Cloud e GDPR

‘Cosa cambia per i Cloud provider con il GDPR’. Intervista a Valerio Vertua (CSA Italy)

di |

Intervista a Valerio Vertua (CSA Italy): 'Nonostante il GDPR non citi mai il Cloud, lo prende in considerazione indirettamente in numerosi punti proprio perché anche i cloud provider devono rispettare i princìpi chiave del regolamento, come la privacy by default e by design, l'accountability e indicare il responsabile del trattamento'.

Il Gdpr, pienamente, efficace dal 25 maggio scorso è il regolamento di riferimento in Europa sulla protezione dei dati personali e nonostante non faccia, esplicitamente, riferimento al Cloud anche quest’infrastruttura deve esserne, obbligatoriamente, conforme, come ci spiega Valerio Vertua, cofondatore e vicepresidente di CSA Italy, l’associazione che si occupa della sicurezza sul cloud.

Key4biz. Il Gdpr, pienamente, efficace dal 25 maggio cosa prevede per il cloud?

Valerio Vertua. Il Regolamento Ue non lo cita mai, ma lo prende in considerazione indirettamente in numerosi punti proprio perché anche i cloud provider devono rispettare:

  • Il principio di privacy by default e by design, introdotto dall’articolo 25 del Gdpr, che obbliga i provider ad offrire un’infrastruttura in grado di tutelare i dati personali dei clienti già nella fase di progettazione e per impostazione predefinita.
  • Il principio dell’accountability, il titolare dei dati deve scegliere attentamente il cloud provider perché da tale scelta ne deriva una responsabilità da “rendicontare” al Garante Privacy in caso di controlli, violazione o abusi.
  • I dettami sull’informativa, per esempio va dichiarato se ci avvale di un cloud provider extra Ue, ovvero un provider che ha server o sede legale in Paesi extra UE; un’azienda può, infatti, essere anche italiana, ma con un’infrastruttura dislocata fuori dei confini europei.
  • Indicare il responsabile del trattamento. Con il Gdpr pienamente efficace dal 25 maggio scorso ho iniziato a notare che i principali cloud provider, Google Drive, Dropbox, Microsoft, Amazon, ecc… hanno, finalmente, iniziato a prevedere, accanto al contratto di servizio con i clienti, anche il contratto che disciplina il loro ruolo di Responsabile del trattamento dei dati, come prevede l’articolo 28 del Gdpr.

Key4biz. Un cloud provider come può mostrare al cliente di essere 100% conforme al Gdpr?

Valerio Vertua. Oltre a quanto già detto, il Titolare dei dati dovrebbe verificare, in caso di cloud provider Usa, se questo applichi l’accordo EU-U.S. Privacy Shield, un livello adeguato di protezione dei dati personali trasferiti dall’Unione europea ad organizzazioni residenti negli Stati Uniti. Allo stesso tempo si deve valutare, in linea più generale, l’adozione delle misure di sicurezza, perché fondamentalmente il cloud si può definire, provocatoriamente, come “il computer di un altro”, per cui occorre prestare attenzione ad usarlo in modo consapevole rispettando appunto le norme sulla protezione dei dati previsti dal GDPR.

Key4biz. In Italia esiste una normativa di riferimento sul cloud?

Valerio Vertua. Non esiste, al momento, una normativa specifica.

Key4biz. E la Pa, per esempio, quale cloud sceglie se non vi è una normativa di riferimento?

Valerio Vertua. A mio parere, il trend è il cloud ibrido. Ossia un cloud con una componente pubblica, per esempio dati immagazzinati nelle infrastrutture dei più noti player del settore, e altri dati, quelli più “delicati”, archiviati o gestiti in cloud privati. Penso che il cloud ibrido sia l’unica vera soluzione praticabile dalla Pa perché affidarsi esclusivamente a un cloud pubblico potrebbe comportare un alto rischio di vulnerabilità.

Key4biz. Di cosa si occupa CSA Italy?

Valerio Vertua. CSA Italy, una associazione no-profit, è una costola dell’associazione internazionale di Cloud Security Alliance, e si occupa della sicurezza sul cloud. Realizziamo report e linee guida sul tema (Cloud Security Guidance) con lo scopo di promuovere l’utilizzo di buone pratiche per la sicurezza del cloud computing. Prossimamente CSA punta a presentare ai Garanti privacy europei un codice di condotta sul cloud e sta ultimando l’aggiornamento del PLA (Privacy Level Agrrement) ovvero un documento-guida che suggerisce ai cloud provider extra UE, ma anche UE, come essere conformi al Gdpr. Inoltre noi, come CSA Italy, ci dedichiamo ad attività di ricerca, alla formazione e alla sensibilizzazione nell’utilizzo il più sicuro possibile di tutte le forme di cloud computing. Sottolineo il “più sicuro possibile” perché non esiste il cloud sicuro al 100%. Va sempre considerato sicuro in base a quali possano essere le potenziali minacce che vado ad analizzare rispetto al trattamento che viene operato.

Key4biz. E lei per il suo studio a quale cloud provider si è affidato?

Valerio Vertua. Ho scelto una soluzione europea (ubicata in Svizzera con server ubicati all’interno dell’UE) che mi garantisca la cifratura end-to-end in modo tale che il cloud provider non possa conoscere il contenuto dei miei dati, in più si accede attraverso la doppia autenticazione: oltre a user e password occorre digitare un codice che può arrivare all’utente via Sms, meglio se via email o in modo ancora più sicuro attraverso la generazione mediante un’apposita app; in questo ultimo caso, il codice OTP (One Time Password) cambia a ogni accesso e dopo il suo utilizzo non è più valido. In sostanza si tratta di un’autentificazione a due passaggi: vero, fa perdere alcuni secondi di tempo, ma almeno adotto, a costo zero, una misura tecnica organizzativa per proteggere meglio il trattamento dei dati.