L’ultima relazione sul trattamento dei dati e della privacy si è soffermata anche sul cloud computing. Gli 11 suggerimenti da tenere a mente.
In occasione dell’ultima relazione annuale, il Garante della Privacy si è soffermato anche sul Cloud computing; una testimonianza di come il cloud non sia una moda passeggera ma una modalità di gestione dell’IT da valutare con attenzione.
Nel documento dedicato al cloud, è importante sottolineare come il Garante ponga l’accento sulla responsabilità dell’impresa: “è bene evidenziare come l’adozione di servizi esternalizzati non esime le imprese e le amministrazioni pubbliche che se ne avvalgono per la gestione del proprio patrimonio informativo dalle responsabilità che vengono loro attribuite, in particolare, dalla disciplina in materia di protezione dei dati personali.”.
E ancora: “I trattamenti di dati personali richiedono sempre un’attenta ponderazione dei rischi legati alla sicurezza e alla fruibilità delle informazioni, indipendentemente dalle modalità di trattata mento. È quindi opportuno, anche nel caso del cloud computing, razionalizzarne le peculiarità al fine di individuare i potenziali rischi insiti in tali servizi e quindi poter adottare efficaci e specifiche misure di prevenzione”.
Non a caso il Garante ha voluto anche fornire alcuni consigli per un utilizzo consapevole dei servizi cloud. Vediamoli nel dettaglio:
- Ponderare prioritariamente rischi e benefici dei servizi offerti
Prima di optare per l’adozione di servizi di cloud computing, è opportuno che l’azienda verifichi la quantità e la tipologia di dati che intende esternalizzare, valutando i rischi e il livello di riservatezza di questi dati. L’analisi dovrà evidenziare l’opportunità o meno di usufruire dei servizi cloud (o di limitarli ad alcune aree). - Effettuare una verifica sull’affidabilità del fornitore
Prima di migrare ai sistemi virtuali i dati più importanti, l’azienda deve accertare la serietà del provider: stabilità societaria,referenze, garanzie sulla confidenzialità dei dati e sulle misure adottate per garantire la continuità operativa. Da valutare inoltre la qualità dei servizi di connettività del fornitore - Privilegiare i servizi che favoriscono la portabilità dei dati
Il Garante consiglia di ricorrere a servizi di cloud computing nelle modalità SaaS, PaaS o IaaS in un’ottica lungimirante, vale a dire privilegiando servizi basati su formati e standard aperti, che facilitino la transizione da un sistema cloud ad un altro, anche se gestiti da fornitori diversi. - Assicurarsi la disponibilità dei dati in caso di necessità
Il Garante raccomanda di mantenere una copia di quei dati (anche se non personali) dalla cui perdita o indisponibilità potrebbero conseguire danni economici. Nel caso di aziende e pubbliche amministrazioni che raccolgono e detengono informazioni di terzi, il titolare del trattamento dei dati i dovrà comunque provvedere al backup dei dati allocati nel cloud. - Selezionare i dati da inserire nel cloud
I dati più sensibili (sanitari, genetici, reddituali, biometrici,quelli coperti da segreto industriale) vanno analizzati con “responsabile attenzione”, valutando l’opportunità/rischio di trasferirli sul cloud. - Non perdere di vista i dati
L’azienda deve essere consapevole di come il cloud provider gestisca i dati: rimangano nella disponibilità fisica del fornitore oppure questi svolge un ruolo di intermediario? - Informarsi su dove risiederanno, concretamente i dati
Sapere in quale Stato risiedono fisicamente i server sui quali vengono allocati i dati, è determinante per stabilire la giurisdizione e la legge applicabile nel caso di controversie tra l’utente e il fornitore del servizio. Difatti, la presenza fisica dei server in uno Stato comporterà per l’autorità giudiziaria nazionale la possibilità di dare esecuzione a ordini di esibizione, di accesso o di sequestro, ove sussistano i presupposti giuridici in base al singolo ordinamento nazionale. Non è, quindi, indifferente per l’utente sapere se i propri dati si trovino in un server in Italia, in Europa o in un imprecisato Paese extraeuropeo. - Attenzione alle clausole contrattuali
Una corretta e oculata gestione contrattuale può supportare sia l’utente, sia il fornitore nella definizione delle modalità operative e dei parametri di valutazione del servizio, oltre a individuare i parametri di sicurezza necessari per la tipologia di attività gestita. In particolare vanno considerati con attenzione obblighi e responsabilità in caso di perdita, smarrimento dei dati custoditi nella nuvola e di conseguenze in caso di decisione di passaggio ad altro fornitore. - Verificare le politiche di persistenza dei dati legate alla loro conservazione
L’azienda dovrebbe accertare il termine ultimo, successivo alla scadenza del contratto, oltre il quale il fornitore cancella definitivamente i dati che gli sono stati affidati. I dati dovranno essere sempre conservati nel rispetto delle finalità e delle modalità concordate, escludendo duplicazioni e comunicazioni a terzi. - Esigere e adottare opportune cautele per tutelare la confidenzialità dei dati
Si raccomanda di privilegiare i fornitori che utilizzano tecniche di trasmissione sicure, tramite connessioni cifrate, coadiuvate da meccanismi di identificazione dei soggetti autorizzati all’accesso, la cui complessità sia commisurata alla criticità dei dati. - Formare adeguatamente il personale
Il personale preposto al trattamento di dati attraverso i servizi cloud dovrebbe essere sottoposto a specifici interventi formativi. allo scopo di mitigare rischi per la protezione dei dati derivanti non solo da eventuali comportamenti sleali o fraudolenti, ma anche causati da errori materiali, leggerezza o negligenza.
