Le tecniche di data masking sono in grado di garantire la conformità al GDPR?
Il processo di data masking è una tecnica che consiste nel nascondere i dati originali (generalmente di natura sensibile o, secondo la definizione del GDPR, “particolari”) con dati fittizi.
Questo risultato si ottiene attraverso:
- l’offuscamento dei dati in generale;
- l’anonimizzazione;
- la pseudonomizzazione.
Tra le misure previste dal GDPR per garantire un livello di sicurezza adeguato al rischio vi è proprio la pseudonimizzazione dei dati, cioè la conservazione di informazioni di profilazione dell’interessato in modo tale da impedirne l’identificazione.
Il processo di offuscamento dei dati rappresenta, quindi, una risposta adeguata alle esigenze di riservatezza e di compliance derivanti dal GDPR e, a seconda della tipologia di processo che si decide di adottare, può comportare:
- la sostituzione dei dati originali con dati simili;
- la sostituzione dei dati originali con dati casuali;
- il rimescolamento dei dati fra loro.
Qualunque procedimento si utilizzi, è comunque fondamentale che siano rispettati determinati vincoli e relazioni tra i dati, perché solo in questo modo i dati restano utilizzabili, significativi e utili: infatti, attraverso questi processi si ottengono dei dati non correlabili all’identità di una persona ma, nel medesimo tempo, queste informazioni conservano la stessa validità e fruibilità delle informazioni originarie.
Le tecniche di data masking utilizzano, infatti, un software automatizzato che anonimizza i dati reali e permette di poter consultare, ad esempio, un’anagrafica clienti o fornitori fittizia (o un elenco fatture, un elenco di carte di credito, dei codici fiscali, delle email o degli indirizzi) che in ogni caso, conserva la coerenza dei diversi campi di quella reale da cui è tratta: in questo modo, chi deve usare un elenco di nomi per svolgere, ad esempio, operazioni di test, lo fa su di un campione affidabile, ma senza esporre a rischio i dati reali degli interessati.
Infatti, se anche per mera ipotesi l’elenco dei dati mascherati venisse perso, corrotto, sottratto, copiato o diffuso, il rischio per gli interessati (ad anche per l’azienda) sarebbe nullo perchè i dati non potrebbero in alcun modo ricondurre ad alcuna reale persona fisica.
Le tecniche di data masking si rivelano, quindi, uno strumento molto utile per rendere accessibili a terzi esclusivamente dati non riservati o particolari, garantendo tanto i diritti degli interessati, quanto la tutela del business aziendale dato che il processo di offuscamento impedisce che questi dati di particolare rilevanza possano essere (erroneamente o volontariamente) diffusi o trafugati.
Il data masking, inoltre, permette di dimostrare in maniera efficace, secondo il principio dell’accountability alla base del GDPR, che i dati personali trattati sono “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati”, in conformità al principio di minimizzazione prescritto dall’art. 5 del GDPR.