Crittografia e GDPR: cosa dovresti sapere e cosa non sai

La crittografia è un processo ampiamente utilizzato in cui i dati vengono trasformati in una versione codificata e incomprensibile, utilizzando algoritmi di crittografia e una chiave di crittografia che decodifica o un codice che consente ad altri di decodificarlo di nuovo.

Al fine di mantenere la sicurezza e prevenire il trattamento dati in violazione del regolamento, il responsabile del trattamento o l’ incaricato del trattamento dovrebbe valutare i rischi inerenti all’elaborazione e attuare misure per attenuare tali rischi, come la crittografia (considerando 83 della GDPR).
La crittografia si presenta in molte forme e tipi, con varie soluzioni e applicazioni, tra cui molte trasmissioni e operazioni su Internet e dati che spesso non “vediamo” o conosciamo. La crittografia è fondamentale nel modello di dati di aggiornamento delle transazioni di blockchain.

C’è ovviamente molto altro da dire al riguardo ma nell’ambito di questo articolo in cui consideriamo la crittografia sotto il GDPR, diciamo che la crittografia dei dati è un metodo di protezione dei dati sempre più utilizzato. Il contesto e la portata vanno considerati nei singoli casi. Tutt’oggi ci sono continue violazioni ai dati personali anche se vengono utilizzati sistemi avanzati di crittografia.

La crittografia dei dati è, e certamente, sempre più importante per quanto riguarda i dati personali, e così è anche nelle “tecnologie più recenti”. Un esempio di tecnologia un po’ più nuova in cui la crittografia dei dati viene utilizzata sempre più spesso è il cloud computing.

Crittografia GDPR: quello che dovresti sapere

La crittografia è importante, preziosa e presente in molti sistemi di dati. Il GDPR, tuttavia, non dice nulla su conformità e crittografia, per non parlare di quale livello e standard di crittografia usare o per quali tipi di dati personali, per quali tipi di trattamento di dati personali e così via. Tuttavia, nelle precedenti leggi sulla protezione dei dati e, soprattutto in giurisprudenza, la presenza della crittografia è stata utilizzata come argomento in specifici tipi di violazione e tipi specifici di crittografia. E’ una delle basi della sicurezza dei dati che però al momento non è compresa come obbligo.

Sebbene il GDPR richieda ovviamente che le organizzazioni adottino le misure tecniche e organizzative appropriate in materia di protezione e sicurezza dei dati personali, raccomandando la pseudonimizzazione e la crittografia dei dati personali, il GDPR in senso stretto non dice che è necessario utilizzare la crittografia. Le autorità nazionali di vigilanza possono anche seguire le linee guida sull’attuazione e prendere alcune decisioni per consigliare cosa fare.

Le aziende che affermano che la crittografia GDPR è un must, dichiarando che non puoi permetterti di non usarla perché il GDPR è accompagnato da multe amministrative elevate, affermando che quelle alte ammende massime, tuttavia, stanno vendendo soluzioni di crittografia in modo fuorviante in quanto non si sa come verranno decise le multe nei singoli casi, le ammende massime prima del GDPR sono state applicate raramente.

Tuttavia, nonostante il GDPR non richieda rigorosamente l’uso della crittografia, la menziona infatti solo alcune volte e non l’ha mai resa obbligatoria, di fatto l’uso della crittografia non è solo una buona idea, in caso di violazione dei dati personali e obbligo di notifica di violazione dei dati personali, ma ci sono alcune autorità di vigilanza nazionali che raccomandavano i responsabili del trattamento dei dati in passato ad avere una politica per il personale su come utilizzare la crittografia. Il fatto che, come vedremo, la crittografia è menzionata nell’ambito di un obbligo di notifica di violazione dei dati, alcuni ne enfatizzano l’importanza.

Mentre il GDPR è chiaro sulla crittografia, le linee guida per l’implementazione e l’applicazione del GDPR non sono sempre così chiare, la posizione delle autorità di vigilanza può essere diversa per ogni Paese e l’impatto del regolamento e-Privacy e come sarà in correlazione con il GDPR ha causato seri problemi.

Se ci si chiede se la crittografia è un obbligo ai sensi del GDPR, bisogna dire di no perché i testi sono chiari. Se ti chiedi se la crittografia in base al GDPR è abusata da alcune società che vendono soluzioni, diciamo sì. Se ti chiedi se la crittografia risulterà importante nell’ambito delle ulteriori evoluzioni delle normative sulla protezione dei dati nell’UE e l’applicazione del GDPR, nonché le decisioni relative a violazioni e non conformità in varie circostanze specifiche, è un sì decisissimo.

Cosa dice il GDPR sulla crittografia

Dalle opportune misure di sicurezza e cambio di destinazione al dovere di notifica dei dati in caso di violazione.

Iniziamo con i considerando GDPR.
Considerando 83: i responsabili del trattamento e l’incaricato del trattamento dovrebbero valutare i rischi delle loro varie attività di trattamento dei dati e attuare misure per mitigare tali rischi, come la crittografia, in modo da:

    • mantenere la sicurezza
    • impedire l’elaborazione non conforme al GDPR.

Inoltre, tale valutazione dovrebbe equilibrare il livello di rischio, i tipi di dati personali coinvolti e il costo per attuare tali misure. Questo, in pratica, si rivelerà essenziale. Infine, quando valuti i rischi per la sicurezza, prendi in considerazione in modo particolare i rischi per i quali tu e l’interessato potreste essere a rischio.

GDPR articolo 6: nell’ambito del trattamento legale e, più specificamente, nel caso dove:

il trattamento avviene per scopi diversi da quelli attuati al momento della raccolta dei dati personali e non sta accadendo in base al consenso dell’interessato e ad altre basi specifiche, quindi il responsabile del trattamento dei dati deve accertare se il nuovo scopo è compatibile con quello originale, tenendo conto dell’esistenza di garanzie appropriate, che possono includere la crittografia o la pseudonimizzazione.

Articolo 32 del GDPR: riassumendo sostanzialmente ciò che si trova nel considerando 83 della GDPR, l’articolo 32 dice di adottare le misure tecniche e organizzative con l’appropriato equilibrio di misure e rischi, i costi di attuazione, la natura, il contesto e le finalità del trattamento e la pseudonimizzazione e la crittografia dei dati personali potrebbero essere appropriati.

Articolo 34 del GDPR: nell’ambito dell’obbligo di notifica di violazione dei dati personali del responsabile del trattamento all’interessato, tale comunicazione non è necessaria se, tra le altre condizioni, l’utente, in quanto responsabile del trattamento ha attuato misure appropriate, tali misure sono state applicate alle persone colpite dati e, in particolare, tali misure hanno portato al fatto che i dati personali sono incomprensibili a chiunque non sia autorizzato ad accedervi, laddove la crittografia è un esempio di tale misura.

Quindi, sì, la crittografia potrebbe sollevare dal dovere di informare le persone i cui dati personali sono stati rubati o altro. Tuttavia, se vi è un’alta probabilità che la violazione dei dati personali risulti ad alto rischio per la persona interessata (il GDPR pensa sempre dal punto di vista dell’interessato, i suoi diritti e i suoi rischi) va tenuto presente che le misure appropriate devono essere viste caso per caso, sottolineiamo il ruolo della giurisprudenza e dell’importanza di imparare dal passato.

In un parere, risalente a luglio 2016, il gruppo di lavoro sulla protezione dei dati dell’articolo 29 (comitato europeo per la protezione dei dati) , che fornisce pareri, orientamenti e così via che non sono giuridicamente vincolanti ma servono come raccomandazioni importanti e, per coloro che devono garantire l’applicazione del GDPR, come linee guida per l’implementazione e l’attuazione “ha invitato la Commissione europea a prendere in considerazione la protezione dei diritti degli utenti di utilizzare la crittografia per proteggere le proprie comunicazioni elettroniche. Tale regola potrebbe anche includere lo sviluppo di standard tecnici sulla crittografia, anche a supporto dei requisiti di sicurezza rivisti nel GDPR “.

Crittografia e regolamento ePrivacy

Il testo del regolamento sulla privacy, approvato dal Parlamento europeo in sessione plenaria nell’ottobre 2017, ovvero la relazione Lauristin, recita: “Al fine di salvaguardare la sicurezza e l’integrità delle reti e dei servizi, l’uso di la crittografia end-to-end dovrebbe essere promossa e, laddove necessario, essere obbligatoria in conformità con i principi di sicurezza e privacy in base alla progettazione. Gli Stati membri non dovrebbero imporre alcun obbligo ai fornitori di crittografia, ai fornitori di servizi di comunicazione elettronica o a qualsiasi altra organizzazione (a qualsiasi livello della catena di approvvigionamento) che si tradurrebbe in un indebolimento della sicurezza delle loro reti e servizi, come la creazione o facilitazione di “backdoor“.

Altri emendamenti e passaggi da quel testo relativo alla crittografia nell’ambito di questo testo del regolamento e-Privacy:

Nell’ambito dei fornitori di servizi: “I fornitori di servizi che offrono servizi di comunicazione elettronica dovrebbero elaborare i dati delle comunicazioni elettroniche in modo tale da impedire l’elaborazione non autorizzata, incluso l’accesso o l’alterazione. Dovrebbero assicurare che tale accesso o alterazione non autorizzati possano essere rilevati, e anche assicurare che i dati delle comunicazioni elettroniche siano protetti utilizzando software all’avanguardia e metodi crittografici che includano tecnologie di crittografia. I fornitori di servizi dovrebbero inoltre informare gli utenti delle misure che possono adottare per proteggere la sicurezza delle loro comunicazioni, ad esempio utilizzando specifici tipi di software o tecnologie di crittografia“.

In questo stesso ambito: “I fornitori di servizi di comunicazione elettronica assicurano che vi sia una protezione sufficiente in luogo contro l’accesso non autorizzato o alterazioni dei dati delle comunicazioni elettroniche e che la riservatezza e l’integrità della comunicazione in trasmissione o archiviata siano anche garantite da misure tecniche secondo lo stato dell’arte, come i metodi crittografici inclusa la crittografia end-to-end dei dati delle comunicazioni elettroniche. Quando viene utilizzata la crittografia dei dati delle comunicazioni elettroniche, è vietata la decifratura da parte di chiunque altro che dall’utente. In deroga agli articoli 11 bis e 11 ter del presente regolamento, gli Stati membri non impongono alcun obbligo ai fornitori di servizi di comunicazione elettronica o ai produttori di software che comporterebbero l’indebolimento della riservatezza e dell’integrità delle loro reti e servizi o delle apparecchiature terminali, compresi i metodi di crittografia utilizzati ”.

Nell’ambito dei servizi forniti agli utenti che svolgono attività prettamente personali o domestiche (ad es. Servizi di text to voice, organizzazione della casella di posta o servizio filtro SPAM) : “Laddove i dati di comunicazione sono archiviati da una terza parte, questa terza parte dovrebbe garantire che le informazioni il cui trattamento non è necessario per fornire il servizio richiesto dall’utente finale siano protette con misure di sicurezza all’avanguardia applicate end to end, inclusi metodi crittografici come la crittografia.

Crittografia GDPR nelle linee guida WP29 sulla notifica di violazione e sulle sanzioni amministrative

Successivamente, nelle sue ultime linee guida sull’obbligo di notifica delle violazioni dei dati personali ai sensi del GDPR, scrive:

Nel suo parere 03/2014 sulla notifica di violazione, il WP29 ha spiegato che una violazione della riservatezza dei dati personali crittografati con un algoritmo all’avanguardia è ancora una violazione dei dati personali e deve essere notificata. Tuttavia, se la riservatezza della chiave è intatta, vale a dire, la chiave non è stata compromessa in alcuna violazione della sicurezza ed è stata generata in modo che non possa essere accertata dai mezzi tecnici disponibili da qualsiasi persona che non è autorizzata ad accedervi, i dati sono in linea di massima incomprensibili. Pertanto, è improbabile che la violazione possa influire negativamente sulle persone e quindi non richiederebbe la comunicazione a tali individui. Tuttavia, anche laddove i dati sono crittografati, una perdita o un’alterazione può avere conseguenze negative per i soggetti di dati in cui il controllore non dispone di backup adeguati. In questo caso sarebbe necessaria la comunicazione con gli interessati, anche se i dati stessi erano soggetti a misure di crittografia adeguate. Il WP29 ha anche spiegato che ciò sarebbe accaduto se i dati personali, come le password, fossero stati sottoposti a hash in modo sicuro, il valore hash fosse stato calcolato con una funzione con chiave crittografica allo stato dell’arte, la chiave utilizzata per cancellare i dati non era compromessa in qualsiasi violazione e la chiave utilizzata per cancellare i dati è stata generata in un modo che non può essere accertata dai mezzi tecnologici disponibili da qualsiasi persona che non è autorizzata ad accedervi “.

Di conseguenza, se i dati personali sono stati resi sostanzialmente incomprensibili a parti non autorizzate e se i dati hanno una copia o un backup, una violazione della riservatezza che coinvolge correttamente i dati personali crittografati potrebbe non avere bisogno di essere notificata all’autorità di vigilanza. Questo perché è improbabile che tale violazione possa rappresentare un rischio per i diritti e le libertà delle persone. Ciò ovviamente significa che l’individuo non avrebbe bisogno di essere informato perché probabilmente non vi sono rischi elevati. Tuttavia, si dovrebbe tenere presente che, sebbene inizialmente la notifica non sia richiesta se non esiste un rischio probabile per i diritti e le libertà delle persone, questo può cambiare nel tempo e il rischio dovrebbe essere rivalutato. Ad esempio, se in seguito la chiave viene ritenuta compromessa o viene esposta una vulnerabilità nel software di crittografia, la notifica potrebbe comunque essere richiesta.

In poche parole: le chiavi sono fondamentali e se tu, come controller hai scelto il software sbagliato, devi comunque comunicarlo. Non importa quando la chiave risulta essere compromessa o sembra esserci stata una vulnerabilità nel software.

Va notato che, sebbene non siano vincolanti, le linee guida del WP29 sono importanti e che ci sono più linee guida WP29 in cui sono forniti dettagli sulla crittografia nel contesto degli articoli del GDPR dove è importante.