news

Pseudonimizzazione: un concetto oscuro per molti europei

Il nuovo Regolamento per la Protezione dei Dati Personali nell’Ue entrato in vigore a maggio prevede che le informazioni siano conservate in una forma che impedisce l’identificazione dell’utente. Uno studio di Delphix svela la confusione diffusa fra le aziende inglesi, tedesche, francesi e italiane.

La privacy è uno fra i temi caldi del dibattito tecnologico di questi anni. Eppure le aziende appaiono piuttosto disinformate a riguardo. Lo scorso maggio l’Unione Europea ha approvato il nuovo Regolamento per la Protezione dei Dati Personali (Gdpr), che dovrà essere recepito dalle legislazioni degli Stati membri entro quattro anni. Fra i suoi principi, in parte derivati dalla precedente direttiva 95/46/CE, spiccano il diritto all’oblio, l’obbligo di comunicare entro 72 ore avvenute violazioni informatiche o incidenti, l’obbligo della trasparenza (per cui le informazioni di utilità pubblica o individuale devono essere facilmente accessibili e comprensibili) e l’istituzione della figura del Responsabile della protezione dei dati.

Al centro del nuovo Regolamento c’è, inoltre, un concetto difficile da pronunciare ma essenziale nella sostanza: la pseudonimizzazione, ovvero il principio per cui le informazioni di profilazione debbano essere conservate in una forma che impedisce l’identificazione dell’utente. Due metodi tipici sono il mascheramento e l’utilizzo dei tag. Su questo concetto si è focalizzato uno studio di Delphix (la cui metodologia non è stata resa nota), eseguito in Regno Unito, Germania, Francia e Italia.

"Il Gdpr”, ha sintetizzato Mauro Trione, vice president sales Southern Emea di Delphix, “definisce la pseudonimizzazione come il processo che fa sì che i dati siano conservati in un formato che non identifichi direttamente un individuo specifico senza l'utilizzo di informazioni aggiuntive. Per rispondere alle sfide dell'era digitale e limitare il rischio di violazioni dei dati degli utenti, il Gdpr spinge le organizzazioni a pseudonimizzare i propri dati in vari punti distinti”.

Peccato, però, che non tutte le aziende siano consapevoli dei doveri e delle procedure loro richieste. Fra gli Stati considerati nello studio, la Francia è quello meglio posizionato, vantando un 38% di rispondenti  che dichiarano di avere “compreso perfettamente” il principio della pseudonimizzazione e le relative procedure implicate. Sia nel Regno Unito sia in Germania la quota di chi ritiene di avere le idee chiare scende al 21%, mentre per l’Italia non è stata realizzata una quantificazione percentuale ma Delphix ha parlato di una situazione “preoccupante” di scarsa comprensione e consapevolezza su questo principio al centro del Gdpr.

Fra coloro che dichiarano di aver compreso in parte o completamente il concetto, il 67% delle aziende europee considera il rispetto della pseudonimizzazione come un obbligo a cui adeguarsi per evitare sanzioni. Percentuali poco più basse individuano, però, anche dei vantaggi sostanziali: per il 64% degli intervistati, permetterà di rafforzare il brand e per il 57% migliorerà la raccolta e analisi dei dati.

"Il Gdpr”, ha spiegato Trione, “non solo obbligherà molte organizzazioni a garantire la conformità e ridurre il rischio di una violazione dei dati, ma contribuirà anche a generare una nuova ondata di innovazione nel campo dell'It. Man mano che le aziende analizzano il modo in cui archiviano, gestiscono e proteggono i dati nell'ambito delle richieste di conformità, emerge anche l'opportunità di riflettere su un migliore utilizzo dei dati. L'adozione di nuove tecnologie, comprese quelle che combinano la virtualizzazione dei dati con il mascheramento dei dati, permette alle organizzazioni di pseudonimizzare i dati una sola volta e garantire che vengano applicate le stesse norme sulla sicurezza alle copie successive”.

“Ciò metterà al sicuro le aziende da costose violazioni dei dati e garantirà la conformità, migliorando al tempo stesso l'agilità e il time to market”, ha concluso Trione. L’auspicio è che, anche alla luce di queste considerazioni sui vantaggi ottenibili, le aziende comincino a ripensare ai propri metodi di raccolta e conservazione dei dati, magari prima della scadenza del 2018 per il recepimento del Gdpr in tutta l’Unione Europea.