CyberGrant Blog - Protezione PII: rischi, conseguenze e casi d'uso

La protezione delle informazioni personali identificabili (PII) è oggi una delle sfide più critiche per le aziende di ogni settore. Attacchi informatici, errori umani e  vulnerabilità di terze parti rendono queste informazioni costantemente esposte. Comprendere cosa sono le PII, quali rischi comporta il loro trattamento inadeguato e come proteggerle con le best practice è fondamentale per mantenere la fiducia dei clienti e rispettare i requisiti normativi.

Cosa sono le PII (Personally Identifiable Information) vs. PI (Personal Information)

Le Personally Identifiable Information (PII) sono definite come qualsiasi informazione che può essere utilizzata per identificare, contattare o localizzare una persona specifica sia singolarmente sia in combinazione con altre informazioni facilmente accessibili. Tale definizione, apparentemente semplice, nasconde in realtà una complessità considerevole che varia significativamente tra diverse giurisdizioni e contesti applicativi. Per intendere meglio:

• Le PI comprendono qualsiasi dato legato a un individuo, anche se non lo identifica direttamente: ad esempio nome, età, sesso, stato di residenza, preferenze o dati di navigazione.

• Le PII sono invece quelle informazioni che, da sole o combinate con altri dettagli, permettono di identificare in modo univoco una persona. Esempio: il nome è una PI, ma diventa PII se associato ad altri elementi, quali indirizzo o data di nascita.

In sintesi, tutte le PII sono PI, ma non tutte le PI sono PII. Inoltre, più ristretto è il contesto di riferimento, più aumenta la possibilità che dati apparentemente generici diventino identificativi.

Varie categorie di PII

Le PII possono essere suddivise in diverse categorie in base al loro livello di identificabilità e, precisamente:

• PII dirette - Informazioni che identificano immediatamente un individuo senza necessità di ulteriori dati. Esse includono nome completo, numero di previdenza sociale, passaporto, patente di guida, indirizzo e-mail personale, numero di telefono e indirizzo fisico completo.
• PII indirette – Dati che, da soli, potrebbero non identificare direttamente una persona ma che, combinati con altre informazioni, possono portare all'identificazione. Esempi includono data di nascita, codice postale, genere, etnia, informazioni lavorative, indirizzo IP e identificatori di dispositivi, credenziali di accesso (password, PIN, domande di sicurezza).
• PII sensibili - Categoria speciale di dati che richiedono protezione aggiuntiva a causa della loro natura delicata. Comprendono informazioni mediche, orientamento sessuale, opinioni politiche, credo religioso, dati biometrici, informazioni genetiche e precedenti penali.

PII: perché è importante proteggerle

Il concetto di PII si è evoluto significativamente con l'avanzare della tecnologia. Inizialmente era focalizzato su identificatori tradizionali (i.e. nome e indirizzo), mentre oggi include una vasta gamma di dati digitali. Cookies persistenti, finger-printing del browser, metadati di geolocalizzazione e pattern comportamentali online sono ora considerati potenziali PII quando possono contribuire all'identificazione di un individuo. Pertanto, la protezione delle PII non è semplicemente un obbligo legale, ma rappresenta un imperativo etico e strategico per le aziende moderne.

Proteggere le PII, comprendendone i rischi

Purtroppo, nonostante una maggiore consapevolezza e le misure normative, le PII rimangono costantemente esposte a diversi rischi. Analizziamo di seguito alcuni dei rischi più significativi in termini di PII:

• Attacchi informatici e violazioni dei dati - I criminali informatici prendono continuamente di mira le aziende per ottenere l'accesso non autorizzato alle PII. Le violazioni dei dati - dovute a sia sofisticate tecniche di hacking sia errori umani - possono esporre enormi quantità di informazioni sensibili, causando furto di identità, frodi finanziarie e danni alla reputazione.
• Phishing e ingegneria sociale
  - Gli attacchi di phishing, spesso mascherati da comunicazioni legittime, mirano a indurre gli individui a divulgare le proprie PII. È doveroso ricordare che le tattiche di ingegneria sociale sfruttano la psicologia umana, inducendo le vittime a rivelare informazioni riservate attraverso la manipolazione o la coercizione.
• Minacce interne
  - Dipendenti, appaltatori, consulenti o altri soggetti interni fidati rappresentano un rischio significativo per la sicurezza dei dati personali. Di fatto, i soggetti interni - intenzionalmente o meno - potrebbero accedere, utilizzare impropriamente o divulgare dati sensibili, con conseguenti violazioni di conformità.
• Vulnerabilità di terze parti
  - Molte organizzazioni si affidano a fornitori e security service provider per la gestione delle PII. Tuttavia, pratiche di sicurezza inadeguate o violazioni all'interno di queste entità esterne possono compromettere la riservatezza e l'integrità delle informazioni condivise.
• Tecnologie emergenti - La proliferazione di nuove tecnologie - i.e. l'Internet of Things (IoT), l'intelligenza artificiale (IA) e il cloud computing - introduce ulteriori rischi per le PII, considerando che queste tecnologie, pur offrendo numerosi vantaggi, aprono anche nuove possibilità di esposizione alle minacce informatiche e all'esposizione dei dati. Pertanto, le organizzazioni, per mitigare tali rischi, devono implementare misure di sicurezza solide e rispettare gli standard normativi.

Conseguenze vs. trattamento inadeguato delle PII

Il trattamento inadeguato delle PII può avere conseguenze devastanti per le aziende sia in termini immediati sia a lungo termine. E, precisamente:

• Sanzioni pecuniarie - Le moderne  normative sulla privacy prevedono sanzioni pecuniarie che possono raggiungere percentuali significative del fatturato annuale globale dell'azienda.
• Conseguenze legali – Le aziende, oltre alle sanzioni amministrative, possono incorrere in azioni legali da parte degli individui i cui dati sono stati compromessi. Class action e ricorsi individuali possono risultare in risarcimenti significativi e costi legali prolungati. In alcune giurisdizioni, i dirigenti possono anche affrontare responsabilità penale personale per violazioni gravi.
• Danni reputazionali - I danni alla reputazione possono essere più costosi delle sanzioni finanziarie dirette. La perdita di fiducia dei clienti può tradursi in cali di vendite permanenti, difficoltà nell'acquisizione di nuovi clienti e svalutazione del brand. È doveroso evidenziare che, nel mondo interconnesso di oggi, le notizie di violazioni della privacy si diffondono rapidamente e possono avere impatti duraturi.
• Impatti operativi - Le violazioni delle PII possono comportare significativi impatti operativi: indagini interne, cooperazione con autorità di controllo, implementazione di misure correttive e ricostruzione di sistemi compromessi richiedono risorse considerevoli e possono interferire con le normali operazioni aziendali.
• Perdita di vantaggi competitivi – Le violazioni della privacy, in settori dove la fiducia del cliente è cruciale, possono comportare perdite di vantaggi competitivi difficili da recuperare. Inoltre, clienti e partner commerciali possono preferire competitors con migliori strategie di protezione dei dati.

Best Practice per salvaguardare le PII

La protezione delle PII richiede un approccio sistematico e completo. Di seguito alcune best practice che si possono implementare per garantire la protezione delle PII.

Individuazione di tutti i tipi di PII nei repository di dati aziendali - Le aziende devono avviare la protezione delle PII implementando strumenti e algoritmi di scansione avanzati per individuare sistematicamente tutte le forme di PII all'interno dei propri repository di dati sia negli archivi gestiti sia in quelli non gestiti sia presso i fornitori SaaS che detengono i dati.

Tale strategia proattiva non solo aumenta la visibilità e il controllo sulle potenziali vulnerabilità di sicurezza, ma si estende anche alla gestione efficace dell’impronta digitale. Inoltre, le aziende, categorizzando in modo completo le PII, possono ottenere informazioni preziose sui propri dati ed implementare misure di sicurezza mirate, oltre a ridurre al minimo il rischio di accessi non autorizzati o violazioni dei dati.

Classificazione delle PII - Le aziende, dopo aver identificato le PII nei database e negli archivi, dovrebbero classificarle in base ai livelli di sensibilità attribuiti alle diverse tipologie. Si tratta, di fatto, di implementare un sistema di classificazione completo, per stabilire in modo efficace le priorità delle misure di sicurezza, allocando risorse e attenzione dove sono più necessarie.

Gestione delle PII non necessarie – Le aziende, per mitigare l'esposizione al rischio, dovrebbero adottare una strategia volta a ridurre al minimo la raccolta e la conservazione di dati personali non necessari. Pertanto, esse dovrebbero eseguire periodicamente revisioni e valutazioni in termini di necessità di conservare determinati tipi di dati personali.

Inoltre, l'implementazione di strategie di minimizzazione dei dati - quali l’identificazione, la pseudonimizzazione o l’anonimizzazione - diventa cruciale per limitare l'ambito dei dati personali archiviati nei sistemi organizzativi. Ancora, le aziende dovrebbero valutare l'implementazione di policy di conservazione per regolamentare la durata di conservazione dei dati personali, incluse azioni come l'eliminazione dei dati personali obsoleti o l'applicazione di policy di conservazione basate su criteri quali, ad esempio, il tempo trascorso dall'ultimo accesso dell'utente per mitigare efficacemente il rischio di violazioni dei dati e tutelare la privacy e la sicurezza delle PII.

Implementare la privacy dei dati

Le aziende, per essere conformi agli standard di privacy dei dati, devono dare priorità a:

Tecniche di minimizzazione e protezione dei dati, quali:

De-identificazione - La de-identificazione comporta la rimozione (completa) o la modifica dei dati identificabili per separarli dalle identità individuali.

Pseudonimizzazione – Si tratta di sostituire gli identificatori personali con token non sensibili (pseudonimi) all'interno dei set di dati. Tali identificatori rimangono nel sistema, ma sono più difficili da accedere.

Anonimizzazione – L’anonimizzazione garantisce che i dati non possano mai essere ricondotti a individui specifici, salvaguardando così la privacy, oltre a rafforzare le misure generali di protezione dei dati.

Policy di utilizzo dei dati – Si tratta di stabilire linee guida e policy chiare che regolino l'uso delle PII all'interno dell’azienda, oltre a formare i dipendenti sulle corrette pratiche di gestione dei dati e garantire la conformità ai requisiti normativi. Inoltre, è necessario implementare controlli di accesso e meccanismi di auditing per monitorare e per tracciare l'utilizzo dei dati, garantendo il rispetto delle policy stabilite.

Gestione dei cookie e del consenso – È necessario garantire la conformità alle normative sulla privacy – come GDPR, CCPA e LGDP - implementando soluzioni affidabili per la gestione dei cookie e del consenso, in modo da ottenere il consenso esplicito degli utenti prima di raccogliere o di elaborare le loro informazioni personali tramite cookie. Inoltre, si devono predisporre informative trasparenti sull'utilizzo dei dati e offrire agli utenti il controllo delle loro preferenze in materia di privacy.

Richieste di accesso ai dati personali (DSAR- Data Subject Access Requests) – Si tratta di: facilitare le richieste di accesso ai dati degli interessati, definendo procedure semplificate per la gestione delle richieste di accesso ai propri dati personali; rispondere tempestivamente alle DSAR e fornire agli interessati informazioni trasparenti su come le loro PII vengano elaborate e conservate; mantenere registri dettagliati delle DSAR e delle azioni intraprese per dimostrare la conformità ai requisiti normativi.

Garanzia del Diritto all'oblio (RTBF - Right to be forgotten) – È necessario rispettare il diritto alla cancellazione dei dati personali, implementando procedure per soddisfare le richieste di cancellazione. Inoltre, si deve: garantire che le PII vengano cancellate in modo sicuro da tutti gli archivi dati e dai sistemi di backup, in conformità con gli obblighi normativi; mantenere registri completi delle attività di cancellazione dei dati per dimostrare la conformità ai requisiti di RTBF; essere consapevoli che in alcuni casi si è comunque obbligati a conservare alcuni dati per finalità fiscali e legali; consultare il proprio consulente legale per verificare quali azioni abbiano la precedenza prima di procedere alla cancellazione dei dati.

Manutenzione di un inventario dei dati – Le aziende, per garantire l'accuratezza e la completezza dell'inventario dei dati e consentire un'efficace governance dei dati e una gestione della conformità devono: predisporre un inventario aggiornato di tutte le PII raccolte, elaborate e archiviate dalla azienda; documentare le tipologie di dati raccolti, le finalità per cui vengono utilizzati e le posizioni di archiviazione; eseguire audit e valutazioni regolari

Scansione e identificazione proattiva delle perdite di dati nel codice – Si tratta di: implementare strumenti di scansione automatizzati per rilevare e mitigare sia le perdite di dati sia le vulnerabilità nel codice; condurre revisioni regolari del codice e test di penetrazione per identificare potenziali lacune di sicurezza e vulnerabilità che potrebbero esporre le PII; integrare i test di sicurezza nel ciclo di vita dello sviluppo del software per garantire che le misure di sicurezza siano implementate fin dall'inizio.

Conclusione

Proteggere le PII non è soltanto un obbligo legale: è un fattore strategico per la competitività. Le aziende che adottano un approccio proattivo e sistematico alla protezione dei dati costruiscono un ecosistema più sicuro, riducono il rischio di violazioni e consolidano la fiducia dei propri clienti.