GDPR: le aziende europee sono pronte per la pseudonimizzazione?
Da una recente ricerca condotta da Delphix in Gran Bretagna, Germania, Francia e Italia emerge come la maggior parte delle aziende europee non sia a conoscenza dell’imminente introduzione da parte dell’UE del Regolamento per la Protezione dei Dati Personali (GDPR).
“Il GDPR definisce la pseudonimizzazione come il processo che fa sì che i dati siano conservati in un formato che non identifichi direttamente un individuo specifico senza l’utilizzo di informazioni aggiuntive“ ha spiegato Mauro Trione, Vice President Sales Southern EMEA di Delphix. “Per rispondere alle sfide dell’era digitale e limitare il rischio di violazioni dei dati degli utenti, il GDPR spinge le organizzazioni a pseudonimizzare i propri dati in vari punti distinti“.
i dati pseudonimizzati non sono esenti dall’applicazione del GDPR, ma certamente le regole che si applicano sono molto più rilassate e permissive di quelle che riguardano i dati direttamente riconducibili a una persona.
La pseudonimizzazione è diversa dall’anonimizzazione, perché è un processo che è reversibile, purché questo sia possibile attraverso informazioni aggiuntive memorizzate separatamente dai dati pseudonimizzati.
Per esempio, per pseudonimizzare i dati del cliente Mario Rossi, si può procedere in questo modo:
- Si attribuisce alla scheda di Mario Rossi un codice identificativo univoco;
- Si crea una tabella separata in cui quel codice è abbinato a tutte le informazioni che possono condurre all’identificazione alla persona, come nome, email, numero di telefono, codice fiscale eccetera;
- Si eliminano dalla scheda dei dati pseudonimizzati i dati identificativi visti nel punto precedente, lasciando solo il codice identificativo come mezzo per ricollegare le due tabelle.
Leggi anche: GDPR: cos’è e cosa devono fare le aziende
Se la Francia è il Paese europeo che dimostra di comprendere meglio la pseudonimizzazione nel GDPR, con però solo il 38% delle aziende francesi che sostengono di aver capito pienamente i requisiti di pseudonimizzazione, la percentuale negli altri Paesi è ancora più bassa (attorno al 20%) e questo vale anche per l’Italia, dove le aziende hanno bisogno di verificare le proprie politiche di protezione dei dati e garantire che i dati personali siano adeguatamente protetti.
Fra coloro che dichiarano di aver compreso in parte o completamente il concetto, il 67% delle aziende europee considera il rispetto della pseudonimizzazione come un obbligo a cui adeguarsi per evitare sanzioni. Percentuali poco più basse individuano, però, anche dei vantaggi sostanziali: per il 64% degli intervistati, permetterà di rafforzare il brand e per il 57% migliorerà la raccolta e analisi dei dati.
la pseudonimizzazione ridurrà anche la quantità di tempo e denaro investita in iniziative di protezione dei dati
Man mano che le aziende adottano la pseudonimizzazione per proteggere i dati, si presenteranno infatti anche nuove opportunità per migliorare la disponibilità di dati sicuri che possono essere utilizzati per accelerare le iniziative di IT e supportare l’innovazione. Come conseguenza, si ritiene che i vantaggi più grandi della pseudonimizzazione consentiranno di velocizzare i processi IT e aziendali che dipendono dall’accesso a dati sicuri e di ridurre i rischi per il brand delle organizzazioni in caso di violazione dei dati. Inoltre la pseudonimizzazione ridurrà la quantità di tempo e denaro investita in iniziative di protezione dei dati.
“Il GDPR non solo obbligherà molte organizzazioni a garantire la conformità e ridurre il rischio di una violazione dei dati, ma contribuirà anche a generare una nuova ondata di innovazione nel campo dell’IT. L’adozione di nuove tecnologie, comprese quelle che combinano la virtualizzazione dei dati con il mascheramento dei dati, permette alle organizzazioni di pseudonimizzare i dati una sola volta e garantire che vengano applicate le stesse norme sulla sicurezza alle copie successive. Ciò metterà al sicuro le aziende da costose violazioni dei dati e garantirà la conformità, migliorando al tempo stesso l’agilità e il time to market” conclude Trione.
Il sondaggio ha infine rivelato che la responsabilità della protezione dei dati sarà saldamente affidata alla dirigenza, sebbene alcune organizzazioni abbiano incaricato un chief data officer o un chief privacy officer. Le differenze relative a chi detiene la responsabilità dei dati sottolineano l’esigenza per le organizzazioni che devono conformarsi al GDPR di adottare le procedure appropriate e riprendere il controllo della governance dei dati, mediante l’introduzione nei processi di strumenti che favoriscono specificamente la standardizzazione e la privacy.