Consulenza e Formazione Sicurezza, Medicina Del Lavoro, Sistemi Di Gestione, Qualità, Privacy, Ambiente e Modelli Organizzativi

La pseudonimizzazione secondo le Linee Guida ENISA

La pseudonimizzazione è uno dei principali strumenti di protezione dei dati personali indicati dal GDPR. All’art. 4 essa è, infatti, definita come quella tecnica tramite la quale i dati personali non possono più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive (tali informazioni aggiuntive devono essere conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile).

Data l’importanza che la pseudonimizzazione riveste come misura di sicurezza del dato personale l’ENISA (European Union Agency for Cybersecurity) ha recentemente emanato delle Linee Guida sulle migliori tecniche e best practices della pseudonimizzazione.

Le Linee Guida individuano gli attori (Titolari del trattamento, Responsabili del trattamento e terze parti) che possono essere coinvolti nel processo, i diversi modelli di attacco a dati pseudonimizzati e i vari tipi di pseudonimizzazione.

La relazione ha un approccio pratico, presentando in apertura sei diversi scenari di pseudonimizzazione:

  1. Pseudonimizzaizone per uso interno: si presenta nel momento in cui i dati vengono raccolti direttamente dai relativi interessati e pseudonimizzati dal titolare del trattamento, per la successiva elaborazione interna.
  2. Responsabile del trattamento coinvolto nel processo di pseudonimizzazione.
  3. Invio di dati pseudonimizzati ad un responsabile esterno
  4. Il procedimento di pseudonimizzazione viene affidato ad un Responsabile esterno.
  5. Il procedimento di pseudonimizzazione viene affidato ad una terza parte.
  6. Pseudonimi creati dagli interessati.

All’interno di questi scenari la Relazione descrive due tipologie di attacco: interno ed esterno. L’attacco interno viene da chi opera presso il Titolare del trattamento ed è quindi in possesso delle chiavi di lettura dei dati pseudonimizzati (tipicamente un dipendente del Titolare); quello esterno viene da soggetti che non hanno la chiave di pseudonimizzazione ma che potrebbero avere accesso ad un set di dati pseudonimizzati.

A prescindere dalla tipologia di attacco, lo scopo di esso potrebbe essere: l’identificazione della chiave di pseudonimizzazione per avere accesso all’intero set di dati; la reidentificazione completa di tutti gli pseudonimi; la discriminazione, che porta alla conoscenza di almeno una proprietà del titolare di uno pseudonimo e quindi, tramite questa, a differenziarlo rispetto ad altri.

L’ENISA si sofferma, poi, sulla descrizione dei tipi di attacco, individuandone tre: attacco a forza bruta (ricerca esaustiva), una ricerca in un dizionario o un attacco ad inferenze.

Nell’attacco a forza bruta l’attaccante deve conoscere la funzione di pseudonimizzazione e tentare di recuperare l’identificativo originale applicando la funzione di pseudonimizzazione su ciascun valore del dominio dell’identificativo (il dominio deve, però essere limitato nell’estensione).

L’attacco tramite ricerca su dizionario ottimizza i costi dell’attacco a forza bruta. Esso calcola preliminarmente un (enorme) insieme di pseudonimi e salva il risultato in un dizionario. Ogni voce nel dizionario contiene uno pseudonimo associato all’identificativo, quindi ogni volta l’attaccante deve reidentificare uno pseudonimo, andrà a ricercarlo nel dizionario.

L’attacco per inferenze si basa su alcune conoscenze generali di cui l’attaccante può disporre relativamente ad alcuni (o tutti) i titolari di pseudonimo, alla funzione di pseudonimizzazione o al set di dati.

In base al livello di protezione dei dati e alla funzionalità del set di dati che si vuole raggiungere è possibile adottare diverse tecniche e strategie che dovrebbero garantire la tutela dei dati. Si va dalla più semplice, il contatore (in cui gli identificativi sono sostituiti da un numero scelto da un contatore monotono), a tecniche più complesse quali la crittografia o il codice di identificazione del messaggio. Le tecniche e le strategie di pseudonimizzazione devono essere scelte dall’attore – Titolare, Responsabile o Terzo – in base sia alla dimensione del data set che contiene dati personali sia al flusso di dati identificativi ed ancora in base al numero di dataset interessati, alla necessità e frequenza di reidentificazione.

Alla fine della sua Relazione l’ENISA valuta il risultato raggiunto: non esiste una soluzione di pseudonimizzazione valida per tutte le realtà. È necessario che le tecniche utilizzate riducano, da un lato, i rischi di reidentificazione e, dall’altro, garantiscano la funzionalità nell’uso dei dati. L’ENISA conclude che per valutare la migliore tecnica di pseudonimizzazione è necessaria una valutazione basata sul rischio che parta dallo stato dell’arte dello specifico settore.