CLOUD COMPUTING PROTEGGERE I DATI PER NON CADERE DALLE NUVOLE - Mini guida per imprese e pubblica amministrazione

Pagina creata da Rachele Cappelli
 
CONTINUA A LEGGERE
CLOUD COMPUTING PROTEGGERE I DATI PER NON CADERE DALLE NUVOLE - Mini guida per imprese e pubblica amministrazione
CLOUD COMPUTING
PROTEGGERE I DATI
PER NON CADERE DALLE NUVOLE

                              Mini guida per imprese
                              e pubblica amministrazione
CLOUD COMPUTING PROTEGGERE I DATI PER NON CADERE DALLE NUVOLE - Mini guida per imprese e pubblica amministrazione
CLOUD COMPUTING
                                PROTEGGERE I DATI
                                PER NON CADERE DALLE NUVOLE
COS’È IL                    4
CLOUD COMPUTING                 Ogni imprenditore, ma anche ogni attento amministratore
                                pubblico, si adopera per offrire, rispettivamente ai propri clienti
                                e ai cittadini, servizi migliori a minor costo. Le tecnologie infor-
NUVOLE DIVERSE              8   matiche, in particolare quelle del cloud computing, garanti-
PER ESIGENZE DIVERSE            scono oggi soluzioni innovative per gestire molteplici attività
                                con efficienza e possibili risparmi. Ma presentano criticità e
IL QUADRO                  12   rischi per la privacy di cui è bene tenere conto. Prima di ester-
GIURIDICO                       nalizzare la gestione di dati e documenti o adottare nuovi
                                modelli organizzativi è necessario porsi alcune domande,
                                scegliendo con cura la soluzione più sicura per le attività isti-
VALUTAZIONE DEI RISCHI,    18   tuzionali o per il proprio business. Con questo vademecum, il
DEI COSTI E DEI BENEFICI        Garante per la protezione dei dati personali intende offrire
                                alcune indicazioni valide per tutti gli utenti, in particolare
                                imprese e amministrazioni pubbliche. L’obiettivo è quello di far
IL DECALOGO PER UNA        24
                                riflettere su alcuni importanti aspetti giuridici, economici e
SCELTA CONSAPEVOLE
                                tecnologici in un settore in velocissima espansione e di
                                promuovere un utilizzo corretto delle nuove modalità di eroga-
                                zione dei servizi informatici.
CLOUD COMPUTING PROTEGGERE I DATI PER NON CADERE DALLE NUVOLE - Mini guida per imprese e pubblica amministrazione
COS’È IL CLOUD.
    COMPUTING.
                      Con il termine cloud computing,             Tutto può essere demandato all’esterno,
                      o semplicemente cloud, ci si riferisce      in outsourcing, e a un costo
                      a un insieme di tecnologie e di modalità    potenzialmente limitato, in quanto
                      di fruizione di servizi informatici         le risorse informatiche necessarie
                      che favoriscono l’utilizzo e l’erogazione   per i servizi richiesti possono essere
                      di software, la possibilità di conservare   condivise con altri soggetti che hanno
                      e di elaborare grandi quantità              le stesse esigenze.
                      di informazioni via Internet.
                      Il cloud offre, a seconda dei casi,
                      il trasferimento della conservazione
                      o dell’elaborazione dei dati dai computer
                      degli utenti ai sistemi del fornitore.
                      Il cloud consente, inoltre, di usufruire
                      di servizi complessi senza doversi
                      necessariamente dotare né di computer
                      e altri hardware avanzati, né di
                      personale in grado di programmare
                      o gestire il sistema.

4                                                                                                           5
CLOUD COMPUTING PROTEGGERE I DATI PER NON CADERE DALLE NUVOLE - Mini guida per imprese e pubblica amministrazione
L’AUTOMOBILE “INFORMATICA”              Opzione 2 – intervento esterno:
    E IL CLOUD PER PROFANI                  si può decidere di acquistare             Con il cloud computing ci troviamo
                                            l’automobile e di portarla in caso        in questa seconda opzione.
    Opzione 1 – tutto in casa:              di necessità da un meccanico              Non parliamo di automobili o altri
    se una persona o una società            di fiducia, di affittarla, di prenderla   mezzi di trasporto ma di servizi
    ha bisogno di un’automobile può         in leasing, di chiamare un taxi o         informatici. Le soluzioni offerte dal
    progettarla, acquistarne le singole     noleggiare una vettura con autista.       cloud generalmente possono essere
    componenti e assemblarle, nonché        La scelta tra queste opzioni è            più flessibili, efficienti, adattabili
    attrezzare all’interno della propria    determinata dal tipo di utilizzo che      ed economiche di quelle sviluppate       Spesso utilizziamo tecnologie cloud
    casa o della propria sede un’officina   si vuole fare dell’autoveicolo, dalla     in-house (in casa propria).              senza neppure saperlo. Alcuni dei più
    con personale specializzato per         frequenza con cui se ne fruisce,          Ma possono comportare il rischio         diffusi servizi di posta elettronica o di
    le riparazioni e la manutenzione.       dalle prestazioni che eventualmente       di una potenziale perdita di controllo   elaborazione testi sono “sulle nuvole”.
                                            si desiderano e, comunque, dalle          sui propri dati.                         Anche molte delle funzioni offerte
                                            risorse economiche a disposizione.                                                 dai cellulari di nuova generazione
                                                                                                                               (i cosiddetti smartphone) sono
                                                                                                                               basate sul cloud: ad esempio quelle
                                                                                                                               che sfruttano la geolocalizzazione
                                                                                                                               consigliandoci i locali o gli esercizi
                                                                                                                               commerciali più vicini, che consentono
                                                                                                                               di ascoltare musica o di accedere
                                                                                                                               a giochi on line, nonché tante altre
                                                                                                                               funzioni e “app”(applicazioni).

6                                                                                                                                                                          7
CLOUD COMPUTING PROTEGGERE I DATI PER NON CADERE DALLE NUVOLE - Mini guida per imprese e pubblica amministrazione
NUVOLE DIVERSE.
PER ESIGENZE.
DIVERSE.
                  Esistono vari tipi di cloud computing,
                  classificati sia in base all’architettura
                  della “nuvola” e alla gestione interna
                  o esterna del trattamento dati, sia in
                  relazione al modello di servizio offerto
                  al cliente. Ogni tipo di cloud ha le sue       puntuale. Le “nuvole private” possono
                  caratteristiche peculiari che dovranno         essere paragonate ai tradizionali “data
                  essere ben valutate dalle società              center” nei quali, però, sono usati degli
                  e dalle pubbliche amministrazioni              accorgimenti tecnologici che permettono
                  che intendono servirsi delle “nuvole”.         di ottimizzare l’utilizzo delle risorse
                                                                 disponibili e di potenziarle agevolmente
                  TIPI DI CLOUD                                  in caso di necessità.

                  Private Cloud                                  Public Cloud
                  La “nuvola privata” è una infrastruttura       Nel caso della “nuvola pubblica”,
                  informatica (rete di computer collegati        l’infrastruttura è di proprietà di un
                  per offrire servizi) per lo più dedicata       fornitore specializzato nell’erogazione
                  alle esigenze di una singola                   di servizi che mette a disposizione
                  organizzazione, ubicata nei suoi locali        di utenti, aziende o amministrazioni i
                  o affidata in gestione ad un terzo (nella      propri sistemi attraverso la condivisione
                  tradizionale forma dell’hosting dei            e l’erogazione via Internet di applicazioni
                  server), nei confronti del quale il titolare   informatiche, di capacità elaborativa e
                  dei dati può esercitare un controllo           di “stoccaggio” dati. La fruizione di tali

                                                                                                               9
CLOUD COMPUTING PROTEGGERE I DATI PER NON CADERE DALLE NUVOLE - Mini guida per imprese e pubblica amministrazione
accanto a servizi acquisiti da cloud          (spazi di memoria, sistemi operativi,         per l’accesso informatico ai documenti,
                                                   pubblici - e i cloud di gruppo (community     programmi di virtualizzazione…),              la rubrica dei contatti e i calendari
                                                   cloud), in cui l’infrastruttura è condivisa   cioè server virtuali remoti che l’utente      condivisi, ma anche ai più avanzati
                                                   da diverse organizzazioni a beneficio         finale può utilizzare in sostituzione o in    servizi di posta elettronica.
                                                   di una specifica comunità di utenti.          affiancamento ai sistemi già presenti nei
     servizi avviene tramite la rete Internet                                                    locali dell’azienda o dell’amministrazione.   Cloud Platform as a Service - PaaS
     e implica il trasferimento dei soli dati o                                                  Tali fornitori sono in genere operatori       (piattaforme software fornite via
     anche dell’attività di elaborazione presso                                                  di mercato specializzati, che dispongono      Internet come servizio)
     i sistemi del fornitore del servizio, il                                                    di un’infrastruttura tecnologica,             Il fornitore offre soluzioni evolute
     quale assume un ruolo importante in                                                         complessa e spesso distribuita                di sviluppo software che rispondono
     ordine all’efficacia delle misure adottate                                                  in aree geografiche diverse.                  alle specifiche esigenze del cliente.
     per garantire la protezione delle                                                                                                         In genere questo tipo di servizi è rivolto a
     informazioni che gli sono state affidate.                                                   Cloud Software as a Service - SaaS            operatori di mercato che li utilizzano per
     Con il cloud pubblico l’utente insieme                                                      (software erogato come servizio               sviluppare e ospitare soluzioni applicative
     ai dati, infatti, cede una parte importante                                                 del cloud)                                    proprie (ad esempio applicativi per la
     del controllo esercitabile su di essi.        TRE MODELLI DI SERVIZI CLOUD                  Il fornitore eroga via Internet una           gestione finanziaria, della contabilità
                                                                                                 serie di servizi applicativi ponendoli        o della logistica), allo scopo di assolvere
     Altre “nuvole”                                Cloud Infrastructure as a Service - IaaS      a disposizione degli utenti finali.           a esigenze interne, oppure per fornire
     Esistono altri tipi di nuvole con             (infrastruttura cloud resa disponibile        Si pensi, ad esempio, ad applicazioni         a loro volta servizi a terzi. Anche nel caso
     caratteristiche miste, quali i cloud          come servizio)                                comunemente usate negli uffici erogate        dei PaaS, il servizio erogato dal fornitore
     ibridi (hybrid cloud) - caratterizzati da     Il fornitore del servizio cloud offre,        in modalità web quali l’elaborazione          limita la necessità per il fruitore di
     soluzioni che prevedono l’utilizzo di         secondo un modello “a consumo”, gli           di fogli di calcolo o di testi, la gestione   doversi dotare internamente di strumenti
     servizi erogati da infrastrutture private     strumenti hardware e software di base         del protocollo e delle regole                 hardware o software specifici o aggiuntivi.

10                                                                                                                                                                                            11
IL QUADRO.
GIURIDICO.
             LA SFIDA INTERNAZIONALE

             La tecnologia cloud procede molto più        di recepimento da parte degli Stati
             velocemente dell’attività del legislatore,   membri dell’Ue – che modifica la
             non solo in Italia ma in tutto il mondo.     direttiva sulla privacy nelle
             Manca ancora un quadro normativo             comunicazioni elettroniche del 2002.
             aggiornato – in tema di privacy, ma          Fra le misure che entreranno in vigore
             anche in ambito civile e penale - che        con il nuovo quadro giuridico è previsto
             tenga conto di tutte le novità introdotte    anche l’obbligo per le società telefoniche
             dal cloud computing e sia in grado           e gli Internet provider di notificare
             di offrire adeguate tutele nei riguardi      alle competenti Autorità nazionali e,
             delle fattispecie giuridiche connesse        in determinati casi, agli utenti, tutte
             all’adozione di servizi distribuiti          le violazioni di sicurezza che comportino
             di elaborazione e di conservazione dati.     la distruzione, la perdita o la diffusione
             Basti pensare, ad esempio, che               indebita di dati personali trattati
             la normativa europea sulla protezione        nell’ambito della fornitura del servizio.
             dei dati risale al 1995.                     Un ulteriore importante cambiamento
             Alcune utili novità per il settore delle     per tutto il settore delle comunicazioni
             telecomunicazioni, che avranno un            elettroniche, e del cloud computing in
             indubbio impatto anche sul cloud,            particolare, dovrebbe avvenire entro
             sono state introdotte dal cosiddetto         il 2014, con l’approvazione del nuovo
             “pacchetto Telecom”: in particolare dalla    Regolamento generale sulla protezione
             direttiva 136/2009 - attualmente in corso    dei dati (Com 2012 11 def) proposto

                                                                                                       13
dalla Commissione Europea.                     che permetta di governare il fenomeno         Questo significa che il cliente dovrà
     Il nuovo Regolamento introdurrà                senza rischiare di penalizzare                sempre prestare molta attenzione a
     identiche regole in Europa e nei               l’innovazione e le potenzialità di sviluppo   come saranno utilizzati e conservati i dati
     confronti di Stati terzi (riscrivendo quindi   delle “nuvole” informatiche, è necessario     personali caricati sulla “nuvola”: in caso
     anche il Codice della privacy italiano),       che le imprese e la pubblica                  di violazioni commesse dal fornitore,
     e in questo senso dovrebbe contribuire         amministrazione, incluse tra l’altro          anche il titolare sarà chiamato a
     a rendere meno complesso e rischioso           le cosiddette “centrali di committenza”       rispondere dell’eventuale illecito.
     l’utilizzo di servizi cloud. Una delle         (soggetti che effettuano acquisti per una     Il cliente di ridotte dimensioni, come        tra l’altro, che il titolare eserciti un
     importanti innovazioni di questa riforma       pluralità di pubbliche amministrazioni),      una piccola impresa o un ente locale,         potere di controllo nei confronti del
     riguarderà l’estensione dell’obbligo di        prestino particolare attenzione ai rischi     potrebbe tuttavia incontrare difficoltà       responsabile del trattamento (in questo
     notifica delle violazioni di sicurezza che     connessi all’adozione dei servizi di cloud    nel contrattare adeguate condizioni           caso il cloud provider), verificando
     riguardino dati personali a tutti i titolari   computing, anche in relazione agli            per la gestione dei dati spostati “sulla      la corretta esecuzione delle istruzioni
     del trattamento dati come, ad esempio,         aspetti di protezione dei dati personali.     nuvola”. Anche in questo caso, non sarà       impartite in relazione ai dati personali
     banche, assicurazioni, Asl, enti locali.                                                     però sufficiente, per giustificare una        trattati.
     Quando previsto, le persone interessate        Il titolare e il responsabile                 eventuale violazione, affermare di non
     saranno quindi informate senza ritardo         del trattamento                               avere avuto possibilità di negoziare          Trasferimento dei dati fuori
     della perdita o del furto dei loro dati.       La pubblica amministrazione o l’azienda,      clausole contrattuali o modalità              dell’Unione Europea
                                                    “titolare del trattamento” dei dati           di controllo più stringenti. Il cliente       Il Codice della privacy definisce regole
     NORMATIVA PRIVACY NELLE                        personali, che trasferisce del tutto          di servizi cloud, infatti, può sempre         precise per il trasferimento dei dati
     NUVOLE – SPUNTI DI RIFLESSIONE                 o in parte il trattamento sulle “nuvole”,     rivolgersi ad altri fornitori che offrono     personali fuori dall’Unione europea
                                                    deve procedere a designare                    maggiori garanzie, in particolare per il      e vieta, in linea di principio,
     In attesa di una normativa nazionale           il fornitore dei servizi cloud                rispetto della normativa sulla protezione     il trasferimento “anche temporaneo”
     e internazionale aggiornata e uniforme,        “responsabile del trattamento”.               dei dati. Il Codice della privacy prevede,    di dati personali verso uno Stato

14                                                                                                                                                                                         15
extraeuropeo, qualora l’ordinamento           Le limitazioni per il trasferimento     tecniche e organizzative volte a ridurre      o clienti non devono dimenticare che
     del Paese di destinazione o di transito       dati all’estero incidono anche sugli    al minimo i rischi di distruzione o perdita   il Codice della privacy attribuisce agli
     dei dati non assicuri un adeguato livello     spostamenti “infragruppo” di una        anche accidentale dei dati, di accesso        interessati (le persone a cui si riferiscono
     di tutela. Questa evenienza può               multinazionale.                         non autorizzato, di trattamento non           i dati) precisi diritti. Ad esempio,
     verificarsi frequentemente nel caso in cui    In questo caso, la presenza di forti    consentito o non conforme alle finalità       l’interessato ha diritto di conoscere quali
     si decida di usufruire di servizi di public   “norme vincolanti d’impresa” (binding   della raccolta, di modifica dei dati in       siano i dati che lo riguardano in possesso
     cloud invece che di modalità private o        corporate rules) a tutela dei dati      conseguenza di interventi non autorizzati     dell’amministrazione pubblica
     ibride. Per le sue valutazioni il titolare    personali può consentire l’eventuale    o non conformi alle regole. Il cliente        o dell’impresa, per quale motivo siano
     del trattamento (in genere chi acquista       trasferimento dei dati nel rispetto     dovrebbe, ad esempio, accertarsi che          stati raccolti e come siano elaborati.
     servizi cloud) dovrà quindi tenere            della privacy degli interessati.        i dati siano sempre “disponibili” (che si     Può richiedere una copia intelligibile
     in debito conto anche il luogo dove                                                   possa cioè sempre accedere ai dati)           dei dati personali che lo riguardano,
     vengono conservati i dati e quali sono        Sicurezza dei dati                      e “riservati” (che l’accesso cioè sia         il loro aggiornamento, la rettifica o
     i trattamenti previsti all’estero.            Il titolare del trattamento deve        consentito solo a chi ne ha diritto).         l’integrazione. In caso di violazione di
     Il trasferimento di dati verso gli Stati      assicurarsi che siano adottate misure   Per garantire che i dati siano al sicuro,     legge, può esigere anche il blocco, la
     Uniti, ad esempio, può essere facilitato                                              non sono importanti solo le modalità con      cancellazione o la trasformazione in
     nel caso in cui il cloud provider aderisca                                            cui sono conservati, ma anche quelle          forma anonima di queste informazioni.
     a programmi di protezione dati come                                                   con cui sono trasmessi (ad esempio            Il cliente del servizio cloud, in qualità
     il cosiddetto Safe Harbor (letteralmente                                              utilizzando tecniche di cifratura).           di titolare del trattamento dati, per
     “porto sicuro”), un accordo bilaterale                                                                                              soddisfare queste richieste, deve poter
     Ue-Usa che definisce regole sicure                                                    I diritti dell’interessato                    mantenere un adeguato controllo non
     e condivise per il trasferimento dei                                                  I soggetti pubblici e le imprese che          solo sulle attività del fornitore, ma anche
     dati personali effettuato verso aziende                                               decidono di avvalersi di servizi cloud per    su quelle degli eventuali sub fornitori dei
     presenti sul territorio americano.                                                    gestire i dati personali dei loro utenti      quali il cloud provider potrebbe avvalersi.

16                                                                                                                                                                                      17
VALUTAZIONE DEI RISCHI,.
DEI COSTI E DEI BENEFICI.
                            È opportuno scegliere bene il tipo              conservati o utilizzati documenti così
                            di cloud e il modello di servizio più adatto    preziosi. La voce “risparmio” non deve
                            alle proprie esigenze. In particolare se        quindi essere l’unico fattore di scelta.
                            si decide di adottare il public cloud, dove     I grandi fornitori globali di cloud
                            quasi tutto il processo viene                   computing si contano sulle dita di una
                            esternalizzato e i “nostri” dati più preziosi   mano. Quasi tutte le altre società che
                            sono dislocati “lontano” dal nostro             offrono servizi e infrastrutture tra le
                            controllo diretto. Il concetto di cloud può     “nuvole” si avvalgono infatti delle aziende
                            apparire evanescente, “virtuale”.               leader mondiali. Questa situazione riduce
                            In realtà, con le sue tecnologie si possono     di molto la capacità negoziale di una
                            gestire servizi estremamente concreti,          singola impresa o di una piccola
                            quali la distribuzione dei prodotti di          amministrazione pubblica, rendendo
                            un’azienda, i servizi dell’anagrafe di un       difficile trasformare la flessibilità
                            Comune, le prenotazioni e le analisi            tecnologica in flessibilità contrattuale.
                            mediche, il conto bancario on line e tanto      In questi casi la scelta di consorziarsi
                            altro. Nessuno lascerebbe in deposito il        con altri soggetti pubblici o imprese che
                            proprio portafoglio con i documenti e lo        hanno le medesime esigenze (ad esempio
                            stipendio alla prima persona incontrata al      tramite le associazioni di categoria)
                            mercato. Né affiderebbe il proprio libro        potrebbe garantire una capacità
                            mastro o i contratti stipulati con clienti e    contrattuale maggiore.
                            fornitori a un commercialista sconosciuto       Prima di optare per un certo tipo di
                            che gli promette di risparmiare, senza          “nuvola”, è comunque opportuno che
                            prima essersi accertato su come saranno         l’utente verifichi la quantità e la tipologia

                                                                                                                            19
di dati che intende esternalizzare             SICUREZZA                                      trasformazione” di servizi acquisiti presso
     (ad esempio dati personali, in particolare                                                    altri service provider, diversi dal fornitore
     quelli sensibili, oppure dati critici per      Quali sono le misure di sicurezza              con cui l’utente stipula il contratto
     la propria attività, come progetti riservati   adottate dal fornitore per proteggere          di servizio. L’utente, a fronte di filiere       indisponibile laddove si verifichino
     o coperti da brevetto o segreto                i dati? Il fornitore di servizi cloud spesso   di responsabilità complesse, potrebbe            eventi anomali o guasti che impediscano
     industriale), valutando gli eventuali rischi   dispone di sistemi di protezione contro        non essere messo in grado di sapere              l’accessibilità temporanea ai dati.
     e le possibili conseguenze derivanti           virus, attacchi hacker o altri pericoli        chi, tra i vari gestori dei servizi intermedi,   È quindi necessario valutare bene
     da tale scelta. È vero che il cliente spesso   informatici più efficaci rispetto a quelli     può accedere a determinati dati.                 le conseguenze sulla propria società
     non ha capacità di negoziare una               che potrebbe permettersi il singolo                                                             o ente dell’eventuale interruzione,
     riformulazione dei “term of use” proposti      utente. È comunque necessario                  DISPONIBILITÀ DEL SERVIZIO                       più o meno prolungata, del servizio,
     da chi offre i servizi: può però scegliere     informarsi bene su quali siano le misure       E PIANO DI EMERGENZA                             considerare i costi diretti e indiretti
     tra differenti provider. Anche i fornitori     adottate dal cloud provider. Prima di                                                           dell’inaccessibilità ai dati, e definire
     cloud, comunque, potrebbero trarre             scegliere il partner cloud il cliente deve     In caso di problemi al collegamento              in anticipo con il fornitore cloud un
     nuove opportunità dalla definizione di         sempre considerare che, affidandosi a un       Internet, è comunque possibile                   eventuale piano di emergenza.
     clausole “pro-privacy” o da una eventuale      fornitore remoto, può perdere il controllo     continuare a usufruire dei servizi senza
     preventiva certificazione indipendente sul     diretto ed esclusivo sui propri dati.          l’accesso al cloud? In quanto tempo può          RECUPERO DEI DATI
     rispetto della normativa europea sulla                                                        essere ripristinato il sistema? Esistono
     protezione dei dati personali per i servizi    RUOLI E RESPONSABILITÀ                         piani di emergenza per i servizi                 È possibile che i dati sul cloud possano
     da loro offerti. La risposta ad alcune                                                        essenziali? Il servizio virtuale, in assenza     essere persi o distrutti? Calamità
     domande può aiutare a sviluppare               Chi è il reale fornitore del servizio che      di adeguate garanzie in merito alla              naturali o attacchi informatici potrebbero
     una corretta analisi dell’impatto              si sta acquisendo? Si tratta di una            qualità della connettività di rete, potrebbe     compromettere il funzionamento di
     economico e organizzativo di queste            singola società o di un consorzio di           occasionalmente risultare degradato in           alcuni data center. È particolarmente
     tecnologie all’interno di un’impresa           imprese? Il servizio prescelto potrebbe        presenza di attacchi informatici, di elevati     importante individuare possibili
     o di una pubblica amministrazione.             essere il risultato finale di una “catena di   picchi di traffico o addirittura                 procedure di recupero dei dati

20                                                                                                                                                                                               21
e quantificare l’impatto economico           dell’Unione europea? L’identificazione           MIGRAZIONE                                    a proprio vantaggio con la certezza
     e organizzativo dell’eventuale perdita       del luogo in cui i dati sono conservati                                                        che il cliente - considerata l’impossibilità
     o cancellazione di dati presenti             o elaborati ha riflessi immediati sia            La tecnologia utilizzata dal fornitore        pratica di trasferire agevolmente
     solo sul cloud.                              sulla normativa applicabile in caso di           di cloud è di tipo “proprietario”? I dati     i dati presso un altro fornitore
                                                  contenzioso tra il cliente e il fornitore, sia   possono essere esportati facilmente?          e di recedere dal servizio - non potrà
     CONFIDENZIALITÀ                              in relazione alle disposizioni nazionali che     L’adozione da parte del fornitore del         far altro che accettarle.
                                                  disciplinano il trattamento, l’archiviazione     servizio di tecnologie proprie può, in
     Esistono garanzie di riservatezza per i      e la sicurezza dei dati.                         taluni casi, rendere complessa per            ASSICURAZIONE SUL DANNO
     nostri dati nel caso in cui un concorrente   La conoscenza di questi elementi                 l’utente la migrazione di dati e
     condivida gli stessi servizi cloud?          garantirà un rapporto più trasparente tra        documenti da un sistema cloud ad un           Nel caso in cui si accerti una violazione
     I fornitori custodiscono dati di singoli     il cliente e il fornitore di cloud computing.    altro o lo scambio di informazioni con        o la perdita dei dati, il fornitore
     e di organizzazioni che potrebbero avere     È poi necessario non dimenticare che la          soggetti che utilizzino servizi cloud di      garantisce un pronto risarcimento
     interessi ed esigenze differenti o persino   normativa sulla privacy, al fine di tutelare     fornitori differenti, ponendo quindi a        del danno? Le attuali incertezze
     obiettivi contrastanti e in concorrenza.     le persone interessate, prevede che i dati       rischio la portabilità o l’interoperabilità   normative possono rendere difficile
     È quindi opportuno valutare le garanzie      possano essere “esportati” in Paesi fuori        dei dati. Questa evenienza potrebbe dare      e oneroso riuscire a ottenere un
     offerte a tutela della confidenzialità       dall’Unione europea solo in precisi casi         luogo a politiche commerciali poco            adeguato risarcimento per i danni subiti
     delle informazioni trasferite sul cloud.     e quando sia offerta una protezione              trasparenti. In un primo momento,             in seguito a violazioni, a perdita di dati,
                                                  adeguata rispetto a quella prevista dalla        il fornitore potrebbe ad esempio              a interruzione anche temporanea
     COLLOCAZIONE DEI SERVER                      legislazione comunitaria. Un servizio            presentare al cliente un’offerta di servizi   del servizio cloud.
                                                  cloud potrebbe quindi celare dei costi           cloud economicamente vantaggiosa e            La presenza di un’assicurazione o di
     In quale Stato sono conservati i dati        extra imprevisti, determinati dalla ridotta      con adeguate garanzie a protezione dei        procedure semplificate per la risoluzione
     caricati sulla “nuvola”? È possibile         capacità di controllo sui propri dati            dati. In un secondo momento, una volta        di controversie, anche internazionali, può
     scegliere di usufruire di server collocati   o da più probabili contenziosi legali            acquisito il cliente, potrebbe invece         sicuramente essere un valore aggiunto
     solo in territorio nazionale o in Paesi      nazionali e internazionali.                      cambiare le condizioni del contratto          per utenti di piccole dimensioni.

22                                                                                                                                                                                              23
IL DECALOGO.
PER UNA SCELTA.
CONSAPEVOLE.       1                                             le caratteristiche qualitative dei servizi
                  EFFETTUARE UNA VERIFICA                        di connettività di cui si avvale il fornitore
                  SULL’AFFIDABILITÀ                              in termini di capacità e affidabilità.
                  DEL FORNITORE                                  Sarà utile considerare anche l’impiego
                  Gli utenti dovrebbero accertare                da parte del fornitore di personale
                  l’esperienza, la capacità e l’affidabilità     qualificato, l’adeguatezza delle sue
                  del fornitore prima di trasferire sui          infrastrutture informatiche e di
                  sistemi cloud i propri dati più preziosi,      comunicazione, la disponibilità ad
                  tenendo in considerazione le proprie           assumersi una responsabilità risarcitoria
                  esigenze istituzionali o imprenditoriali, la   (che dovrebbe essere esplicitamente
                  quantità e la tipologia delle informazioni     prevista dal contratto di servizio) in caso
                  che intendono allocare, i rischi e             di eventuali falle nel sistema di sicurezza
                  le misure di sicurezza adottate. Anche         o di interruzioni del servizio.
                  in funzione della tipologia di servizio
                  desiderato, oltre che della criticità dei       2
                  dati, è opportuno che gli utenti valutino:     PRIVILEGIARE I SERVIZI
                  la struttura societaria del fornitore,         CHE FAVORISCONO
                  le referenze, le garanzie di legge offerte     LA PORTABILITÀ DEI DATI
                  in ordine alla confidenzialità dei dati        È consigliabile ricorrere a servizi di cloud
                  e alle misure adottate per assicurare la       computing privilegiando quelli basati su
                  continuità operativa a fronte di eventuali     formati e standard aperti, che facilitino
                  e imprevisti malfunzionamenti.                 la transizione da un sistema cloud ad un
                  Gli utenti dovrebbero valutare, inoltre,       altro, anche se gestiti da fornitori diversi.

                                                                                                                 25
adeguate garanzie sulla disponibilità         4                                           5
                                                    e sulle prestazioni dei servizi cloud.       SELEZIONARE I DATI                           NON PERDERE DI VISTA I DATI
                                                    L’adozione di servizi che non offrono        DA INSERIRE NELLA NUVOLA                     È sempre opportuno che l’utente valuti
                                                    adeguate garanzie di riservatezza            Alcune informazioni, come quelle             accuratamente il tipo di servizio offerto,
                                                    e di continuità operativa può comportare     coperte da segreto industriale               anche verificando se i dati rimarranno
                                                    rilevanti ripercussioni non solo sul         e tutti i dati sensibili (ad esempio         nella disponibilità fisica dell’operatore
                                                    cliente del servizio cloud, ma anche         quelli relativi alla salute, all’etnia,      con cui è stato stipulato il contratto
                                                    sui soggetti a cui si riferiscono i dati     alle opinioni politiche o alle iscrizioni    oppure se questi svolga un ruolo di
     La portabilità dei dati consente               personali trattati, come avviene per         a sindacati), richiedono, per loro           intermediario, ovvero offra un servizio
     di recedere dal servizio senza incorrere       le pubbliche amministrazioni e per           intrinseca natura, particolari               basato sulle tecnologie messe a
     in spese e disagi difficilmente prevedibili.   le società che offrono servizi a terzi.      misure di sicurezza.                         disposizione da un operatore terzo.
     Tale opzione limita anche il rischio           In tal senso, a fronte del contenimento      In tali casi, poiché dall’inserimento dei    Si pensi, ad esempio, a un applicativo
     che i fornitori, sfruttando la loro            dei costi, il titolare del trattamento (in   dati nel cloud consegue comunque una         in modalità cloud nel quale il fornitore
     posizione di forza negoziale, adottino         genere chi acquista servizi cloud) dovrà     inferiore capacità di controllo diretto
     eventuali modifiche unilaterali                comunque prevedere la possibilità di         da parte dell’utente e un’esposizione
     e peggiorative dei contratti di servizio       conservare una copia dei dati allocati       a rischi non sempre prevedibili di perdita
     cloud instaurati con il cliente.               sul cloud, in particolare di quelli la cui   o di accesso abusivo, è bene valutare
                                                    perdita o indisponibilità potrebbe causare   con responsabile attenzione se ricorrere
     3                                              gravissimi danni, non solo economici         ai servizi di cloud computing
     ASSICURARSI LA DISPONIBILITÀ                   o di immagine: si pensi a dati               (in particolare di tipo “pubblico”),
     DEI DATI IN CASO DI NECESSITÀ                  particolarmente delicati come                oppure se utilizzare altre forme di
     È opportuno chiedere che nel contratto         quelli di tipo sanitario o giudiziario,      outsourcing, ovvero mantenere “in sede”
     con il fornitore siano ben specificate         o di carattere fiscale e patrimoniale.       il trattamento di tali dati.

26                                                                                                                                                                                         27
del servizio finale di elaborazione dati        ma soprattutto per verificare il livello          le aziende al di fuori dell’Ue coinvolte      modalità per il recesso dal servizio
     si avvalga di un servizio di “stoccaggio”       di protezione assicurato ai dati.                 nel cloud abbiano sottoposto le proprie       e il passaggio ad altro fornitore.
     acquisito da un terzo. In tal caso,             Il trasferimento di dati in Paesi che non         procedure di sicurezza e di trattamento       Un elemento da privilegiare è senz’altro
     saranno i sistemi fisici di quest’ultimo        offrono adeguate garanzie di sicurezza            dei dati a specifici percorsi di              la previsione di garanzie di qualità
     operatore che concretamente                     e confidenzialità potrebbe comportare             certificazione, come quelli regolati          chiare, corredate da penali, che pongano
     ospiteranno i dati immessi nel cloud            un illecito trattamento dei dati personali,       dagli standard ISO per la gestione            a carico del fornitore le eventuali
     dall’utente. Per valutare la qualità            oltre a eventuali danni irreparabili per          della sicurezza. Oppure se nei contratti      inadempienze o le conseguenze di
     del cloud è quindi necessario informarsi        le attività istituzionali dei soggetti pubblici   di outsourcing proposti al cliente siano      determinati eventi (ad es. accesso non
     sulle prestazioni offerte da tutti i soggetti   o per il business delle imprese.                  state inserite le specifiche “clausole        consentito, perdita dei dati, indisponibilità
     coinvolti nella fornitura del servizio.         In ogni caso, l’utente, prima di caricare         contrattuali tipo” approvate dalla            per malfunzionamenti ecc.).
                                                     i dati “sulla nuvola” e di consentire il loro     Commissione europea per i trasferimenti       Si suggerisce di verificare anche
      6                                              eventuale trasferimento in Paesi fuori            di dati personali verso Paesi terzi.          l’eventuale partecipazione di ulteriori
     INFORMARSI SU                                   dall’Unione europea, deve accertarsi che                                                        soggetti che concorrano come
     DOVE RISIEDERANNO,                              questo spostamento avvenga nel rispetto            7                                            subfornitori all’erogazione del servizio
     CONCRETAMENTE, I DATI                           delle garanzie previste dalla normativa           ATTENZIONE ALLE CLAUSOLE                      cloud e all’eventuale trattamento dei dati.
     È importante per l’utente sapere se             italiana e comunitaria in tema                    CONTRATTUALI
     i propri dati vengono trasferiti ed             di protezione dei dati personali.                 È importante valutare l’idoneità delle         8
     elaborati da server in Italia, in Europa        Se l’azienda, ad esempio, è statunitense          condizioni contrattuali per l’erogazione      VERIFICARE TEMPI E MODALITÀ
     o in un Paese extraeuropeo. Tale                è bene verificare che abbia aderito               del servizio di cloud con particolare         DI CONSERVAZIONE DEI DATI
     informazione può essere determinante            all’accordo Safe Harbor che definisce             riferimento agli obblighi e alle              In fase di acquisizione del servizio
     per stabilire la giurisdizione e la legge       regole condivise con le istituzioni europee       responsabilità in caso di perdita             cloud è opportuno approfondire e
     applicabile nel caso di controversie            per il trattamento dei dati personali.            e di illecita diffusione dei dati custoditi   prevedere nel contratto le politiche
     tra l’utente e il fornitore del servizio,       Così come è utile controllare che                 nella “nuvola”, nonché alle eventuali         adottate dal fornitore riguardo ai tempi

28                                                                                                                                                                                                   29
9                                           appositamente formato, al fine                 personali, senza diffonderli magari
                                                  ESIGERE ADEGUATE MISURE                      di limitare rischi di accesso illecito,        su Internet e senza effettuare
                                                  DI SICUREZZA                                 di perdita di dati o, più in generale,         comunicazioni sistematiche di tali dati
                                                  Nell’ottica di proteggere la                 di trattamento non consentito.                 a più individui. È comunque opportuno
                                                  confidenzialità dei dati, occorre valutare   L’attività di formazione dovrebbe              ricordare che anche le cosiddette
                                                  con attenzione anche le misure               riguardare sia gli elementi tecnici            “persone fisiche” sono tenute a
                                                  di sicurezza utilizzate dal fornitore del    che consentono una scelta consapevole          conservare con cura i dati affinché la
     di conservazione dei dati nella nuvola.      servizio cloud. In generale si raccomanda    delle tecnologie cloud adottate, sia le fasi   loro eventuale perdita non possa causare
     Ove non sia già prevista per legge           di privilegiare i fornitori che utilizzino   operative del trattamento, come                danni ad altre persone. L’adozione di
     l’immediata cancellazione dei dati del       modalità di archiviazione e trasmissione     l’inserimento dei dati sulla “nuvola” e la     nuove tecnologie per la mobilità, come
     titolare allo scadere del contratto cloud,   sicure, mediante tecniche crittografiche     loro elaborazione. La protezione dei dati      smartphone e tablet, dotati di grandi
     è necessario accertare il termine ultimo     (specialmente quando i dati trattati sono    può infatti essere messa a repentaglio         quantità di memoria, spesso connessi
     oltre il quale il fornitore (responsabile    particolarmente delicati), accompagnate      non solo da eventuali comportamenti            a servizi cloud non protetti che
     del trattamento) debba cancellare            da robusti meccanismi di identificazione     sleali o fraudolenti, ma anche da errori       consentono di sfruttare lo stesso
     definitivamente i dati a lui affidati.       dei soggetti autorizzati all’accesso.        materiali, leggerezza o negligenza             strumento per attività private e
     Il fornitore dovrà quindi assicurare                                                      del personale.                                 professionali, ha però aumentato
     che i dati non saranno conservati             10                                                                                         il rischio di perdita di controllo dei
     oltre i suddetti termini o comunque          FORMARE ADEGUATAMENTE                                                                       dati personali. Si consiglia quindi
     al di fuori di quanto esplicitamente         IL PERSONALE                                 UNA PRECAUZIONE EXTRA                          di conservare con cura gli strumenti
     stabilito con l’utente stesso. In ogni       Il personale, sia quello del cliente         PER GLI UTENTI PRIVATI                         tecnologici utilizzati per scopi personali,
     caso, i dati dovranno essere sempre          che quello del fornitore, incaricato del     Le disposizioni previste dal Codice            e di adottare tutte le cautele al fine
     conservati solo nel rispetto delle           trattamento dei dati mediante servizi        della privacy non si applicano a singole       di impedire accessi anche accidentali,
     finalità e delle modalità concordate.        di cloud computing dovrebbe essere           persone che trattano i dati per scopi          da parte di terzi, ai dati personali.

30                                                                                                                                                                                          31
Piazza di Monte Citorio, 121
                        00186 Roma
                        tel. 06 696771
                        fax 06 696773785

                        Per informazioni presso l’Autorità:

                                                                        Stampa: IAG Mengarelli - maggio 2012
                        Ufficio per le relazioni con il pubblico
                        Lunedì - Venerdì ore 10.00 - 13.00
                        tel. 06 696772917/9
                        e-mail: urp@garanteprivacy.it
                        pec: urp@pec.gpdp.it

                        A cura del Servizio relazioni
www.garanteprivacy.it   con i mezzi di informazione
                                                                   32
Puoi anche leggere