In un documento pubblicato sul suo sito, il Garante per la privacy presenta un vademecum per aziende e pubbliche amministrazioni, con l’obiettivo di fissare alcun punti fondamentali per l’utilizzo dei servizi in the cloud.
Nel dibattito sulla sicurezza dei servizi “in the cloud” si è inserito anche il Garante Privacy che ha pubblicato un “vademecum” contenente una serie di indicazioni valide per tutti gli utenti ma, in particolare, per imprese ed amministrazioni pubbliche per un utilizzo più “ragionato” degli strumenti disponibili “sulla nuvola”.
“L’obiettivo è quello di far riflettere su alcuni importanti aspetti giuridici, economici e tecnologici in un settore in velocissima espansione”, si legge nella presentazione dell’opuscolo “e di promuovere un utilizzo corretto delle nuove modalità di erogazione dei servizi informatici”.
Il Garante riconosce come il “cloud computing” possa offrire soluzione concrete per gestire molteplici attività con efficienza e possibili risparmi. L’adozione di tali strumenti, tuttavia, presenta “criticità e rischi per la privacy di cui è bene tenere conto. Prima di esternalizzare la gestione di dati e documenti o adottare nuovi modelli organizzativi è necessario porsi alcune domande, scegliendo con cura la soluzione più sicura per le attività istituzionali o per il proprio business”.
Molto interessante è la parte del “vademecum” (scaricabile, in formato PDF, dal sito dell’Authority) che offre un excursus sul quadro normativo nazionale ed internazionale.
Si ammette, in primis, che le disposizioni legislative sono veramente molto vecchie: la normativa europea sulla tutela dei dati personali risale addirittura al 1995, un’era geologica quando si parla di tecnologie informatiche e, soprattutto, di Internet. A parte il “pacchetto Telecom”, del quale si è parlato anche nelle scorse ore, le prime vere novità in materia di tutela dei dati dovrebbero arrivare solo nel 2014 quando sarà approvato un Regolamento europeo il quale supererà l’attuale Codice della Privacy italiano.
Sintanto che il nuovo Regolamento non entrerà in vigore, il Garante spiega che l’azienda o la pubblica amministrazione ““titolare del trattamento” dei dati
personali, che trasferisce del tutto o in parte il trattamento sulle “nuvole”, deve procedere a designare il fornitore dei servizi cloud “responsabile del trattamento”. Questo significa che il cliente dovrà sempre prestare molta attenzione a come saranno utilizzati e conservati i dati personali caricati sulla “nuvola”: in caso di violazioni commesse dal fornitore, anche il titolare sarà chiamato a rispondere dell’eventuale illecito. Secondo il Garante non saranno scusabili nemmeno le realtà più piccole qualora si giustificassero adducendo come scusa l’impossibilità di raggiungere un responsabile del servizio cloud con lo scopo di negoziare clausole contrattuali o modalità di controllo dei dati. “Il cliente di servizi cloud, infatti, può sempre rivolgersi ad altri fornitori che offrono maggiori garanzie, in particolare per il rispetto della normativa sulla protezione dei dati”, aggiunge il Garante.
Il “vademecum” del Garante Privacy chiarisce che il Codice vieta di trasferire dati personali fuori dall’Unione Europea, anche a titolo temporaneo, “qualora l’ordinamento del Paese di destinazione o di transito dei dati non assicuri un adeguato livello di tutela. (…) Per le sue valutazioni il titolare del trattamento (in genere chi acquista servizi cloud) dovrà quindi tenere in debito conto anche il luogo dove vengono conservati i dati e quali sono i trattamenti previsti all’estero”. La parola chiave da tenere presente è “Safe Harbor” (porto sicuro, in italiano): il trasferimento dei dati verso gli Stati Uniti può essere facilitato nel caso in cui il cloud provider aderisca ad un tale programma di protezione dei dati. Il “Safe Harbor” è infatti un accordo bilaterale fra Unione Europea e Stati Uniti che definisce regole sicure e condivise per il trasferimento dei dati personali effettuato verso aziende
presenti sul territorio americano.
Spetterà comunque sempre al titolare del trattamento dati verificare che le informazioni siano sempre accessibili, riservate e che siano assicurati i diritti di coloro che le conferiscono.
“È vero che il cliente spesso non ha capacità di negoziare una riformulazione dei “term of use” proposti da chi offre i servizi: può però scegliere tra differenti provider”.
Prima di rivolgersi ad un cloud provider, quindi, il Garante consiglia di esaminare attentamente le misure di sicurezza adottate dal fornitore del servizio, di stabilire chi è il reale fornitore del servizio che si sta acquisendo, di raccogliere informazioni sulla disponibilità del servizio e sui piani di emergenza, sull’eventualità che i dati possano andare perduti, sulla garanzie di riservatezza, sulla collocazione dei server, sulla possibilità di migrare altrove tutte le informazioni o parte di esse, sulle eventuali assicurazioni danni.
