Perché Excel è il Tipo di File a Maggior Rischio
I file Excel rappresentano uno dei maggiori rischi GDPR per la maggior parte delle aziende. Le cartelle cliniche possono contenere dati più sensibili per riga. Ma i fogli di calcolo accumulano rapidamente dati personali — e i team di conformità spesso non se ne accorgono.
Tre fattori rendono i file Excel difficili da gestire.
Volume: Un singolo file XLSX può contenere 50.000 righe e 100 colonne. Sono cinque milioni di celle. Nessuna revisione manuale può verificarle tutte.
Layout a griglia: Il testo scorre in una direzione. Excel distribuisce i dati su righe e colonne. I dati personali possono nascondersi ovunque in quella griglia.
Contenuto misto: Fasce retributive, codici reparto e livelli di inquadramento coesistono nello stesso file con codici fiscali e indirizzi email. Cancellare tutto rende il file inutilizzabile.
Conservazione prolungata: Gli elenchi del personale e i registri clienti rimangono in Excel per anni. L'Articolo 5(1)(e) del GDPR stabilisce che i dati devono essere conservati "non più a lungo di quanto necessario". I file "che potrebbero tornare utili" restano spesso ben oltre quel limite.
Perché le Scansioni Testuali Standard Falliscono sui Fogli di Calcolo
Gli strumenti di analisi testuale sono stati progettati per i documenti. Sui fogli di calcolo si inceppano in alcuni modi ricorrenti.
Il Problema del Codice Fiscale come Numero
Excel salva i codici fiscali senza separatori (RSSMRA85M01H501Z) come numeri semplici, non come testo. Uno scanner progettato per trovare il formato tradizionale li mancherà. Uno strumento efficace deve sapere che una sequenza alfanumerica in una colonna chiamata "Codice Fiscale" è un dato personale.
Il Problema della Data come Numero
Excel memorizza le date come numeri seriali. Il 6 febbraio 2024 è memorizzato come 45329. Un'esportazione CSV mostrerà "45329" in una colonna "Data di Nascita". Uno scanner deve convertire quel numero in una data reale prima di poterlo segnalare.
Il Problema del Codice Parziale
Alcuni sistemi mostrano solo le ultime quattro cifre di un codice fiscale o di un numero di conto. Il numero completo si trova in una colonna protetta. Il valore parziale deve comunque essere anonimizzato, anche se non somiglia a un dato completo.
Il Problema dei Dati Personali nelle Formule
Alcune celle costruiscono dati personali a partire da altre celle. Una cella con =CONCATENA(B2;" ";C2) mostra un nome completo. Se si cancellano le colonne B e C, quel nome completo rimane visibile nella cella con la formula. Uno strumento che legge solo i valori memorizzati — non i collegamenti alle formule — lascerà i dati personali al loro posto.
Il Problema dei Fogli Multipli
Una cartella di lavoro di grandi dimensioni può avere cinque fogli: Elenco Clienti, Ordini, Ticket di Supporto, Fatturazione e Analytics. I nomi dei clienti compaiono in tutti e cinque. "Mario Rossi" in un foglio deve diventare lo stesso token — "PERSON_0047" — in ogni altro foglio. Due token diversi spezzano i collegamenti tra i record.
Le Intestazioni di Colonna come Segnale
Il miglioramento più significativo nel rilevamento dei dati personali nei fogli di calcolo è l'analisi delle intestazioni di colonna.
Una colonna chiamata "Codice Fiscale" comunica allo strumento che tutti i valori in quella colonna sono codici fiscali. Questo funziona anche se i valori sono parziali, formattati in modo insolito o memorizzati come numeri.
| Intestazione di colonna | Cosa indica |
|---|---|
| CF / Codice Fiscale / Partita IVA | Trattare le sequenze come codici fiscali |
| Email / Posta Elettronica / Indirizzo Email | Segnalare anche pattern email parziali |
| Telefono / Cell / Mobile | Accettare qualsiasi formato telefonico |
| Data di Nascita / Anno di Nascita | Convertire i numeri seriali in date |
| Nome / Cognome / Nome Completo | Abbassare la soglia per il rilevamento dei nomi |
| Indirizzo / Via / Città / CAP | Combinare i campi di localizzazione vicini |
| ID Paziente / Numero Cartella | Applicare i pattern degli ID sanitari |
Il contesto della colonna non sostituisce la scansione del contenuto: la integra. Una colonna chiamata "CF" con 100 valori: la scansione del contenuto ne intercetta 99 ben formattati. Il contesto della colonna intercetta l'uno che appare anomalo.
Preservare la Struttura, Rimuovere i Nominativi
L'obiettivo nella maggior parte dei casi Excel riguardanti il GDPR non è distruggere il file. È rimuovere i dati personali conservando le parti che rendono il file utile.
Per un file di registri del personale di 15.000 righe, un responsabile della conformità ha bisogno di:
Rimuovere:
- Nomi dei dipendenti → token PERSON_XXXX
- Codici fiscali → REDATTO
- Indirizzi email → REDATTO
- Numeri di telefono → REDATTO
- Indirizzi di residenza → REDATTO
Conservare:
- Codici reparto
- Qualifiche professionali (solo ruoli generici)
- Fasce retributive (categorie ampie)
- Valutazioni delle prestazioni (dati aggregati)
- Date di assunzione (per statistiche di anzianità)
- Codici responsabile (se pseudonimizzati)
Uno strumento in grado di distinguere tra "dati che identificano persone" e "dati che descrivono ruoli" produce un file ancora utilizzabile per l'analisi HR — e conforme ai principi di minimizzazione dei dati del GDPR.
Caso Reale: Trasferimento Dati HR in un'Operazione di M&A
Una società acquirente riceve i registri del personale dell'azienda target: un XLSX di 15.000 righe con 40 colonne. Il file deve essere trasmesso a una società HR esterna per la pianificazione dei benefit. Il GDPR stabilisce che possono essere condivisi solo i dati necessari per quel compito.
Prima dell'elaborazione: 40 colonne con nomi completi, codici fiscali, email, indirizzi di residenza, contatti di emergenza e dati bancari.
Dopo l'elaborazione con contesto delle colonne:
- 12 colonne identificano direttamente le persone (nomi, CF, email, telefono, indirizzi, dati bancari): sostituite con token coerenti
- 3 colonne identificano indirettamente le persone (ID dipendente, codice responsabile, codice mansione): sostituite con token pseudonimizzati che si corrispondono all'interno del file
- 25 colonne sono dati aggregati (fascia retributiva, reparto, anzianità, livello): lasciate invariate
Tempo: 8 minuti per 600.000 celle
Output: Stesso layout XLSX, 40 colonne, 15 anonimizzate, 25 invariate
Registro di audit: Traccia a livello di cella di ogni azione con tipo di entità, punteggio di confidenza e segnale di colonna utilizzato
La società HR riceve un dataset completo per il proprio lavoro — senza nomi né identificativi. Il registro di conformità ottiene la prova che sono stati condivisi solo i dati appropriati.
Questa sfida non è esclusiva di Excel. Ogni formato di file presenta le proprie criticità. Consulta come la frammentazione dei formati incide sul rilevamento dei PII per una panoramica su tutti i tipi di file.
Tre Regole dell'Articolo 5 del GDPR, Un Unico Processo
L'anonimizzazione strutturata dei fogli di calcolo soddisfa contemporaneamente tre norme.
Minimizzazione dei dati (Art. 5(1)(c)): Solo le colonne necessarie per il compito vengono trasmesse al destinatario. Le colonne identificative vengono eliminate.
Limitazione della conservazione (Art. 5(1)(e)): Il file originale rimane per gli obblighi di conservazione legale. Una copia pulita viene creata per la condivisione — con un termine di conservazione più breve o nullo.
Integrità e riservatezza (Art. 5(1)(f)): Nessun dato identificativo esce dalla zona di controllo. Solo le copie pulite vengono condivise.
Il registro di audit prodotto dal processo è anche la prova ai sensi dell'Articolo 5(2). Mostra come ciascuna regola è stata rispettata per ciascun file.
Se il tuo team gestisce DSAR o grandi esportazioni di dati, la stessa logica si applica a livello di API. Consulta come funziona la minimizzazione dei dati GDPR nelle API in tempo reale.
Per i team che gestiscono volumi elevati con scadenze strette, consulta il processamento batch GDPR DSAR su larga scala per i pattern di flusso di lavoro applicabili anche qui.