GDPR e dati su cloud, le cose da ricordare

Le aziende che utilizzano il cloud hanno dovuto definire strategie per il GDPR che includessero la gestione dei dati presenti sulla cosiddetta nuvola.

Questi elementi possono allinearsi e garantire vantaggi alla strategia complessiva di un’azienda, favorendo i programmi di digital transformation: si sa che la sicurezza e i criteri di data management si sovrappongono in caso di violazione.

«Durante alcune recenti conversazioni con specialisti ed executive IT - spiega Vittorio Bitteleri, country manager di Commvault in Italia - l’attenzione si è sempre spostata sul cloud».

Ma prima di preoccuparsi della gestione dei dati nel cloud, spiega, è importante che le aziende abbiano verificato cinque aspetti.

  • Il paese in cui sono localizzati i servizi SaaS o il cloud pubblico risponde ai requisiti di protezione dell’Unione Europea?
  • Sarà possibile controllare dove saranno i dati, una volta scelto il fornitore cloud/SaaS?
  • Quali sono le credenziali fornite dal servizio cloud per il GDPR?
  • Qual è il processo di notifica e di risoluzione a seguito di una violazione?
  • I fornitori cloud in generale si inseriscono nell’area dei Data Processor, e le aziende, in quanto acquirenti del servizio, sono i Data Controller. I dati personali sono processati in conformità con il GDPR?

GDPR, dati e shadow IT

In molti, osserva Bitteleri, saranno rimasti impressionati nello scoprire quanti servizi cloud sono già utilizzati in azienda, senza che per forza se ne sia già consapevoli.

«È la cosiddetta shadow IT - dice - Non si contano i casi in cui un compliance officer si aspetta di trovare poche decine di servizi cloud durante un audit, ma in realtà scopre che ce sono centinaia di tipologie più o meno diverse. E purtroppo, i dati cloud non conosciuti possono essere difficili da gestire con il GDPR».

Vittorio Bitteleri, country manager di CommVault

Poi ci sono i dati cloud che si conoscono. O che si pensa di conoscere, per essere più precisi.

Il cloud pubblico è utilizzato dalle aziende per archiviare le informazioni principali, farne delle copie offsite, conservarli e collaborare, oltre ad eseguire le applicazioni. Molte email aziendali sono state spostate nel cloud.

«Sfortunatamente abbiamo visto numerose aziende trasferire i dati nel cloud e affermare che dopo averlo fatto non è più un loro problema - spiega Bitteleri -. Si tratta di un atteggiamento per certi versi preoccupante».

Innanzitutto, spiega il manager, non gestendo il ciclo di vita dei dati nel cloud, ci saranno fatture più elevate per il cloud, oltre a essere a rischio in ottica GDPR. Inoltre, il fornitore di servizi cloud (nella maggior parte dei casi) manterrà i dati disponibili, ma non il backup.

Come parte del modello di responsabilità condivisa degli accordi sul cloud, i dati rimangono sotto la responsabilità dell’azienda dal punto di vista di backup e GDPR.

Alcuni provider cloud pubblici offriranno servizi aggiuntivi per queste aree, ma spesso solo per i dati contenuti nella propria infrastruttura, lasciando le aziende sguarnite – almeno parzialmente - in caso di cloud ibrido.

In questi casi, la domanda da porsi è sempre la stessa: avete verificato il contratto con i fornitori di servizi cloud?

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato sulle novità tecnologiche iscriviti alla newsletter gratuita.

LASCIA UN COMMENTO

Inserisci il tuo commento
Inserisci il tuo nome