dagli analisti operativi o dagli sviluppatori di software. Nonostante aziende come Delphix abbiano fornito per un certo intervallo di tempo questa tecnologia, il GDPR, che sarà legge nel 2018, pone decisamente l'accento sulla sua importanza.

Il data masking rappresenta lo standard de facto per la pseudonimizzazione, soprattutto nei cosiddetti ambienti di dati di non produzione utilizzati per lo sviluppo di software, di testing, di formazione e di analisi. Sostituendo i dati sensibili con dati fittizi seppure realistici, le soluzioni di masking neutralizzano il rischio legato ai dati, tutelando comunque il valore dei dati per scopi di non produzione.
Le strategie alternative come la crittografia non soddisfano alcuni elementi chiave. In particolare sono sistemi soggetti a furti d'identità, minacce interne all'azienda o altri contesti in cui le parti coinvolte ottengono chiavi per risolvere la crittografia: chiunque possieda la chiave giusta per risolvere la crittografia può superare questa barriera di difesa e avere così accesso a dati sensibili. Diversamente, il data masking converte in modo irreversibile i dati sensibili, per eliminare il rischio di minacce provenienti dall'interno e dall'esterno.

Il GDPR richiede una strategia "data-first". Se il data masking offre alle organizzazioni uno strumento perfettamente all'altezza delle sfide poste dal GDPR, le aziende devono però applicarlo con una strategia che metta i dati in primo piano, con una maggiore consapevolezza sul modo in cui i dati cambiano e migrano nel tempo, e sul modo migliore per controllarli. In particolare, le aziende diventeranno più efficaci nella pseudonimizzazione attraverso il data masking, se si pongono le seguenti domande?
Dove sono i dati aziendali? Le aziende creano diverse copie dei propri ambienti di produzione per lo sviluppo dei software, test, backup e reporting. Questi ambienti sono responsabili anche del 90% di tutti i dati archiviati e spesso vengono diffusi in diversi punti di archiviazione e siti. Le aziende che seguono il percorso dei propri dati - compresi quelli sensibili, che si trovano negli ambienti di non produzione - saranno più preparate ad applicare misure proattive.

Come gestisci i dati aziendali? Sono davvero poche le aziende in cui esiste la figura del Chief Data Officer oppure del Chief Privacy Officer. Anche quelle che potrebbero non avere un livello di controllo adeguato sullo spostamento dei propri dati e sulla loro manipolazione, perché le singole business unit - ognuna delle quali ha un proprio amministratore, architetti IT e sviluppatori - spesso elaborano i processi legati ai dati a livello di progetto, seguendo poche o nessuna direttiva corporate, che a volte non sono nemmeno disponibili. Le aziende che applicano il GDPR devono attivarsi per recuperare la gestione dei dati e introdurre strumenti che aumentino la visibilità e la standardizzazione verso procedimenti come il data masking.
Come vengono veicolati i dati aziendali? Attualmente, le strategie per veicolare i dati sono prettamente manuali e coinvolgono molte risorse, con una coordinazione lenta e trasversale a molti team. Aggiungere la pseudonimizzazione a processi di veicolazione dei dati già di per sé ingombranti, non fa che appesantirli e spesso le aziende si ritrovano a rinunciare alle tecnologie come il data masking. Una delle soluzioni possibili è associare il data masking alla virtualizzazione. Questo garantisce la ripetibilità del masking, oltre a una parte integrata della veicolazione. Maggiori informazioni su questo argomento sono disponibili in questo white paper che abbiamo co-prodotto con Phil Lee riguardo al GDPR e al data masking.

Per molte aziende, il GDPR introduce l'obbligo di considerare e aggiornare il modo in cui archiviano, gestiscono e mettono in sicurezza i dati. E questa nuova normativa le accompagnerà in modo critico verso un processo di innovazione in ambito IT, con la possibilità non solo di garantire la conformità e ridurre il rischio di furti di dati, ma anche di velocizzare processi aziendali cruciali.
Mauro Trione, Vice President Sales Southern EMEA di Delphix