Il GDPR richiede la crittografia?

Purtroppo, molto spesso, le aziende rinunciano alla crittografia in quanto pensano sia un procedimento troppo complicato. In realtà come ogni tecnologia, all’inizio necessita di un po’ di apprendimento, ma se fatta bene i dipendenti non dovrebbero nemmeno accorgersi della sua presenza, e per una ottimale protezione dei dati è sicuramente necessaria. Oggi ogni cittadino europeo è protetto dal GDPR, per il quale la crittografia rappresenta il modo migliore per dimostrare la conformità e mantenere le informazioni al sicuro. Cosa dobbiamo fare però per una crittografia ottimale per il GDPR?

Cosa richiede il 
 GDPR 
 
per la crittografia?
  • L’articolo 32, “Sicurezza del trattamento”, cita la crittografia come esempio di “misure tecniche e organizzative appropriate per garantire un livello di sicurezza adeguato al rischio”; 
  • il comma 82, con lo stesso titolo, menziona la crittografia come mezzo di mitigazione del rischio; 
  • L’articolo 6, “Legittimità del trattamento”, chiede di accertare “l’esistenza di garanzie adeguate, che possono comprendere la crittografia o la pseudonimizzazione”.

Con la pseudonimizzazione, gli identificatori personali vengono sostituiti con ID interni. Invece di vedere, quindi,  un nome o un ID governativo, i ladri di dati vedranno solo che il record appartiene al cliente “49524601”. Qualsiasi informazione di identificazione personale, come indirizzi e numeri di telefono, lo stesso trattamento. Farlo nel modo giusto però è complicato e proprio per questo ci si dovrebbe affidare alla crittografia, essendo l’unica forma di protezione affidabile. Si, il GDPR non richiede la crittografia è vero ma non è un caso se anche le autorità di vigilanza nazionali dell’UE (nonché i giudici di conformità al GDPR) sostengono che è l’unico modo per dimostrare la conformità allo stesso. 

Come usare 
la crittografia?

Per beneficiare di una crittografia ottimale, ci si deve per prima cosa domandare: 

  • Di cosa ho bisogno per crittografare?
  • Dove vengono archiviati i miei dati? 

Per quanto riguarda il secondo punto, devi in primis assicurarti di non trascurare alcun dato vulnerabile; se esistono più copie di dati sensibili, assicurati di non lascarne nessuna vulnerabile, soprattutto se possiedi un dispositivo portatile. L’obiettivo del GDPR sono infatti i dati personali dei cittadini dell’Unione Europea, come il nome, l’indirizzo, la localizzazione, i fascicoli sanitari e il profilo culturale: tutti dati da proteggere solo se possono essere ricondotti ad una persona fisica. Le informazioni anonime, infatti, possono essere liberamente divulgate o lasciate con protezione minima, facendo molta attenzione in quanto molti dati anonimi possono essere utilizzati per costruire identità vere e proprie. 

Categorie 
di crittografia

Quando parliamo di crittografia, parliamo di due tipi di categorie: 

  • Crittografia a riposo:  la forma più ampia di crittografia dell’intero disco o dell’intera unità. E’ essenziale per qualsiasi dispositivo che potrebbe uscire fuori da un’area sicura; se un laptop o un telefono non crittografato viene rubato, il ladro può entrare in possesso di tutto ciò che contiene.
  • Crittografia in transito:  Quando si inviano informazioni su internet, non sappiamo quale percorso prenderanno. I dati potrebbero passare attraverso server compromessi ed essere rubati. Per proteggerli quindi, è necessario crittografarli ogni volta che si va online, ad esempio con una VPN. La forma più utilizzata di crittografia in transito è la Transport Layer Security (TLS), nota precedentemente come SSL. Ogni volta che si utilizza un collegamento del browser che inizia con “https“, utilizzi una crittografia TLS, usata anche per connessioni “dietro le quinte”, incluse le API che collegano i server. La maggior parte del traffico Web odierno passa attraverso SSL che non solo protegge i dati dall’intercettazione, ma anche dall’alterazione umana.

Riassumendo, il GDPR, dunque, non richiede necessariamente una crittografia, ma essa costituisce il modo migliore per proteggere i propri dati dagli utenti, rispettando i requisiti del regolamento. 

Per proteggere i tuoi dati: 

  • Usa una crittografia dell’intero disco, in particolare con dispositivi mobili; 
  • Usa una crittografia dei file, per evitare problemi in caso di furto del dispositivo; 
  • Usa una crittografia end-to-end per le app di messaggistica; 
  • Fidati dei siti Web solo se utilizzano TLS. 

Compila il form per richiedere informazioni su Jetico

Condividi
Tweet
LinkedIn
Torna in cima