Ogni giorno le organizzazioni raccolgono ed elaborano enormi quantitativi di informazioni, di qualsiasi tipologia, formato ed appartenenti a persone sia fisiche che giuridiche. Con l’entrata in vigore del GDPR, ossia il Regolamento generale sulla protezione dei dati, queste aziende devono prestare particolare attenzione all’elaborazione dei dati personali appartenenti a persone fisiche residenti nell’UE.
Sebbene il Regolamento non fornisca una lista esaustiva di informazioni considerate dati personali (leggi il post “GDPR: Cosa si intende per dati personali?” per maggiori informazioni), è prassi comune considerare i seguenti come dati personali:
- Informazioni biografiche – data di nascita, numero di previdenza sociale, numero di telefono, etc.
- Aspetto fisico e comportamento – colore degli occhi, peso, altezza e tratti caratteriali.
- Dati relativi al posto di lavoro e istruzione – stipendio, ruolo, informazioni fiscali, numero di matricola studentesca.
- Dati privati e soggettivi – credo, opinione politica, affiliazione sindacale, etc.
- Dati relativi alla salute, malattia e genetica – congedi di malattia, anamnesi.
Se non si è sicuri che le informazioni raccolte e archiviate siano o meno dati personali, è meglio trattarle come se lo fossero. Ciò significa assicurarsi che i dati (personali o non) siano al sicuro, riducendo la quantità di quelli archiviati e raccogliendo solo quelli strettamente necessari per completare le attività di elaborazione e trattamento fino a quando si è raggiunto il proprio scopo.
Pseudonimizzazione e cifratura, cosa sono?
I dati personali raccolti dovrebbero essere pseudonimizzati e/o crittografati. La pseudonimizzazione maschera i dati sostituendo le informazioni identificative con identificatori artificiali. Sebbene sia fondamentale per proteggere i dati (il Regolamento la menziona 15 volte) e possa aiutare a proteggere la privacy e la sicurezza dei dati personali, la pseudonimizzazione ha i suoi limiti, motivo per cui il GDPR menziona anche la crittografia.
La crittografia o cifratura oscura anche le informazioni sostituendo gli identificatori con qualcos’altro. Ma mentre la pseudonimizzazione consente a chiunque abbia accesso ai dati di visualizzare parte del set di dati, la crittografia consente solo agli utenti autorizzati di accedere all’intero set di dati.
Pseudonimizzazione e crittografia possono essere usate contemporaneamente o separatamente.
Gestire al meglio i dati personali
Per ulteriori informazioni sulla pseudonimizzazione e crittografia e sulle altre attività da eseguire per conformarsi al GDPR, scarica il libro verde gratuito Regolamento Generale sulla Protezione dei Dati (GDPR) – Guida alla conformità. Ti fornirà un piano di azione in 8 punti per raggiungere la piena conformità al Regolamento.
Scaricalo ora, è gratis!
