Pseudonimizzazione, cifratura e steganogafia digitale, ovvero come proteggere i dati personali da occhi indiscreti. Con l’entrata in vigore del GDPR 679/16 (Regolamento Europeo sulla Protezione dei Dati Personali) è tornato in auge il tema della sicurezza dei dati personali e, più in generale, quello della sicurezza informatica.
La cyber security è entrata in una nuova e più dinamica dimensione; nella pratica si è passati dall’Allegato B del D.Lgs. 196/03 (Codice della Privacy) in cui le misure di sicurezza minime erano elencate in modo dettagliato, alle più generiche “misure tecniche adeguate” previste dagli artt. 25 e 32 del GDPR.
Indice degli argomenti
Il contesto normativo
I titolari, in applicazione del principio della “privacy by design”, non sono più tenuti ad applicare quanto analiticamente previsto da una norma, ma devono progettare la misura tecnica più adeguata a garantire la sicurezza del trattamento in base allo stato dell’arte ed alla componente economica e ciò dopo aver esaminato le tipologie di trattamenti e di dati personali ed aver analizzato le eventuali fonti di rischio per i dati e per gli interessati (DPIA). Pseudonimizzazione e cifratura sono alcune delle possibili misure espressamente previste dagli articoli 25 e 32 del GDPR ma tale riferimento esplicito non esclude l’utilizzo di altre misure tecniche, come, ad esempio, la steganografia digitale, ispirata alla stenografia grafica.
L’art. 4 del GDPR definisce la pseudonimizzazione come “il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile.” La definizione formulata dal Regolamento mette in evidenza i punti caratteristici di questa tipologia di misura:
- l’interessato non deve poter essere identificato direttamente
- la chiave di identificazione dell’interessato deve essere conservata separatamente dal dato
- devono essere poste in essere misure organizzative tali da garantire la sicurezza e la accessibilità alle chiavi di identificazione.
La pseudonimizzazione non va confusa con la anonimizzazione, in quanto solo con la prima è possibile identificare il dato personale mentre con la seconda misura il dato non è più “personale”, nel senso che non è più riferibile ad un soggetto identificato o identificabile e si sottrae perciò all’applicazione del GDPR.
Come attuare la pseudonimizzazione di un dato
Esistono numerosi modi per attuare la pseudonimizzazione di un dato. La modalità più utilizzata è sicuramente la sostituzione, che consiste nel sostituire un dato personale diretto (es. nome e cognome) con un codice, un simbolo, un numero (es. A02). Si tratta certamente di una tecnica che, a meno che non sia automatizzata con l’aiuto di un software gestionale, pone qualche problema di applicabilità in caso di big data.
Particolare attenzione deve essere posta alla gestione organizzativa delle chiavi di identificabilità. È necessario, infatti, che il custode delle chiavi sia individuato e, quando soggetto diverso dal Titolare, riceva specifico incarico con istruzioni sulla custodia, modifica e cancellazione dei codici. Altra modalità di pseudonimizzazione è attraverso la crittografia o cifratura, con la quale un dato o insieme di dati, vengono sottoposti ad un’operazione di trasformazione da messaggio in chiaro a insieme di simboli, lettere o numeri apparentemente senza senso, a meno di utilizzare la chiave di decodifica.
Anche in questo caso si pone la necessità di progettare il sistema di cifratura in modo da rendere inaccessibile ai terzi non autorizzati le chiavi di rilevazione del dato. Esistono molteplici software, gratuiti ed a pagamento, che offrono servizio di crittografia di dati informatici al riguardo elementi fondamentali, per giudicare la sicurezza di un sistema di crittografia, sono la complessità dell’algoritmo e la robustezza della chiave.
Pseudonimizzazione e crittografia
Un esempio utile di utilizzo di questa tecnica lo ritroviamo nella cifratura dei dati presenti nelle cartelle contenenti dati personali e conservate in cloud. È noto infatti che la condivisione di dati o di informazioni su piattaforme cloud rappresenta una vera e propria attività di comunicazione dati al gestore del servizio, che spesso è allocato in Paesi extra UE con tutto ciò che il tipo di trattamento comporta in tema di informativa, sicurezza ed accountability. In questi casi la crittografia permette soltanto ai possessori della chiave di accedere in chiaro alle informazioni contenute nella cartella (che sia essa condivisa su cloud, su server o, più in generale, in rete) garantendo così la sicurezza e la riservatezza del dato.
Inoltre a differenza della pseudonimizzazione per sostituzione, con la quale la tecnica di oscuramento deve essere applicata singolarmente ai vari dati personali, la cifratura più essere applicata, con un’unica operazione, ad una quantità indeterminata di dati (ad esempio tutti quelli presenti un una cartella).
Steganografia digitale, che cos’è
Per quanto attiene la steganografia digitale, come già anticipato, trattasi di una misura tecnica ancora poco utilizzata e poco conosciuta, sicuramente molto utile per la comunicazione segreta e riservata di un gran numero di dati personali e di informazioni. La steganografia affonda la sue radici in un passato antichissimo, veniva utilizzata per effettuare scambio di informazioni e comunicazioni in totale sicurezza, nascondendo il testo in oggetti apparentemente privi di informazioni (mediante l’uso di inchiostro invisibile, o dell’alfabeto morse inciso su oggetti come pezzi di legno, tavolette di cera, ecc.).
Con l’avvento dell’era digitale, la steganografia è stata rielaborata ed ha ispirato la formazione di una nuova ed efficace misura per garantire la segretezza del dato: il dato personale viene nascosto in un oggetto digitale, ossia un file, apparentemente finalizzato ad altro scopo (si pensi ad un audio, una foto, un video) in modo che solo chi è a conoscenza del suo reale contenuto può effettuare le operazioni di decodifica e risalire al dato nascosto. In breve, l’oggetto multimediale viene utilizzato come “vettore” del reale messaggio, in modo che lo stesso possa viaggiare in totale di sicurezza da una destinazione all’altra.
Esistono in rete molti software di steganografia digitale, per effettuare una scelta ponderata sul tipo di programma da utilizzare, tuttavia, occorre tener presente che il punto debole della steganografia è l’alterazione della grandezza del file “contenitore”. Un buon prodotto deve ridurre tale alterazione al minimo per non insospettire chi potrebbe entrare in contatto con il file. Utilizzando la steganografia, un semplice scambio di foto a mezzo mail potrebbe nascondere una comunicazione sicura di interi database ma anche di programmi ed applicazioni dannose. È quanto accade per mano di hacker e cyber criminali, che nascondono virus o malware in file apparentemente innocui (foto, files pdf, video, ecc.) per colpire l’ignaro utente. Prendendo spunto dalle armi maggiormente usate dal “nemico” e conoscendo l’applicazione pratica della steganografia è dunque possibile difendersi da tali attacchi.
Conclusione
La breve analisi delle misure tecniche oggi più adoperate, pseudonimizzazione, crittografia e steganografia, evidenzia un cambio di rotta del Legislatore del GDPR, dovuto alla definitiva presa d’atto della oggettiva impossibilità di creare una norma “statica” che possa battere la velocità con la quale il mondo digitale si modifica e sposta i propri limiti.
L’invito (obbligo) rivolto ad ogni Titolare è quello di stare al passo con i tempi e progettare un sistema di protezione dei dati personali, collaudato e verificato, che sia dinamico e pronto ad adattarsi al mutamento naturale dell’universo digitale, per garantire sempre la medesima sicurezza ed riservatezza dei dati personali trattati.
