Stante l’attuale legislazione, il cloud non è conforme alle normative europee. E nel corso dei prossimi mesi, partiranno le ispezioni da parte del Garante. La tesi di Luca Bolognini, Presidente Istituto Italiano Privacy.
Che il cloud sia ormai passato da una fase embrionale a una prassi operativa è oramai assodato. Che la sicurezza e la compliance siano i temi che più destano preoccupazioni fra i CIO e i security manager è fatto noto.
Meno noto è invece il fatto che il cloud sia per molti aspetti una pratica “illecita”, come ha spiegato l’avvocato Luca Bolognini, Presidente dell’Istituto Italiano privacy, nel corso di una tavola rotonda nell’ambito dell‘IDC Security Conference 2011. E non è forse un caso che il Garante nei primi 6 mesi del 2011 farà partire le ispezioni nel settore del cloud computing (“probabilmente si tratta di ispezioni conoscitive“, dice Bolognini).
“Sono convinto che il cloud computing sia una tecnologia vincente che cambierà alla fine le norme a livello comunitario e di singoli Stati. Ma oggi per come si sta disegnando e attuando il cloud, stiamo parlando di un qualcosa che è per molti versi illecito”. Per dirla con maggiore chiarezza, oggi il cloud computing non è conforme alle normative europee. E questo sotto vari aspetti.
Il primo aspetto riguarda la filiera delle responsabilità. Come noto, il titolare del trattamento dei dati deve nominare direttamente ciascun responsabile esterno. E tutti hanno ben chiaro quanti siano i soggetti che interagiscono all’interno di un servizio cloud, soggetti che solitamente non sono nominati responsabili non essendo tutti identificabili.
“ Il problema – spiega Bolognini – è che in Europa non è concepita oggi la figura del super-responsabile”, che possa farsi carico di questa responsabilità.
Il secondo aspetto riguarda le misure di sicurezza. Secondo Bolognini, ci sono situazioni in cui il cloud risulta inidoneo per questioni di diritto e di privacy sul lavoro.
“Paradossalmente, ci possono essere troppi vincoli di sicurezza decisi da fornitore cloud e cliente. Quando si parla di privacy e protezione dei dati la sicurezza non va intesa solo come sicurezza protettiva dagli abusi, ma come sicurezza intelligente, flessibile, adattabile”.
Terzo punto, perdita dei dati. In Europa c’è una buona normativa sulla perdita dei dati nei servizi di telecomunicazione, che per certi aspetti riguarda il cloud. “Arriverà una normativa che, speriamo imporrà le notificazioni di perdita dei dati anche ai cloud provider”, spiega Bolognini.
Infine, c’è l’enorme questione dell’estero. “I dati personali che risiedono all’estero sono il cuore pulsante del dramma legale del cloud, insieme alla filiera di responsabilità – continua Bolognini -. Col cloud, noi stiamo portando mole di dati all’estero, spesso in luoghi diversi e questo non è normalmente consentito. Servirebbe il consenso dei diretti interessati, ma è una pratica inattuabile. Inoltre le binding corporate rules e il Safe Harbor hanno orizzonti limitati, mentre le clausole standard spesso sono difficili da applicare nella filiera cloud”.
La tecnologia insomma si scontra con una normativa obsoleta che va ridiscussa. “Fermo restando che quella è la direzione, dobbiamo spingere per una normativa più realistica – conclude Bolognini – Dal controllo pubblicistico, bisogna passare a un controllo privatistico, basato su codici di condotta e su soggetti che si facciano garanti privati”.
In sostanza bisognerebbe creare un network certificato che risponde a determinate regole di condotta e riconosciuto a livello di Commissione Europea, all’interno del quale entrerebbero anche i cloud provider. Questi ultimi sarebbero a tutti gli effetti degli intelligenti Garanti privati: sono loro , al di là di dove risiedono i dati, che si prendono carico della responsabilità della gestione e del trattamento, in virtù di regole di condotta definite e condivise. Ma questa è un’altra storia.
- Mwc 2011: Vmware, il cloud sta bene con i provider
- vCloud Consulting Services, il cloud in meno di 30 giorni
- Il cloud non è per tutte le applicazioni enterprise
- Da VMare un servizio cloud per sgravare le Pmi della gestione dell’IT
- Anche il database Oracle nel cloud di Amazon
- A CA Expo 2011 il protagonista è il cloud computing
