GDPR e trasferimenti dei dati

Come si può immaginare, quando le aziende trasferiscono i dati in un certo modo compromettono inevitabilmente la propria sicurezza, poiché durante il trasferimento questi dati possono essere persi, rubati o hackerati.

Ad oggi non esistono metodi sicuri che ci proteggano al 100% da furti o hackers, ed è per questo che governi ed enti preposti elaborano nuovi regolamenti per tentare di arginare il fenomeno.

In Europa, la risposta ai sempre più invasivi attacchi online è stato il nuovo GDPR, che entrerà in vigore a maggio 2018. L’RGPD non solo aumenterà le misure di protezione che le aziende dovranno adottare contro tali fenomeni, ma assicurerà anche nuovi diritti ai cittadini europei riguardo alla salvaguardia e alla gestione dei propri dati personali.

Trasferimenti dei dati

Il trasferimento di dati è un atto che avviene ogni giorno miliardi di volte ed è un fenomeno che se bloccato genererebbe il blocco di interi settori della società causando danni incalcolabili alle nostre economie.

Esso quindi non si può bloccare ed anzi l’RGPD afferma che gli individui hanno il diritto alla portabilità dei dati e riconosce l’importanza dei dispositivi rimovibili nell’uso quotidiano (a tal proposito vedasi invece l’approccio più restrittivo del governo americano sull’uso delle classiche “chiavette USB”).

In particolare, il nuovo regolamento europeo stabilisce che il trasferimento di dati si può effettuare nei seguenti casi:

  • Quando i dati personali sono stati forniti al responsabile del trattamento dei dati
  • Qualora il trattamento si basi sul consenso dell’individuo o per l’esecuzione di un contratto
  • Quando il trattamento viene effettuato tramite mezzi automatizzati.

Infine, secondo il GDPR: “Tutti i dati personali devono essere trasferiti in un formato elettronico e strutturato che sia di uso comune e che consenta di farne ulteriore uso.

Pseudonimizzazione e Crittografia dei dati

L’RGPD consiglia alle aziende di crittografare e pseudonimizzare tutti i dati personali.

Queste due procedure sono distinte e permettono di aumentare sensibilmente la protezione dei dati, infatti secondo l’indice di violazione dei dati (“Breach Level”) di Gemalto infatti, solo il 4% delle violazioni dei dati dal 2013 ha coinvolto dati crittografati.

  • Cos’è la pseudonimizzazione: La pseudonimizzazione maschera i dati sostituendo le informazioni con degli identificatori artificiali, impedendo il riconoscimento degli utenti (“mascheramento” dei dati).La pseudonimizzazione è un buon metodo di protezione ma ha i suoi limiti poiché consente a chiunque abbia accesso ai dati di visualizzare una parte delle informazioni degli utenti; per questo motivo la GDPR menziona anche la crittografia.
  • Cos’è la crittografia: La crittografia ha un grado superiore di sicurezza poiché “offusca” le informazioni e le rende incomprensibili. La crittografia inoltre consente solo agli utenti approvati di accedere ai dati completi degli utenti.

La pseudonimizzazione e la crittografia possono essere utilizzati simultaneamente o separatamente.

Uso crittografia

Né la crittografia né la pseudonimizzazione richiedono conoscenze tecniche da implementare: la difficoltà per le organizzazioni è di mettere in atto politiche e procedure adeguate di sicurezza e rendere il personale consapevole dei loro obblighi.

 

Per avere una visione completa delle nuove norme, ti consigliamo la lettura della nostra: UE-RGDP: Guida tascabile

Leave a Reply

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.