Da quando il GDPR ha raccomandato queste misure di sicurezza dei dati, questi concetti precedentemente oscuri sono diventati temi caldi di discussione tra gli imprenditori. Nel caso in cui non sei ancora sicuro di quale sia la differenza tra i due, ecco alcune definizioni:
Pseudonimizzazione – una procedura di gestione dei dati mediante la quale i campi di informazioni personali identificabili all’interno di un record di dati del consumatore vengono sostituiti da uno o più identificatori artificiali, o pseudonimi, che possono essere richiamati in un secondo momento
Anonimizzazione: il processo di crittografia o rimozione di informazioni personali identificabili dai set di dati in modo che le persone che i dati descrivono rimangano in modo permanente anonime.
- Differenza fondamentale tra pseudonimizzazione e anonimizzazione
- Il GDPR e il Data Masking
- Articolo 5-Elaborazione dati
- Articolo 25-Protezione dei dati in base alla progettazione
- Considerando GDPR 26
- Articolo 32-Sicurezza del trattamento
- Articolo 34-Informare gli interessati di una violazione dei dati
- Vantaggi del Data Masking
- Quale tecnica di mascheramento dei dati è migliore?
Differenza fondamentale tra pseudonimizzazione e anonimizzazione
Entrambi i metodi comportano il mascheramento dei dati personali rimuovendo o crittografando i dati che consentono di collegare le informazioni a un individuo, come nome, indirizzo o numero di carta di credito.
Tuttavia, la differenza tra i due è che la pseudonimizzazione può essere invertita. Utilizzando informazioni detenute separatamente, come una chiave di crittografia, è possibile recuperare le informazioni identificabili quando necessario per collegare i dati a un individuo.
Il nostro generatore di Privacy Policy rende facile creare una politica sulla privacy per il tuo sito web. Basta seguire questi passaggi:
- Fare clic sul pulsante “Privacy Policy Generator”.
- Al passo 1, selezionare l’opzione Sito Web e fare clic su “Passo successivo”:
- Rispondere alle domande sul tuo sito web e fare clic su “Next step” al termine:
- Rispondi alle domande sulle tue pratiche commerciali e fai clic su “Passo successivo” al termine:
-
Inserisci il tuo indirizzo e-mail in cui desideri che la tua politica venga inviata, seleziona versioni di traduzione e fai clic su “Genera.”
Sarete in grado di accedere immediatamente e scaricare la vostra nuova Politica sulla privacy.
Una volta che i dati sono stati resi anonimi, tuttavia, non possono mai essere collegati a un individuo. L’anonimizzazione è permanente.
Il GDPR e il Data Masking
Il GDPR fa numerose e specifiche menzioni di data masking.
Ecco alcuni esempi:
Articolo 5-Elaborazione dati
All’articolo 5, il GDPR stabilisce che i dati personali dovrebbero essere conservati solo per il tempo necessario a fornire un servizio. Successivamente, può essere conservato se i dati non consentono più l’identificazione delle persone.
Articolo 25-Protezione dei dati in base alla progettazione
Nell’articolo 25, il GDPR descrive l’obbligo delle imprese di adottare tutte le misure ragionevoli per proteggere i dati dei consumatori, per impostazione predefinita e per progettazione. Menziona specificamente la pseudonimizzazione come un modo per raggiungere questo obiettivo.
Considerando GDPR 26
Nel considerando 26, il GDPR specifica che alcune misure di protezione dei dati non si applicano alle informazioni anonime che non possono più identificare una persona fisica.
Articolo 32-Sicurezza del trattamento
La sicurezza è un punto chiave del GDPR. L’articolo 32 menziona specificamente la pseudonimizzazione come misura appropriata di sicurezza per proteggere la privacy dei consumatori.
Articolo 34-Informare gli interessati di una violazione dei dati
Ai sensi dell’articolo 34, una società deve informare gli utenti di una violazione dei dati ad alto rischio che li riguarda a meno che le misure di protezione organizzativa non abbiano reso le informazioni inintelligibili o non identificabili, ad esempio tramite pseudonimizzazione o anonimizzazione.
Vantaggi del Data Masking
Il data masking non è assolutamente richiesto dal GDPR. Tuttavia, è altamente raccomandato. In effetti, il regolamento offre incentivi per l’attuazione di tecniche di mascheramento dei dati.
Ecco come:
- Soddisfare i requisiti di sicurezza: utilizzando tecniche come la pseudonimizzazione e l’anonimizzazione, si rispetterà il requisito che le aziende implementino tutte le misure possibili per proteggere i dati dei consumatori. Se accade che la tua azienda venga mai indagata per qualsiasi motivo, il mascheramento dei dati fornirà un’ulteriore salvaguardia se i tuoi protocolli di sicurezza dei dati vengono messi in discussione.
- Comunicazione di violazioni dei dati: se i tuoi dati sono stati resi anonimi, non ti sarà richiesto di informare gli utenti (anonimizzati) di una violazione dei dati che influisce sulle loro informazioni. Questo perché non ci sarà alcun modo in cui i dati violati possono essere collegati all’individuo.
- Rispetto dei diritti dell’utente: Una volta che i dati sono stati resi anonimi in modo permanente, non ci si aspetta più di rispettare i diritti e le richieste dell’utente, come il diritto del consumatore di essere cancellato o il diritto di richiedere una copia completa dei dati dell’utente.
- Spostamento delle informazioni personali attraverso i confini internazionali: sebbene non sia chiaro quale livello di pseudonimizzazione sia necessario per trasferire i dati oltre i confini internazionali senza seguire una montagna di politiche e burocrazia, il mascheramento dei dati potrebbe ridurre il numero di cerchi che si deve passare per trasferire i dati in un altro paese.
Ecco un grafico di un white paper di Privacy Analytics sull’argomento:
Quale tecnica di mascheramento dei dati è migliore?
Quando si tratta della questione della pseudonimizzazione rispetto all’anonimizzazione, l’azienda deve considerare le sue applicazioni e l’utilizzo dei dati personali.
Ecco alcune situazioni in cui potresti voler usare l’anonimizzazione invece della pseudonimizzazione:
- Se non hai più bisogno di comunicare o lavorare con un consumatore, ma desideri archiviare la sua attività, la cronologia degli ordini o altri dettagli che non possono essere utilizzati per identificarli.
- Per eseguire analisi di dati estranei ai servizi forniti dall’utente al consumatore.
- Se è necessario rendere disponibili i dati a un gruppo di persone esterne a quelle designate per soddisfare i propri servizi, ad esempio un ampio gruppo di dipendenti o consulenti.
D’altra parte, la pseudonimizzazione dei dati può essere utilizzata quando sarà necessario ri-identificare gli utenti in futuro:
- Per mantenere i dati al sicuro durante l’adempimento dei servizi, mascherando i dettagli identificativi ai dipendenti o ad altri gestori di dati che non hanno bisogno di tali dettagli.
- Per mantenere la protezione dei dati all’interno del database o dei record, delle cronologie degli ordini e dei clienti inattivi con cui si rimane in contatto.
- Per trasferire dati oltre i confini internazionali.
- Mantenere la protezione dei dati e la privacy secondo i principi di progettazione stabiliti dal GDPR.
Nel complesso, entrambi questi metodi presentano vantaggi ai sensi del GDPR, ma potrebbero non essere fattibili per determinati set di dati o applicazioni. Fai la tua ricerca su tutte le implicazioni prima di eseguire qualsiasi misura di mascheramento dei dati.