Il nuovo GDPR è entrato finalmente in vigore, ma sono ancora diversi i dubbi di professionisti ed imprese sulle nuove modalità di trattamento dei dati personali. Tra questi, i più diffusi sono senza dubbio quelli su crittografia e preudonomizzazione, le due modalità di protezione dei dati più efficaci indicate nel GDPR.

Crittografia e pseudonomizzazione hanno l’obiettivo di oscurare i dati per renderli illeggibili da coloro che non hanno la chiave per accedervi. La crittografia è basata su un algoritmo che oscura i dati e su una “passphrase” che apre o chiude la visualizzazione.

La pseudonomizzazione, invece, fa in modo che i dati acquisiti o trattati non siano riconducibili ad una persona fisica identificata o identificabile.

La cifratura dei dati contenuti negli archivi e la pseudonomizzazione delle informazioni sono senza dubbio tecniche molto utili ed efficaci per proteggere i dati, soprattutto quelli sensibili. In caso di un furto di dati, o di una fuga di informazioni, infatti, grazie alle crittografia e alla pseudonomizzazione, tali dati saranno visibili ma del tutto incomprensibili.

Vediamo nel dettaglio queste due tecniche per la protezione delle informazioni e come possono essere utilizzati negli studi professionali di commercialisti, avvocati e consulenti del lavoro.

Prova gratis iContenzioso

Cos’è e come funziona la cifratura dei dati

Come anticipato, la crittografia si basa su un algoritmo di cifratura abbinato ad una passphrase, ossia una password lunga e complessa che permette di leggere i dati. In tal modo le informazioni sono protette con un sistema praticamente impenetrabile e al contempo si garantisce trasparenza ai propri clienti.

Nel GDPR, quando si parla di cifratura, si fa riferimento ai dati contenuti in grandi server, a sistemi che gestiscono credenziali (come quelli bancari) o che trattano dati sensibili come quelli sanitari. Più in generale, si fa riferimento a tutti quegli archivi che contengono dati personali. L’obiettivo del nuovo Regolamento è quello di oscurare dati che troppo spesso, nell’era di internet, sono visualizzabili in modo esplicito, in modo di garantire maggiore sicurezza agli utenti.

Pseudonomizzazione: come funziona?

Nel GDPR si parla di pseudonomizzazione definendola come una modalità di trattamento dei dati personali, svolta in modo tale che tali dati non possano essere attribuiti ad una persona specifica senza essere in possesso di ulteriori informazioni. Queste ultime devono essere conservate separatamente e attraverso l’utilizzo di sistemi che impediscano di attribuirle a persone fisiche identificate o identificabili.

La pseudonomizzazione utilizza quindi codici e pseudonimi e può essere completamente automatizzata, cioè inserita nel processo di trattamento dei dati in modo che possa essere applicata anche da utenti senza particolari conoscenze tecniche. Questo approccio è sposato anche dal GDPR, che parla di sistemi configurati fin dalla nascita, o successivamente con istruzioni ad hoc, per essere ambienti rispettosi della privacy.

Prova gratis iContenzioso

Cosa fare negli studi professionali?

Come anticipato, il GDPR indica la crittografia e la psudonomizzazione come le due tecniche più efficaci per offrire agli utenti una reale protezione delle informazioni. Questo comporta, per chi tratta dati personali, una serie di adempimenti. Il primo consiste nel verificare se i dati trattati siano cifrati o meno e attraverso quali tecniche. Ovviamente si tratta di un adempimento che il titolare delle studio deve effettuare con il supporto di un reparto IT o comunque di specialisti del settore. In caso i dati trattati non siano crittografati, è obbligatorio, specie per i dati più sensibili (ad esempio, nel caso di dati bancari di un cliente), adottare un sistema cifrato prima di procedere al trattamento.

Il secondo adempimento da compiere negli studi professionali è quello di regolamentare, con una policy dedicata, la gestione dei sistemi di crittografia e pseudonomizzazione. Ad esempio, è bene indicare in modo chiaro chi ha la responsabilità delle chiavi di cifratura, oppure introdurre l’obbligo, per tutti i dipendenti dello studio, di utilizzare device già cifrati. Questa ultima accortezza è fondamentale se vogliamo che la crittografia sia uno strumento realmente sicuro: anche il miglior sistema di protezione dei dati, infatti, può essere inficiato da comportamenti scorretti degli utenti che lo utilizzano.