Pubblicato il report ENISA in materia di tecniche di pseudonimizzazione e best practices

Il 3 dicembre 2019, la European Union Agency for Cybersecurity (“ENISA”) ha pubblicato un nuovo report in materia di pseudonimizzazione dei dati personali, illustrando altresì le principali soluzioni tecniche ad oggi disponibili.

Come noto, il Regolamento (UE) n. 2016/679 (General Data Protection Regulation – “GDPR”) definisce la pseudonimizzazione come quel particolare trattamento di dati personali che permette di non attribuirli più ad uno specifico interessato, salvo che non sussistano particolari condizioni, una su tutte, l’utilizzo di informazioni aggiuntive.

Il GDPR prevede, inter alia, il ricorso alla pseudonimizzazione in occasione della determinazione, da parte del titolare del trattamento (“Titolare”), delle misure tecniche ed organizzative adeguate a garantire che il trattamento sia effettuato con modalità conformi alla normativa sulla protezione dei dati personali.

Alla luce dei dubbi applicativi riscontrati, con il report in commento, l’ENISA ha inteso fornire delle linee guida ulteriori in materia di pseudonimizzazione (ricordiamo, infatti, che ENISA ha già pubblicato una overview sull’argomento nel novembre 2018).

L’ENISA ipotizza alcuni case scenarios di attacco informatico (ad esempio: brute force attack) nei confronti di dati pseudonimizzati mediante alcune particolari tecniche (ad esempio: generatori di numeri pseudocasuali, utilizzo di funzioni crittografiche di hash, MAC o message authentication code). Vengono altresì presi in considerazione tre diversi gradi di pseudonimizzazione: deterministic, document-randomized e fully randomized pseudonymisation).

Alla luce dei casi ipotizzati, l’agenzia ha concluso che non esiste un’unica tecnica di pseudonimizzazione che possa essere applicata ad ogni tipo di trattamento di dati personali.

Spetterà a ciascun Titolare, in base al proprio caso concreto, individuare il processo di pseudonimizzazione più adeguato, che permetta di ridurre il rischio di re-identificazione degli interessati. Al contempo, la misura scelta dovrà consentire al Titolare stesso di non pregiudicarsi i possibili benefici derivanti dal trattamento dei dati che siano stati pseudonimizzati.

A questo scopo, l’ENISA indica le seguenti raccomandazioni: (i) ai Titolari, di adottare un approccio basato sul rischio, alla luce delle finalità e delle modalità di trattamento; (ii) alle competenti Istituzioni Europee ed alle autorità di controllo nazionali, di sostenere la condivisione di informazioni sullo stato dell’arte in materia di pseudonimizzazione, mediante l’elaborazione di linee guida; e (iii) alla comunità scientifica, di promuovere l’avanzamento dello stato dell’arte in materia e l’innalzamento del livello di sicurezza reso dalle tecniche di pseudonimizzazione.

Il documento, in lingua inglese, è consultabile al seguente link.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *