NEWS

Che cosa sono le Personally Identifiable Information (PII)? Come proteggerle con il GDPR?


LUNEDÌ 9 APRILE 2018 - 13:00


Le minacce alla cyber sicurezza ci costringono a rivedere alcune terminologie basate sull'identità e le Personally Identifiable Information sono probabilmente tra le più importanti. Per PII si intende qualsiasi informazione di identificazione personale che possa aiutare un ente governativo o privato a tracciare l'identità di un individuo, direttamente o indirettamente. 

Comprendere le PII 
Le Personally Identifiable Information possono assumere svariate forme, in generale sono tutto ciò che distingue un individuo da un altro, sulla base di serie di dati esistenti. 

QUALI DATI SONO CONSIDERATI PII?
  • Nome
  • Cognome
  • Numero di telefono
  • Email
  • Indirizzo
  • Carte di credito
  • ID di dispositivi mobile
  • Codice Fiscale
Come difendere le PII secondo le direttive del GDPR?
Il regolamento europeo per la protezione dei dati sarà implementato prestissimo e la maggior parte delle aziende in Europa sta già lavorando per organizzare la compliance al GDPR. La conseguenza è che, tra le altre cose, le aziende dovranno prestare massima attenzione a questo tipo di informazioni, dato che qualsiasi violazione degli stessi può comportare severe sanzioni e multe: il GDPR ribadisce in maniera chiara e netta che è responsabilità delle aziende interessate la salvaguardia della privacy dei propri clienti. 

Data la delicatezza di informazioni come le PII, diventa responsabilità aziendale adottare tutte le misure necessarie per evitare compromissioni dei dati oppure ancora di adottare le misure necessarie per la salvaguardia di queste informazioni in caso di compromissione delle stesse (data breach e altro...). Di per sé però il GDPR non fornisce molti dettagli sulle strategie per la difesa delle PII, dato che principalmente si concentra sulla governance dei dati: è compito dell'azienda individuare le soluzioni e le strategie più adatte. 
  1. Proteggere i Personal Data:
    s
    e PII indica un insieme preciso di informazioni, la definizione di Dati Personali copre un'area di significati assai più vasta. Il primo passo verso la protezione delle PII è quello di chiudere gli spazi alle minacce associate ai set di dati personali ed eliminarle completamente. Le aziende devono cioè cercare di coprire ogni aspetto della protezione dei dati e non solo quelli specifici collegati alle PII. 

  2. Rivisti i diritti dell'utente:
    per il GDPR ogni cliente deve essere invitato a compilare moduli col metodo opt.in, fornendo il tipo, la natura e la validità nel tempo delle informazioni protette. Detto questo, i clienti devono poter mantenere il controllo completo delle proprie PII, nonostante le aziende conservino queste informazioni entro i propri database. La trasparenza e l'accessibilità dei dati sono un requisito essenziale per la protezione delle informazioni personali. 

  3. Indirizzare la struttura di sicurezza:
    il GDPR ridefinisce, come detto, le responsabilità delle aziende (ma anche di enti pubblici, organizzazioni ecc...). Sia che si parli dell'interessato stesso, del Data Processor o del Data Controller, ogni collegamento deve essere organizzato in manienra tale da proteggere le PII nel modo più efficiente possibile. Ogni azienda quindi, dovrà indicare un Data Processor e un Data Controller, tenendo traccia dei dati dell'utente e dei vari utilizzi degli stessi. Avere una metodologia documentabile e recuperabile è un ottimo sistema di salvaguardia dei set di dati sensibili e riservati. 

  4. Denunciare i data breach:
    è necessario individuare un responsabile della protezione dati, il Data Protection Officer (DPO), un soggetto che sia responasabile della salvaguardia dei dati. Il DPO ha il dovere di segnalare alle autorità preposte oltre che all'azienda stessa una eventuale violazione dei dati: il GDPR garantisce un lasso di tempo di 72 ore per segnalare una violazione. Non si ha obbligo di denuncia del data breach se le PII sono criptate e l'ultimo livello non è stato compromesso. 


Conclusioni
In sunto le aziende hanno il dovere di tutelare tutti i dati personali, non soltanto le PII: concentrarsi sulle PII è comunque una delle migliori strategie di conformità al GDPR. I passaggi sopra descritti possono aiutare, ma le aziende devono anche adottare prodotti e servizi di sicurezza come Seqrite, per gestire i requisiti per la compliance in maniera semplice e organizzata. Alla fine infatti il GDPR costituisce un'opportunità per molte organizzazioni, consentendo di riesaminare i set di dati riservati, analizzare i tempi di conservazione e prendere ulteriori misure di sicurezza. Si avrà, a fine processo, una razionalizzazione delle PII, con grandi benefici per i clienti e le imprese, specialmente nel lungo periodo. 

Le ultime news

Chi siamo

Risorse

Supporto

Area informativa

 





Distributore ufficiale per l'Italia
S-MART è un marchio di proprietà netWork Sas
P.IVA: 05345670482




© 2017     |     Privacy Policy     |     Cookie Policy     |     Login