Sicurezza e compliance: mettere ordine nei dati

Un fattore da non trascurare quando si parla di tecnologia, e soprattutto oggi che il tema ricorrente riguarda i big data, è però la normativa della privacy.

Le aziende raccolgono innumerevoli dati dalla rete, ma gli utenti devono essere tutelati in quanto in questo grande storage possono finire anche i dati sensibili, i quali non possono essere manipolati se non si ha un consenso reale dal soggetto interessato.

In virtù di questo, ci ha pensato il Nuovo Regolamento Generale sulla Protezione dei Dati Personali emanato dalla UE lo scorso 14 Aprile 2016.

La prima indicazione è “mettere ordine” nei database selezionando solo i dati utili ed eliminando ogni informazione superflua; per molte aziende è già questa una sfida importante e non semplice, i cui vantaggi vanno ben oltre la pura compliance.

La digitalizzazione degli ultimi tempi ha portato notevoli vantaggi in termini di miglioramento dei processi e creazione di valore per l’azienda stessa, ma è stata questa stessa trasformazione repentina a far nascere l’esigenza di emanare delle normative che regolassero il corretto uso dei big data, e che circolassero soprattutto dati che non facessero rumore, ma che fossero utili per gli scopi precisi dell’azienda in questione. I rischi a cui si può andare incontro se la sicurezza non vige non sono di certo di poco conto.

Nicoletta Boldrini, una giornalista di Zerouno, rivista mensile italiana per l’aggiornamento delle tecnologie, ha affrontato la tematica con alcune aziende e ha sostenuto che «la salvaguardia delle informazioni all’interno delle aziende deve svilupparsi parallelamente all’evoluzione normativa nazionale, europea e di categoria, in particolare le aziende stanno preparandosi ad adempiere al Nuovo Regolamento Generale sulla Protezione dei Dati Personali(GDPR) che entrerà in vigore nei prossimi due anni.»

Dopo diverse trattative e modifiche sul testo originario, il nuovo regolamento si troverà a sostituire la Direttiva 95/46/Ce, chè è stata sino ad oggi la pietra miliare

nel quadro normativo sulla tutela della privacy. 81 Tra i nuovi adempimenti è prevista la figura obbligatoria di uno specialista, che è il Responsabile per la protezione dei dati personali (Data Protection Officer).

A lui sarà affidato il compito di monitorare sistematicamente il trattamento dei dati, avendo cura della natura del dato, degli aspetti applicativi e del tipo di elaborazione che deve essere fatta.

Tale figura è esterna all’azienda, è un soggetto nominato da soggetti apicali sia in contesti privati che pubblici. Per ragioni esplicative dell’elaborato, ci si sofferma solo su alcuni punti del regolamento che possono riguardare più da vicino le aziende private e cioè:

1. Principio di minimizzazione dei dati: il regolamento impone, diversamente da come spesso accade, che si limiti l’attività di raccolta e trattamento solo alle informazioni strettamente necessarie all’attività che l’azienda deve svolgere. Da alcune ricerche è emerso che dall’iceberg dei

dati solo il 48% affiora, il restante 52% sono dati sommersi che non

apportano alcuna informazione utile. Del 48% bisogna ulteriormente sottratte dati obsoleti e ridondanti, alla fine si stima che solo il 15% è davvero critico per l’azienda perché ci sono dati utili per il business.

2. Principio di anonimizzazione e pseudoniminizzazione: dopo aver minimizzato il patrimonio aziendale alla famosa punta dell’iceberg bisogna proteggerli. Un modo per farlo è suggerito dalla normativa che è appunto la pseudonimizzazione, definito come il processo che fa sì che i dati siano conservati in un formato che non identifichi direttamente un

individuo specifico senza l'utilizzo di informazioni aggiuntive82.

Se tale principio verrà rispettato si eviteranno sicuramente delle sanzioni inutili e la raccolta e analisi dei dati sarà più sicura.

Tale principio tutela il più possibile l’anonimato del soggetto, ma non deve essere considerata come unica possibilità. Tutte le altre tecniche di protezione devono essere adottate se necessario per rispettare e tutelare la

81 _{http://www.diritto24.ilsole24ore.com/art/dirittoCivile/2016-04-15/} 82

sicurezza dei clienti. Le aziende devono solo fare una valutazione in termini di costi e benefici, fare un’adeguata analisi e capire quale sia la soluzione migliore da implementare.

Il quadro normativo proposto indica pertanto di migliorare il tema della sicurezza e le aziende sono chiamate a rispondere a questo nuovo scenario, per le quali alle volte risulta troppo complesso da mettere in atto, ecco perché si affidano a consulenti legali che le indirizzano verso la giusta interpretazione.

3.5.1 Il data masking

Il data masking 83supporta i controlli in materia di privacy e applica controlli rigidi per l’accesso alle informazioni sensibili, private e riservate.

È una tecnica di pseudonimizzazione che consente di mascherare i dati reali ed integri con dei dati fittizi e casuali.

Le aziende, combinando il data masking con le classiche tecniche di crittografia sono in grado di offrire una copertura totale delle esigenze di sicurezza dei dati aziendali, che comprendono informazioni per l’analisi, informazioni personali dei clienti e così via. Il mascheramento elimina la vulnerabilità della sicurezza dei dati che possono subire attacchi dall’interno o dall’esterno.

Il data masking è dinamico ed è in grado di supportare ambienti eterogenei senza il bisogno di apportare modifiche alle applicazioni o ai dati; si integrano facilmente nella struttura che è stata presentata precedentemente.

Dalla figura sottostante si nota come i database dai quali vengono estratti i dati sono sottoposti a delle misure di sicurezza, e infatti per rendere la strategia di sicurezza valida è opportuno che venga inserito nell’architettura di riferimento.

83

Figura 3.4 struttura di un data masking Fonte www.informatica.com