L'approfondimento

Pseudonimizzazione, cifratura e steganogafia digitale: come proteggere i dati personali da occhi indiscreti

Tre strumenti che se correttamente implementati permettono di mettere in atto misure adeguate alla protezione di dati e contenuti, come previsto dal GDPR. Questa la natura di pseudonimizzazione, cifratura e steganogafia digitale

Pubblicato il 22 Ago 2019

Mario Renzulli

Avvocato, Privacy Officer certificato TUV Italia

Cyber security, sicurezza delle informazioni, protezione dati guida

Pseudonimizzazione, cifratura e steganogafia digitale, ovvero come proteggere i dati personali da occhi indiscreti. Con l’entrata in vigore del GDPR 679/16 (Regolamento Europeo sulla Protezione dei Dati Personali) è tornato in auge il tema della sicurezza dei dati personali e, più in generale, quello della sicurezza informatica.

La cyber security è entrata in una nuova e più dinamica dimensione; nella pratica si è passati dall’Allegato B del D.Lgs. 196/03 (Codice della Privacy) in cui le misure di sicurezza minime erano elencate in modo dettagliato, alle più generiche “misure tecniche adeguate” previste dagli artt. 25 e 32 del GDPR.

Il contesto normativo

I titolari, in applicazione del principio della “privacy by design”, non sono più tenuti ad applicare quanto analiticamente previsto da una norma, ma devono progettare la misura tecnica più adeguata a garantire la sicurezza del trattamento in base allo stato dell’arte ed alla componente economica e ciò dopo aver esaminato le tipologie di trattamenti e di dati personali ed aver analizzato le eventuali fonti di rischio per i dati e per gli interessati (DPIA). Pseudonimizzazione e cifratura sono alcune delle possibili misure espressamente previste dagli articoli 25 e 32 del GDPR ma tale riferimento esplicito non esclude l’utilizzo di altre misure tecniche, come, ad esempio, la steganografia digitale, ispirata alla stenografia grafica.

L’art. 4 del GDPR definisce la pseudonimizzazione come “il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile.” La definizione formulata dal Regolamento mette in evidenza i punti caratteristici di questa tipologia di misura:

  • l’interessato non deve poter essere identificato direttamente
  • la chiave di identificazione dell’interessato deve essere conservata separatamente dal dato
  • devono essere poste in essere misure organizzative tali da garantire la sicurezza e la accessibilità alle chiavi di identificazione.

La pseudonimizzazione non va confusa con la anonimizzazione, in quanto solo con la prima è possibile identificare il dato personale mentre con la seconda misura il dato non è più “personale”, nel senso che non è più riferibile ad un soggetto identificato o identificabile e si sottrae perciò all’applicazione del GDPR.

Come attuare la pseudonimizzazione di un dato

Esistono numerosi modi per attuare la pseudonimizzazione di un dato. La modalità più utilizzata è sicuramente la sostituzione, che consiste nel sostituire un dato personale diretto (es. nome e cognome) con un codice, un simbolo, un numero (es. A02). Si tratta certamente di una tecnica che, a meno che non sia automatizzata con l’aiuto di un software gestionale, pone qualche problema di applicabilità in caso di big data.

Particolare attenzione deve essere posta alla gestione organizzativa delle chiavi di identificabilità. È necessario, infatti, che il custode delle chiavi sia individuato e, quando soggetto diverso dal Titolare, riceva specifico incarico con istruzioni sulla custodia, modifica e cancellazione dei codici. Altra modalità di pseudonimizzazione è  attraverso la crittografia o cifratura, con la quale un dato o insieme di dati,  vengono sottoposti ad un’operazione di trasformazione da messaggio in chiaro a insieme di simboli, lettere o numeri apparentemente senza senso, a meno di utilizzare la chiave di decodifica.

Anche in questo caso si pone la necessità di progettare il sistema di cifratura in modo da rendere inaccessibile ai terzi non autorizzati le chiavi di rilevazione del dato. Esistono molteplici software, gratuiti ed a pagamento, che offrono servizio di crittografia di dati informatici al riguardo elementi fondamentali, per giudicare la sicurezza di un sistema di crittografia, sono la complessità dell’algoritmo e la robustezza della chiave.

Pseudonimizzazione e crittografia

Un esempio utile di utilizzo di questa tecnica lo ritroviamo nella cifratura dei dati presenti nelle cartelle contenenti dati personali e conservate in cloud. È noto infatti che la condivisione di dati o di informazioni su piattaforme cloud rappresenta una vera e propria attività di comunicazione dati al gestore del servizio, che  spesso è allocato in Paesi extra UE con tutto ciò che il tipo di trattamento comporta in tema di informativa, sicurezza ed accountability. In questi casi la crittografia permette soltanto ai possessori della chiave di accedere in chiaro alle informazioni contenute nella cartella (che sia essa condivisa su cloud, su server o, più in generale, in rete)  garantendo così la sicurezza e la riservatezza del dato.

Inoltre a differenza della pseudonimizzazione per sostituzione, con la quale la tecnica di oscuramento deve essere applicata singolarmente ai vari dati personali, la cifratura più essere applicata, con un’unica operazione, ad una quantità indeterminata di dati (ad esempio tutti quelli presenti un una cartella).

Steganografia digitale, che cos’è

Per quanto attiene la steganografia digitale, come già anticipato, trattasi di una misura tecnica ancora poco utilizzata e poco conosciuta, sicuramente molto utile per la comunicazione segreta e riservata di un gran numero di dati personali e di informazioni. La steganografia affonda la sue radici in un passato antichissimo, veniva utilizzata per effettuare scambio di informazioni e comunicazioni in totale sicurezza, nascondendo il testo in oggetti apparentemente privi di informazioni (mediante l’uso di inchiostro invisibile, o dell’alfabeto morse inciso su oggetti come pezzi di legno, tavolette di cera, ecc.).

Con l’avvento dell’era digitale, la steganografia è stata rielaborata ed ha ispirato la formazione di una nuova ed efficace misura per garantire la segretezza del dato: il dato  personale viene nascosto in un oggetto digitale, ossia un file, apparentemente finalizzato ad altro scopo  (si pensi ad un audio, una foto, un video) in modo che solo chi è a conoscenza del suo reale contenuto può effettuare le operazioni di decodifica e risalire al dato nascosto. In breve, l’oggetto multimediale viene utilizzato come “vettore” del reale messaggio, in modo che lo stesso possa viaggiare in totale di sicurezza da una destinazione all’altra.

Esistono in rete molti software di steganografia digitale, per effettuare una scelta ponderata sul tipo di programma da utilizzare, tuttavia, occorre tener presente che il punto debole della steganografia è l’alterazione della grandezza del file “contenitore”. Un buon prodotto deve ridurre tale alterazione al minimo per non insospettire chi potrebbe entrare in contatto con il file. Utilizzando la steganografia, un semplice scambio di foto a mezzo mail potrebbe nascondere una comunicazione sicura di interi database ma anche di programmi ed applicazioni dannose. È quanto accade per mano di hacker e cyber criminali, che nascondono virus o malware in file apparentemente innocui (foto, files pdf, video, ecc.) per colpire l’ignaro utente. Prendendo spunto dalle armi maggiormente usate dal “nemico” e conoscendo l’applicazione pratica della steganografia è dunque possibile difendersi da tali attacchi.

Conclusione

La breve analisi delle misure tecniche oggi più adoperate, pseudonimizzazione, crittografia e steganografia, evidenzia un cambio di rotta del Legislatore del GDPR, dovuto alla definitiva presa d’atto della oggettiva impossibilità di creare una norma “statica” che possa battere la velocità con la quale il mondo digitale si modifica e sposta i propri limiti.

L’invito (obbligo) rivolto ad ogni Titolare è quello di stare al passo con i tempi e progettare un sistema di protezione dei dati personali, collaudato e verificato, che sia dinamico e pronto ad adattarsi al mutamento naturale dell’universo digitale, per garantire sempre la medesima sicurezza  ed riservatezza dei dati personali trattati.

Infografica - Sicurezza dei dati in azienda la vulnerabilita da proteggere

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Speciale PNRR

Tutti
Incentivi
Salute digitale
Formazione
Analisi
Sostenibilità
PA
Sostemibilità
Sicurezza
Digital Economy
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articoli correlati