Richiesta di pseudonimizzazione e o cifratura dei dati: prescrizioni a carico dei dipendenti dell’Azienda/Ente, nominati in qualità di SATD e di SAT.

Per dato personale si intende qualsiasi informazione riguardante una persona fisica identificata o identificabile (l’interessato); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale (articolo 4, punto 1), del Regolamento UE 2016/679, di seguito, “GDPR”).

Per pseudonimizzazione si intende il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile (articolo 4, punto5), del GDPR).

La pseudonimizzazione svolge un ruolo importante nel GDPR come misura di sicurezza (articolo 32 del GDPR), così come nell’ambito della protezione dei dati (articolo 25 del GDPR). Il vantaggio più evidente legato alla pseudonimizzazione consiste nell’occultare l’identità degli interessati a terzi (diversi da chi effettua la pseudonimizzazione) nell’ambito di una specifica operazione di trattamento dei dati. La pseudonimizzazione, tuttavia, non si limita a occultare la reale identità, ma concorre all’obiettivo di proteggere i dati anche grazie alla non associabilità, ossia riducendo il rischio che i dati relativi alla privacy vengano collegati tra differenti domini di trattamento dei dati.  

Inoltre, la pseudonimizzazione (essendo una tecnica di minimizzazione dei dati) può contribuire al principio della minimizzazione dei dati ai sensi del GDPR, come nel caso in cui il titolare del trattamento non debba avere accesso all’identità reale degli interessati, ma solo ai loro pseudonimi. Infine, un altro importante vantaggio connesso alla pseudonimizzazione, da non sottovalutare, è costituito dall’accuratezza dei dati.

Nell’ambito di ciascuna operazione di trattamento dei dati personali, il Soggetto Autorizzato al Trattamento dei dati Personali con Delega (SATD) dovrà fare in modo che i dati personali, trasmessi a soggetti terzi (altri enti/aziende) rispettino i seguenti principi:

1.           adozione di misure tecniche e organizzative adeguate, in linea con il rispetto dei principi di liceità, correttezza e trasparenza;
2.          raccolti per finalità determinate, esplicite e legittime, ed, eventualmente, successivamente trattati in modo che non siano incompatibili con tali finalità (principio di limitazione della finalità); 
3.           adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati (principio di minimizzazione dei dati);
4.           esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati (principio di esattezza);
5.          conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati (principio di limitazione della conservazione);
6. trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione dalla distruzione o dal danno accidentali (principio di integrità e riservatezza).

Tecniche di Pseudonimizzazione e Migliori Pratiche – ENISA[1]

Introduzione La pseudonimizzazione è un processo di de-identificazione che ha guadagnato attenzione con l’adozione del GDPR, dove è considerata sia un meccanismo di sicurezza che di protezione dei dati. Questo rapporto esplora le nozioni di base della pseudonimizzazione e le soluzioni tecniche per la sua implementazione pratica.

Scenari di Pseudonimizzazione Il documento descrive vari scenari di pseudonimizzazione, come l’uso interno, il coinvolgimento di un processore, l’invio di dati pseudonimizzati a un processore, e il ruolo di terze parti o del soggetto dei dati come entità di pseudonimizzazione.

Modello di Avversario Vengono analizzati i modelli di avversario, distinguendo tra avversari interni ed esterni, e i loro obiettivi, come il recupero del segreto di pseudonimizzazione, la re-identificazione completa e la discriminazione. Vengono descritte le principali tecniche di attacco, come l’attacco a forza bruta, la ricerca nel dizionario e il guesswork.

Tecniche di Pseudonimizzazione Le tecniche principali includono l’uso di contatori, generatori di numeri casuali, funzioni hash crittografiche, codici di autenticazione dei messaggi (MAC) e crittografia. Vengono discusse anche le politiche di pseudonimizzazione, come la pseudonimizzazione deterministica, document-randomized e fully-randomized.

Pseudonimizzazione degli Indirizzi IP e degli Indirizzi Email Il documento analizza casi d’uso specifici per la pseudonimizzazione degli indirizzi IP e degli indirizzi email, evidenziando le particolarità e le sfide di questi identificatori.

Conclusioni e Raccomandazioni Il rapporto conclude che non esiste una soluzione unica per la pseudonimizzazione che funzioni in tutti gli scenari. È necessaria una competenza elevata per applicare un processo di pseudonimizzazione robusto, riducendo al minimo il rischio di attacchi di discriminazione o re-identificazione, mantenendo al contempo il livello di utilità necessario per il trattamento dei dati pseudonimizzati. Viene raccomandato un approccio basato sul rischio per la scelta della tecnica di pseudonimizzazione appropriata.

Preso atto che una tecnica di pseudonimizzazione ha lo scopo di sostituire un dato identificativo (es. nomi, codice fiscale, ecc.) con un valore surrogato che spesso è chiamato token, (per quanto di interesse in questa sede, il token è una sequenza di informazioni digitali, registrate in un registro e rappresentative di una persona fisica), il quale deve essere irreversibile senza informazione aggiuntiva e distinguibile dal valore originale; a tale scopo si può ricorrere, ad esempio, ad un codice (in possesso esclusivo di un soggetto autorizzato al trattamento dei dati: SATD o SAT) attraverso cui potere risalire alle generalità del paziente (cd reidentificazione).

A titolo esemplificativo si riportano due esempi di pseudonimizzazione applicati ad altrettanti indirizzi email[2]

La cifratura dei dati

Altra misura che è obbligatorio adottare in fase di trasmissione dei dati personali particolari (art, 9 GDPR, ad es. i dati sanitari) o giudiziari (art. 10 GDPR) consiste nel ricorso alla tecnica della cifratura dei dati; per l’adozione di tale misura di sicurezza ci si può avvalere del supporto della UOC Sistemi Informativi.

In alternativa al MAC[3], la crittografia, applicata soprattutto in modo deterministico, ovvero utilizzando una chiave segreta per produrre uno pseudonimo per ogni indirizzo e-mail (crittografia simmetrica). La distribuzione è più pratica in questo caso, poiché non è necessario prevedere una tabella di mappatura della pseudonimizzazione: il recupero è direttamente possibile attraverso il processo di decrittazione. Si noti che, sebbene alcuni algoritmi crittografici asimmetrici (a chiave pubblica) possano essere implementati in modo deterministico, essi non sono raccomandati per la pseudonimizzazione di indirizzi di posta elettronica (o per altri tipi di dati). Ad esempio, supponiamo che l’entità di pseudonimizzazione debba generare, per ciascun indirizzo di posta elettronica, diversi pseudonimi per diversi utenti/destinatari – interni o esterni (nel presupposto che ciascun destinatario possa re-identificare il proprio propri dati ma non i dati pseudonimizzati di altri destinatari).

Una possibilità per raggiungere questo obiettivo sarebbe crittografare le e-mail con la chiave pubblica di ciascun destinatario, consentendo così solo al destinatario specifico di eseguire la decrittografia. Tuttavia, supponendo che le chiavi pubbliche sono in linea di principio disponibili a chiunque, qualsiasi avversario può organizzare un attacco a dizionario basato su indirizzi di posta elettronica noti (o indovinati). 

La natura della crittografia per impostazione predefinita non consente l’utilità dei dati pseudonimizzati. Crittografare separatamente le parti di un indirizzo e-mail può essere sufficiente per alleviare questo problema, analogamente ai codici di autenticazione dei messaggi , in cui il MAC può essere sostituito da un algoritmo di crittografia.  In genere, per consentire agli pseudonimi di trasportare alcune informazioni utili, si possono utilizzare specifiche tecniche crittografiche; di seguito viene fornito un esempio illustrativo con la crittografia che preserva il formato.

L’adozione di entrambe le misure di sicurezza sopra richiamate (pseudonimizzazione e cifratura dei dati personali) evita, o riduce fortemente, il rischio di violare i diritti e le libertà dei soggetti interessati (in questo caso ci si riferisce ai pazienti per i quali vengono richiesti gli esami), in quanto, ad es., in caso di trasmissione della richiesta di esame/referto, ecc, ad un soggetto diverso da quello interessato (cioè il paziente a cui la documentazione si riferisce), tendenzialmente non si determina un caso di violazione dei dati personali (data breach).

La mancata adozione delle misure tecniche e organizzative consistenti nella pseudonimizzazione e nella cifratura dei dati personali espone il Titolare del trattamento, in caso di violazione dei dati, ad una sanzione amministrativa pecuniaria fino a 10 milioni di euro, (art. 83, paragrafo 4, lettera a) del GDPR).

[1] Informazioni su ENISA L’Agenzia dell’Unione Europea per la Cybersecurity (ENISA) lavora dal 2004 per rendere l’Europa sicura nel cyberspazio. Collabora con l’UE, gli stati membri, il settore privato e i cittadini europei per sviluppare consigli e raccomandazioni sulle buone pratiche in materia di sicurezza delle informazioni. Dal 2019, ENISA si occupa anche di schemi di certificazione della cybersecurity. Link: chrome-extension://efaidnbmnnnibpcajpcglclefindmkaj/https://www.enisa.europa.eu/sites/default/files/publications/Guidelines%20on%20shaping%20technology%20according%20to%20GDPR%20provisions.pdf  

[2] Come mostrato nella Tabella, anche se le email sono pseudonimizzate, è comunque possibile conoscere il dominio e, quindi, condurre analisi rilevanti (ad esempio numero di utenti di posta elettronica provenienti dallo stesso dominio). Come discusso in precedenza nel documento, il contatore potrebbe essere più debole in termini di protezione in quanto consente previsioni a causa della sua natura sequenziale (ad esempio nei casi in cui gli indirizzi e-mail provengono dallo stesso dominio, l’uso del contatore può rivelare informazioni riguardanti la sequenza dei diversi utenti di posta elettronica nel database).

[3] In crittografia un message authentication code (MAC) è un piccolo blocco di dati utilizzato per garantire l’autenticazione e integrità di un messaggio digitale, generato secondo un meccanismo di crittografia simmetrica: un algoritmo MAC accetta in ingresso una chiave segreta e un messaggio da autenticare di lunghezza arbitraria, e restituisce un MAC (alle volte chiamato anche tag). In ricezione il destinatario opererà in maniera identica sul messaggio pervenuto in chiaro ricalcolando il MAC con lo stesso algoritmo e la stessa chiave: se i due MAC coincidono si ha autenticazione e integrità del messaggio inviato.

Il valore MAC protegge dunque sia l’integrità dei dati del messaggio sia la sua autenticità permettendo al destinatario dello stesso (che deve anch’egli possedere la chiave segreta) di rilevare qualsiasi modifica al messaggio: ecco perché dovrebbe essere chiamato Message Authentication and Integrity Code, MAIC.(cfr. Wikipedia)