Cos’è la cifratura dei dati e quando si applica? Sul nostro blog andiamo a fondo a questo principio del GDPR che molti, con grande rischio, sottovalutano.
Cos’è la cifratura dei dati? Partiamo dalla voce ufficiale, l’articolo 32 del GDPR che recita così:
“Tenendo conto dello stato dell’arte e dei costi di attivazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso:
- La pseudonimizzazione e la cifratura dei dati personali
- La capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento
- La capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico e tecnico;
- Una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento”.
Ne consegue che la cifratura dei dati è la criptazione dei dati personali raccolti al fine di renderli incomprensibili e garantire la privacy degli utenti. Non si tratta però solo di questo.
Pur trattandosi di un’imposizione del GDPR, la cifratura dei dati va considerata anche come misura da implementare per rafforzare il principio di accountability.
Il significato di accountability (traducibile dall’inglese in rendicontare, essere in grado di dare conto) riguarda, appunto, l’obbligo di resocontare quanto si è fatto in merito al trattamento dei dati personali raccolti.
Da una parte, implica le modalità con cui ci si è comportati per essere compliant (ndr. conformi) al regolamento, dall’altra la capacità di aver pianificato quanto necessario per scongiurare il rischio di compromissione dei dati.
Noi, siamo soliti spiegare questo principio della cifratura dei dati dicendo ai nostri clienti: non puoi più dire “non lo sapevo”. Anche perché c’è da considerare che nel caso di violazione di dati personali opportunamente cifrati (distruzione, perdita, divulgazione e/o accesso illecito ad essi) non c’è obbligo di notifica al Garante Privacy dell’eventuale data breach. E questo è un vantaggio da non sottovalutare.
Allora dove e come cifrare i dati? Una volta un cliente ci ha chiesto un preventivo per cifrare tutto, non è stato fatto perché, come vedremo a breve, non ha senso.
GDPR E CIFRATURA DATI: QUANDO SI APPLICA E CHE SERVIZI RICHIEDERE
Come visto sopra, la cifratura dei dati non è una scelta. Al di là delle imposizioni legislative del GDPR, questa garantisce sicurezza e aumenta l’improbabilità che un, eventuale data breach, comporti un rischio irreparabile aziendale. Ma ha sempre senso farla?
Come gruppo MEET IT, offriamo servizi di cifratura dei dati e vogliamo dare alcuni consigli per le aziende che si approcciano a questa imprescindibile realtà.
Quando richiedere un data encryption? Ecco alcuni suggerimenti razionali:
- Ogni volta che si hanno dati sensibili o giudiziari;
- Ogni volta che si hanno dati importanti per la propria azienda/organizzazione;
- Ogni volta che si hanno dati critici (ad esempio i redditi dei dipendenti o dei cittadini);
- Ogni volta che si hanno dati in cloud.
I budget per acquistare prodotti di cifratura completi sono, normalmente, elevatissimi. Quindi, il nostro suggerimento è sempre quello di ricorrere all’acquisto di un servizio, come quello illustrato nel disegno che segue:
Secondo quanto visto, potrebbe sembrare che la cifratura dati sia appannaggio degli enti pubblici, spesso i più propensi a spendere soldi per sfuggire a eventuali responsabilità.
Invece, il primo cliente che si è rivolto a noi per l’acquisto è stata una grossa società per azioni di 6.500 dipendenti, i cui auditor, per la quotazione in borsa, hanno imposto agli amministratori la cifratura del data base del personale.
Con questo breve racconto, si vuole quindi dire che la criptazione dei dati non deve essere vista come una scelta di budget, legata solo a determinate realtà, ma come un’opportunità e una responsabilità i cui benefici sono certi e calcolabili solo nel tempo.
Amministratore Unico di 3CiME Technology