Aniello Giugliano : 28 Marzo 2025 07:19
La pseudonimizzazione è una tecnica di protezione dei dati definita dall’art. 4(5) del GDPR. Consiste nella trasformazione dei dati personali in modo tale che non possano più essere attribuiti direttamente a un interessato, se non attraverso l’uso di informazioni aggiuntive tenute separate e protette da misure tecniche e organizzative adeguate.
Questa tecnica ha il vantaggio di ridurre il rischio di identificazione pur mantenendo la possibilità di utilizzare i dati per scopi analitici, statistici o operativi. Il processo si basa sulla sostituzione degli identificatori diretti (come nome, cognome, codice fiscale, ID) con pseudonimi, ossia valori che, da soli, non consentono di risalire all’identità dell’individuo, ma che possono essere ricostruiti mediante l’accesso controllato a informazioni aggiuntive, come tabelle di corrispondenza o chiavi crittografiche.
Perché la pseudonimizzazione sia efficace, è essenziale che queste informazioni aggiuntive siano custodite separatamente e protette da accessi non autorizzati. È importante sottolineare che i dati pseudonimizzati rimangono, a tutti gli effetti, dati personali secondo il GDPR, poiché esiste sempre la possibilità teorica di reidentificare l’interessato. Solo un processo che renda l’identificazione assolutamente impossibile e irreversibile può essere considerato anonimizzazione, uscendo così dall’ambito di applicazione del regolamento.
Iscriviti GRATIS alla RHC Conference 2025 (Venerdì 9 maggio 2025)
Il giorno Venerdì 9 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà
la RHC Conference 2025. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico.
La giornata inizierà alle 9:30 (con accoglienza dalle 9:00) e sarà interamente dedicata alla RHC Conference, un evento di spicco nel campo della sicurezza informatica. Il programma prevede un panel con ospiti istituzionali che si terrà all’inizio della conferenza. Successivamente, numerosi interventi di esperti nazionali nel campo della sicurezza informatica si susseguiranno sul palco fino alle ore 19:00 circa, quando termineranno le sessioni. Prima del termine della conferenza, ci sarà la premiazione dei vincitori della Capture The Flag prevista per le ore 18:00.
Potete iscrivervi gratuitamente all'evento utilizzando questo link.
Per ulteriori informazioni, scrivi a [email protected] oppure su Whatsapp al 379 163 8765
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
Oltre al valore operativo, la pseudonimizzazione è riconosciuta dal GDPR come una misura tecnica e organizzativa utile per ridurre i rischi nel trattamento dei dati. Rientra infatti tra le pratiche raccomandate per attuare i principi di privacy by design e by default (artt. 25 e 32) e può essere prevista anche da normative nazionali o settoriali come requisito per trattamenti specifici.
Come indicato nel Considerando 28 del GDPR, la pseudonimizzazione rappresenta una misura strategica per ridurre i rischi connessi al trattamento dei dati personali, preservando al contempo la possibilità di effettuare analisi e valutazioni sui dati in forma non identificabile.
Quando implementata in modo corretto, la pseudonimizzazione contribuisce significativamente alla protezione della riservatezza dei dati. La sua efficacia si fonda sulla separazione e sulla protezione delle informazioni aggiuntive necessarie per la reidentificazione, in linea con quanto previsto dall’Art. 4(5) del GDPR.
Questa tecnica opera su due livelli:
Un ulteriore beneficio risiede nella mitigazione del rischio di function creep, ovvero dell’utilizzo dei dati per scopi diversi e incompatibili rispetto a quelli originariamente dichiarati. L’impossibilità per i soggetti autorizzati – come responsabili o incaricati del trattamento – di risalire direttamente all’identità degli interessati limita il potenziale abuso e rafforza il principio di limitazione della finalità.
La pseudonimizzazione, inoltre, può contribuire alla qualità del dato. L’utilizzo di pseudonimi differenziati per soggetti con attributi simili aiuta a prevenire errori di attribuzione e migliorare l’accuratezza complessiva delle informazioni trattate.
Infine, il livello di protezione offerto da questa tecnica è direttamente proporzionale alla robustezza delle misure tecniche e organizzative adottate. Una progettazione attenta e coerente consente ai titolari e ai responsabili di conformarsi agli obblighi previsti dagli Articoli 24, 25 e 32 del GDPR, assicurando un trattamento dei dati conforme, sicuro e incentrato sulla tutela dei diritti e delle libertà degli interessati.
Per essere considerata efficace, la pseudonimizzazione deve impedire che i dati trasformati contengano identificatori diretti, come il codice fiscale o altri identificatori univoci, qualora questi possano permettere l’attribuzione dell’identità dell’interessato all’interno del contesto operativo ( dominio di pseudonimizzazione). Tali elementi vengono rimossi durante la trasformazione o sostituiti con identificatori alternativi (i pseudonimi)che, da soli, non consentono l’identificazione, se non tramite l’uso di informazioni aggiuntive tenute separatamente.
Oltre alla sostituzione degli identificatori diretti, la trasformazione può intervenire su altri attributi sensibili attraverso tecniche come la soppressione, la generalizzazione o l’introduzione di rumore controllato. Questi interventi sono finalizzati a limitare la possibilità di reidentificazione e a rafforzare la protezione dei dati trattati.
Un aspetto centrale della pseudonimizzazione è l’impiego di dati riservati (segreti di pseudonimizzazione) come chiavi crittografiche o tabelle di corrispondenza tra identificatori originali e pseudonimi. Questi elementi, essenziali per la riconduzione del dato all’interessato, devono essere generati e gestiti in modo da garantirne la sicurezza e la separazione logica e fisica rispetto ai dati pseudonimizzati.
Dal momento che tali segreti rappresentano le informazioni aggiuntive menzionate all’Art. 4(5) del GDPR, è obbligatorio proteggerli tramite misure tecniche e organizzative adeguate. Il loro accesso deve essere limitato esclusivamente al personale autorizzato, e devono essere conservati in ambienti sicuri, al fine di prevenire ogni possibilità di uso improprio o non autorizzato.
La scelta della tecnica di pseudonimizzazione più appropriata dipende da molteplici fattori, tra cui il livello di rischio, la necessità di reversibilità, la dimensione del dataset e le finalità specifiche del trattamento. Di seguito sono illustrate le principali tecniche disponibili, con una valutazione comparativa di vantaggi e criticità operative.
Oltre alla tecnica adottata, è fondamentale stabilire una politica di pseudonimizzazione, ovvero definire come e quando applicare le trasformazioni nei vari dataset:
Identificatore | Pseudonimo |
BNCLRA89A41H501Z | TK_XX1 |
BNCLRA89A41H501Z | TK_XX1 |
Identificatore | Pseudonimo |
BNCLRA89A41H501Z → TK_X1 | BNCLRA89A41H501Z → TK_Y1 |
RSSMRC80C20F205X → TK_X2 | RSSMRC80C20F205X → TK_Y2 |
Tuttavia, il sistema mantiene una mappatura logica: i record riferiti allo stesso soggetto sono riconoscibili come tali in entrambi i dataset A e B, pur avendo pseudonimi differenti (TK_X1, TK_Y1).
Occorrenza del Valore | Valore Originale | Pseudonimo |
Dataset A – Riga 1 | BNCLRA89A41H501Z | TK_A93F |
Dataset A – Riga 3 | BNCLRA89A41H501Z | TK_B92K |
Dataset B – Riga 1 | BNCLRA89A41H501Z | TK_C78L |
Anche se l’identificatore di partenza è lo stesso (BNCLRA89A41H501Z), ogni sua rappresentazione pseudonimizzata è unica e scollegata dalle altre.
La scelta delle tecniche di pseudonimizzazione deve basarsi su una valutazione del rischio, della necessità di reversibilità, e della robustezza delle misure organizzative a supporto. In uno scenario ideale, queste tecniche dovrebbero essere complementari, rafforzando la resilienza del trattamento anche in presenza di attacchi o accessi non autorizzati. Le tecniche più robuste (come RNG, HMAC e cifratura) offrono un’elevata protezione contro attacchi di tipo esaustivo o basati su dizionari, ma possono limitare la flessibilità d’uso. Le politiche deterministiche e document-randomised permettono analisi trasversali o longitudinali, ma con un rischio maggiore di linkabilità. Nella pratica, spesso è consigliabile combinare più tecniche per ottenere un equilibrio tra sicurezza, utilità e reversibilità, adattando l’approccio al contesto operativo e normativo.
Scenario Errato: Trasferimento di Dati Identificabili
Un ospedale condivide con un’azienda di ricerca un dataset clinico contenente dati personali in chiaro:
Nome | Cognome | Codice Fiscale | N. Cartella Clinica | Data di Nascita | Diagnosi |
Laura | Bianchi | BNCLRA89A41H501Z | 123456 | 01-01-1989 | Sclerosi multipla |
Marco | Rossi | RSSMRC80C20F205X | 789101 | 20-03-1980 | Diabete |
Problemi riscontrati:
1. Rischio elevato di reidentificazione diretta
La presenza di identificatori espliciti come nome, cognome, codice fiscale e numero della cartella clinica consente un’immediata associazione tra i dati e l’identità dei pazienti. Questo espone gli interessati a potenziali violazioni della riservatezza, discriminazioni o abusi in caso di accesso non autorizzato.
2. Violazione dei principi fondamentali del GDPR
Il trasferimento di dati in chiaro senza adeguate misure di protezione contrasta con i principi di minimizzazione, integrità e riservatezza previsti dagli articoli 5(1)(c) e 5(1)(f) del GDPR. Inoltre, l’assenza di misure tecniche e organizzative adeguate costituisce una violazione dell’articolo 32, che impone la protezione dei dati personali da trattamenti non autorizzati o illeciti.
3. Esposizione a gravi rischi in caso di violazione o intercettazione
Nel caso in cui i dati vengano sottratti o intercettati durante il trasferimento, gli identificatori presenti permetterebbero una facile reidentificazione. Questo scenario espone l’organizzazione a sanzioni, perdita di reputazione e responsabilità nei confronti degli interessati, i quali potrebbero subire danni concreti (furti d’identità, esclusioni assicurative, stigmatizzazione sociale).
Dopo aver applicato un processo strutturato di pseudonimizzazione, i dati vengono trasformati come segue:
Elemento | Tecnica | Valore Originale | Valore Pseudonimizzato |
Nome,Cognome,CF | Tokenizzazione | Laura Bianchi – BNCLRA89A41H501Z | TK_93AF71F0 |
Nome,Cognome,CF | Tokenizzazione | Marco Rossi – RSSMRC80C20F205X | TK_C76D9B4E |
N. Cartella Clinica | HMAC (SHA-256 con chiave “mySecretKey123”) | 123456 | 6f839993d8bc2cbe9a2c1cfd4de53eae9405fe9867dfec8ae31a38909e8044e1 |
N. Cartella Clinica | HMAC (SHA-256 con chiave “mySecretKey123”) | 789101 | bde5eb6e4c9e9e0b4d05c1214b75542f1311f4b79bc2d3ab46fc0156262e32b4 |
Lookup Table | Cifratura | (Token → Dato originale) | Cifrata in AES-256 e salvata in storage separato |
Struttura della Lookup Table
Token | Nome | Cognome | Codice Fiscale |
TK_93AF71F0 | Laura | Bianchi | BNCLRA89A41H501Z |
TK_C76D9B4E | Marco | Rossi | RSSMRC80C20F205X |
Conservazione delle tabelle
Di seguito le misure tecniche utilizzate per proteggere le tabelle:
AES-256 (Advanced Encryption Standard a 256 bit) è uno degli algoritmi di crittografia simmetrica più sicuri e ampiamente adottati nel settore. Applicare la cifratura AES-256 alle tabelle di pseudonimizzazione significa che:
Vantaggi:
Best practice:
Il principio di “need-to-know” e limitazione degli accessi è centrale nel GDPR (Art. 5 e 32). In questo caso:
Misure organizzative associate:
Il monitoraggio continuo delle attività svolte sulle tabelle di pseudonimizzazione è fondamentale per garantire trasparenza e tracciabilità. Ciò include:
Obblighi GDPR:
La pseudonimizzazione, seppur spesso percepita come una semplice tecnica di protezione dei dati, rappresenta in realtà un pilastro strategico della sicurezza informatica e della conformità normativa, in particolare nel contesto del GDPR. La sua corretta implementazione consente di ridurre significativamente i rischi per i diritti e le libertà degli interessati, senza compromettere l’utilità dei dati per fini analitici, statistici o operativi.
Come abbiamo visto, esistono diverse tecniche e politiche applicative, ognuna con vantaggi e limiti specifici. La scelta del metodo più idoneo deve essere il risultato di una valutazione del rischio ben strutturata, che tenga conto delle finalità del trattamento, del contesto operativo e delle esigenze di reversibilità o anonimato.
L’adozione di misure tecniche avanzate (es. HMAC, AES, tokenizzazione sicura) e organizzative (es. segregazione dei dati, controllo degli accessi, auditing) non è solo raccomandata, ma necessaria per trasformare la pseudonimizzazione in una reale garanzia di protezione, in linea con i principi di privacy by design e by default.
In un’epoca in cui il valore del dato è al centro di ogni processo decisionale e innovativo, pseudonimizzare non significa solo proteggere, ma anche abilitare: consente di trattare dati sensibili in sicurezza, favorendo al contempo la ricerca, l’analisi e l’interoperabilità tra enti pubblici e privati.
La pseudonimizzazione, quindi, non è un semplice adempimento tecnico, ma uno strumento di equilibrio tra privacy e progresso, tra sicurezza e innovazione. E in questo equilibrio risiede la
La pseudonimizzazione è una tecnica di protezione dei dati definita dall’art. 4(5) del GDPR. Consiste nella trasformazione dei dati personali in modo tale che non possano più essere a...
Una telefonata da un numero italiano. Una voce registrata che informa circa la ricezione del curriculm vitae e invita a salvare il numero e scrivere su WhatsApp per parlare di un’offerta di lav...
In un’era dominata dalla tecnologia, dove ogni click, ogni dato, ogni interazione digitale è un potenziale campo di battaglia, la cybersecurity è lo scudo digitale, la fortezza immate...
La scorsa settimana, un threat actors di nome ‘rose87168’ ha affermato di aver violato i server Oracle Cloud e di aver iniziato a vendere i presunti dati di autenticazione e le password ...
Recentemente Google ha rilasciato un urgente bug fix relativo ad una nuova vulnerabilità monitorata con il CVE-2025-2783. Si tratta di una grave falla di sicurezza su Chrome Browser che è st...
Copyright @ REDHOTCYBER Srl
PIVA 17898011006