Cloud: come proteggere i dati ‘per non cadere dalle nuvole’. Dal Garante Privacy una miniguida per imprese e PA

di |

Manca ancora un quadro normativo aggiornato che tenga conto di tutte le novità introdotte dal cloud e sia in grado di offrire adeguate tutele.

Italia


Cloud

Il mondo delle imprese e della pubblica amministrazione sta attraversando un periodo di intensa innovazione guidata da un nuovo tipo di tecnologie e di modalità di fruizione dei servizi: il cloud computing.

Questo termine, spiega il Garante Privacy, è diventato talmente diffuso da essere utilizzato, a volte anche in modo inappropriato, per qualunque  tipo di prodotto o servizio ICT.

Le cosiddette “nuvole informatiche” offrono una serie di opportunità in termini di efficienza e risparmio, ma possono comportare criticità e costi aggiuntivi di cui è bene tener conto”.

 

Il Garante per la protezione dei dati personali, per facilitare l’attività di aggiornamento e innovazione di imprenditori e amministratori pubblici, ha deciso di realizzare una miniguida intitolata “Cloud Computing – Proteggere i dati per non cadere dalle nuvole“, pensata non solo per gli esperti del settore, ma anche per coloro che sono interessati alla comprensione e alla potenziale adozione di queste nuove tecnologie.

L’Autorità sottolinea che “prima di esternalizzare la gestione di dati e documenti o adottare nuovi modelli organizzativi è, infatti, necessario porsi alcune domande, scegliendo con cura la soluzione più sicura per le attività istituzionali o per il proprio business”.

 

Il vademecum predisposto dal Garante è corredato da esempi concreti e da un decalogo con spunti operativi e di riflessione. Imprese e PA potranno utilizzare questo strumento per cominciare ad approfondire i potenziali rischi del cloud, decidere quali tipi di dati – anche personali o addirittura sensibili – trasferire e per quali scopi. Una scelta consapevole consentirà di “avvicinarsi alle nuvole” senza rischiare di cadere.

 

La miniguida è suddivisa in cinque capitoli: “Cos’è il cloud computing”; “Nuvole diverse per esigenze diverse”; “Il quadro giuridico”; “Valutazione dei rischi, dei costi e dei benefici”; “Il decalogo per una scelta consapevole”.

 

Nei primi due capitoli si approfondiscono i principali tipi di “nuvole” e le modalità di utilizzo. Il terzo offre una panoramica dei principali riferimenti normativi del settore, con particolare riguardo alla protezione dei dati. Gli ultimi due capitoli propongono i principali criteri per valutare costi e benefici dell’adozione del cloud e una serie di consigli concreti per effettuare le scelte più opportune.

 

La tecnologia cloud procede molto più velocemente dell’attività del legislatore, non solo in Italia ma in tutto il mondo.

Manca ancora un quadro normativo aggiornato – in tema di privacy, ma anche in ambito civile e penale – che tenga conto di tutte le novità introdotte dal cloud computing e sia in grado di offrire adeguate tutele nei riguardi delle fattispecie giuridiche connesse all’adozione di servizi distribuiti di elaborazione e di conservazione dati.

 

Basti pensare, ad esempio, che la normativa europea sulla protezione dei dati risale al 1995. Alcune utili novità per il settore delle telecomunicazioni, che avranno un indubbio impatto anche sul cloud, sono state introdotte dal cosiddetto “pacchetto Telecom“: in particolare dalla direttiva 136/2009 – attualmente in corso di recepimento da parte degli Stati membri dell’Ue – che modifica la direttiva sulla privacy nelle comunicazioni elettroniche del 2002 (Leggi Articolo Key4biz).

 

Fra le misure che entreranno in vigore con il nuovo quadro giuridico è previsto anche l’obbligo per le società telefoniche e gli Internet provider di notificare alle competenti Autorità nazionali e, in determinati casi, agli utenti, tutte le violazioni di sicurezza che comportino la distruzione, la perdita o la diffusione indebita di dati personali trattati nell’ambito della fornitura del servizio.

 

Un ulteriore importante cambiamento per tutto il settore delle comunicazioni elettroniche, e del cloud computing in particolare, dovrebbe avvenire entro il 2014, con l’approvazione del nuovo Regolamento generale sulla protezione dei dati (Com 2012 11 def) proposto dalla Commissione Europea.

Il nuovo Regolamento introdurrà identiche regole in Europa e nei confronti di Stati terzi (riscrivendo quindi anche il Codice della privacy italiano), e in questo senso dovrebbe contribuire a rendere meno complesso e rischioso l’utilizzo di servizi cloud. Una delle importanti innovazioni di questa riforma riguarderà l’estensione dell’obbligo di notifica delle violazioni di sicurezza che riguardino dati personali a tutti i titolari del trattamento dati come, ad esempio, banche, assicurazioni, Asl, enti locali.

Quando previsto, le persone interessate saranno quindi informate senza ritardo della perdita o del furto dei loro dati.

 

In attesa di una normativa nazionale e internazionale aggiornata e uniforme, che permetta di governare il fenomeno senza rischiare di penalizzare l’innovazione e le potenzialità di sviluppo delle “nuvole” informatiche, è necessario, secondo il Garante Privacy, che le imprese e la pubblica amministrazione, incluse tra l’altro le cosiddette “centrali di committenza” (soggetti che effettuano acquisti per una pluralità di pubbliche amministrazioni), prestino particolare attenzione ai rischi connessi all’adozione dei servizi di cloud computing, anche in relazione agli aspetti di protezione dei dati personali.

 

La pubblica amministrazione o l’azienda, “titolare del trattamento” dei dati personali, che trasferisce del tutto o in parte il trattamento sulle “nuvole”, deve procedere a designare il fornitore dei servizi cloud “responsabile del trattamento”.

Questo significa che il cliente dovrà sempre prestare molta attenzione a come saranno utilizzati e conservati i dati personali caricati sulla “nuvola”: in caso di violazioni commesse dal fornitore, anche il titolare sarà chiamato a rispondere dell’eventuale illecito.

Il cliente di ridotte dimensioni, come una piccola impresa o un ente locale, potrebbe tuttavia incontrare difficoltà nel contrattare adeguate condizioni per la gestione dei dati spostati “sulla nuvola”. Anche in questo caso, non sarà però sufficiente, per giustificare una eventuale violazione, affermare di non avere avuto possibilità di negoziare clausole contrattuali o modalità di controllo più stringenti. Il cliente di servizi cloud, infatti, può sempre rivolgersi ad altri fornitori che offrono maggiori garanzie, in particolare per il rispetto della normativa sulla protezione dei dati. Il Codice della privacy prevede,tra l’altro, che il titolare eserciti un potere di controllo nei confronti del responsabile del trattamento (in questo caso il cloud provider), verificando la corretta esecuzione delle istruzioni impartite in relazione ai dati personali trattati.

 

Il Codice della privacy definisce regole precise per il trasferimento dei dati personali fuori dall’Unione europea e vieta, in linea di principio, il trasferimento “anche temporaneo” di dati personali verso uno Stato extraeuropeo, qualora l’ordinamento del Paese di destinazione o di transito dei dati non assicuri un adeguato livello di tutela. Questa evenienza può verificarsi frequentemente nel caso in cui si decida di usufruire di servizi di public cloud invece che di modalità private o ibride. Per le sue valutazioni il titolare del trattamento (in genere chi acquista servizi cloud) dovrà quindi tenere in debito conto anche il luogo dove vengono conservati i dati e quali sono i trattamenti previsti all’estero.

Il trasferimento di dati verso gli Stati Uniti, ad esempio, può essere facilitato nel caso in cui il cloud provider aderisca a programmi di protezione dati come il cosiddetto Safe Harbor (letteralmente “porto sicuro”), un accordo bilaterale Ue-Usa che definisce regole sicure e condivise per il trasferimento dei dati personali effettuato verso aziende presenti sul territorio americano.

 

Le limitazioni per il trasferimento dati all’estero incidono anche sugli spostamenti “infragruppo” di una multinazionale. In questo caso, la presenza di forti “norme vincolanti d’impresa” (binding corporate rules) a tutela dei dati personali può consentire l’eventuale trasferimento dei dati nel rispetto della privacy degli interessati.

 

Il titolare del trattamento deve assicurarsi che siano adottate misure tecniche e organizzative volte a ridurre al minimo i rischi di distruzione o perdita anche accidentale dei dati, di accesso non autorizzato, di trattamento non consentito o non conforme alle finalità della raccolta, di modifica dei dati in conseguenza di interventi non autorizzati o non conformi alle regole. Il cliente dovrebbe, ad esempio, accertarsi che i dati siano sempre “disponibili” (che si possa cioè sempre accedere ai dati) e “riservati” (che l’accesso cioè sia consentito solo a chi ne ha diritto).

 

Per garantire che i dati siano al sicuro, non sono importanti solo le modalità con cui sono conservati, ma anche quelle con cui sono trasmessi (ad esempio utilizzando tecniche di cifratura).

 

I soggetti pubblici e le imprese che decidono di avvalersi di servizi cloud per gestire i dati personali dei loro utenti o clienti non devono dimenticare che il Codice della privacy attribuisce agli interessati (le persone a cui si riferiscono i dati) precisi diritti. Ad esempio, l’interessato ha diritto di conoscere quali siano i dati che lo riguardano in possesso dell’amministrazione pubblica o dell’impresa, per quale motivo siano stati raccolti e come siano elaborati.

Può richiedere una copia intelligibile dei dati personali che lo riguardano, il loro aggiornamento, la rettifica o l’integrazione. In caso di violazione di legge, può esigere anche il blocco, la cancellazione o la trasformazione in forma anonima di queste informazioni.

Il cliente del servizio cloud, in qualità di titolare del trattamento dati, per soddisfare queste richieste, deve poter mantenere un adeguato controllo non solo sulle attività del fornitore, ma anche su quelle degli eventuali sub fornitori dei quali il cloud provider potrebbe avvalersi. (r.n.)

 

Per maggiori informazioni:

 

Consulta il Vademecum (pagina doppia) (pagina singola)