Quale controllo della norma ISO 27002 permette di “Limitare l'esposizione di dati sensibili, compresi i dati personali, e rispettare i requisiti legali, i requisiti cogenti e contrattuali”?
Si parla di data masking (8.11), ossia il mascheramento dei dati; utile (anzi imprescindibile) per tutte quelle Organizzazioni dove la protezione dei dati (anche personali) è un nervo scoperto.
In cosa consiste?
Potremmo dire che consiste nell’interrompere il collegamento tra i dati personali e l'identità o altre informazioni dell’interessato.
Le tecniche che lo rendono possibile sono la pseudonimizzazione e l’anonimizzazione (più qualcun'altra, citata dal controllo 8.11, tra cui la #crittografia); con queste tecniche si nascondono, mascherandoli, i dati personali, l’identità degli interessati o altre informazioni critiche.
Ma c’è una rilevante differenza tra le due: l’ IR-REVERSIBILITÀ.
Nel caso dell’anonimizzazione l’alterazione dell’identità e dei dati è irreversibile: una volta applicata è impossibile risalire a chi quelle informazioni si riferiscono.
Con la pseudonimizzazione invece le informazioni di identificazione vengono sostituite con un alias. La re-identificazione in questo caso è possibile se i due set di dati (identità e informazioni aggiuntive), che dovrebbero essere mantenuti separati, vengono “riuniti”.
Ne consegue che la pseudonimizzazione riduce il rischio di identificazione diretta, ma non elimina la possibilità di re-identificazione se le informazioni aggiuntive sono accessibili. Da ciò discendono almeno due precauzioni, da elevarsi al rango di policy di sicurezza:
- Mantenere i set di dati separati, ossia residenti almeno su server diversi
- Concedere diritti di accesso limitati ai due set di dati.
Visto che sembra più sicuro, perché non si preferisce anonimizzare piuttosto che pseudonimizzare i dati?
Perché a volte, per scopi specifici, è necessario conservare la possibilità di re-identificare l’interessato (scopi che vanno rintracciati in definitiva nel rispetto dei requisiti legali, cogenti e/o contrattuali, richiamati in apertura).
Bonus: Sulla pseudonimizzazione, a gennaio di quest’anno, l’EDPB ha emesso degli #orientamenti (qui www.edpb.europa.eu/our-work-tools/documents/public-consultations/2025/guidelines-012025-pseudonymisation_it).
Particolarmente interessanti due chiarimenti:
- essendo la pseudonimizzazione una tecnica che consente di ricollegare i dati alla persona cui si riferiscono, di fatto quei dati continuano a configurarsi come dati personali (e dunque a essere oggetto delle tutele del GDPR)
- la pseudonimizzazione può ridurre i rischi e facilitare l'utilizzo della base giuridica del legittimo interesse e può, analogamente, contribuire a garantire la compatibilità con la finalità originaria (art6, par4 GDPR).