CLOUD COMPUTING PROTEGGERE I DATI PER NON CADERE DALLE NUVOLE - Mini guida per imprese e pubblica amministrazione
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
CLOUD COMPUTING
PROTEGGERE I DATI
PER NON CADERE DALLE NUVOLE
Mini guida per imprese
e pubblica amministrazione
CLOUD COMPUTING
PROTEGGERE I DATI
PER NON CADERE DALLE NUVOLE
COS’È IL 4
CLOUD COMPUTING Ogni imprenditore, ma anche ogni attento amministratore
pubblico, si adopera per offrire, rispettivamente ai propri clienti
e ai cittadini, servizi migliori a minor costo. Le tecnologie infor-
NUVOLE DIVERSE 8 matiche, in particolare quelle del cloud computing, garanti-
PER ESIGENZE DIVERSE scono oggi soluzioni innovative per gestire molteplici attività
con efficienza e possibili risparmi. Ma presentano criticità e
IL QUADRO 12 rischi per la privacy di cui è bene tenere conto. Prima di ester-
GIURIDICO nalizzare la gestione di dati e documenti o adottare nuovi
modelli organizzativi è necessario porsi alcune domande,
scegliendo con cura la soluzione più sicura per le attività isti-
VALUTAZIONE DEI RISCHI, 18 tuzionali o per il proprio business. Con questo vademecum, il
DEI COSTI E DEI BENEFICI Garante per la protezione dei dati personali intende offrire
alcune indicazioni valide per tutti gli utenti, in particolare
imprese e amministrazioni pubbliche. L’obiettivo è quello di far
IL DECALOGO PER UNA 24
riflettere su alcuni importanti aspetti giuridici, economici e
SCELTA CONSAPEVOLE
tecnologici in un settore in velocissima espansione e di
promuovere un utilizzo corretto delle nuove modalità di eroga-
zione dei servizi informatici.
COS’È IL CLOUD.
COMPUTING.
Con il termine cloud computing, Tutto può essere demandato all’esterno,
o semplicemente cloud, ci si riferisce in outsourcing, e a un costo
a un insieme di tecnologie e di modalità potenzialmente limitato, in quanto
di fruizione di servizi informatici le risorse informatiche necessarie
che favoriscono l’utilizzo e l’erogazione per i servizi richiesti possono essere
di software, la possibilità di conservare condivise con altri soggetti che hanno
e di elaborare grandi quantità le stesse esigenze.
di informazioni via Internet.
Il cloud offre, a seconda dei casi,
il trasferimento della conservazione
o dell’elaborazione dei dati dai computer
degli utenti ai sistemi del fornitore.
Il cloud consente, inoltre, di usufruire
di servizi complessi senza doversi
necessariamente dotare né di computer
e altri hardware avanzati, né di
personale in grado di programmare
o gestire il sistema.
4 5
L’AUTOMOBILE “INFORMATICA” Opzione 2 – intervento esterno:
E IL CLOUD PER PROFANI si può decidere di acquistare Con il cloud computing ci troviamo
l’automobile e di portarla in caso in questa seconda opzione.
Opzione 1 – tutto in casa: di necessità da un meccanico Non parliamo di automobili o altri
se una persona o una società di fiducia, di affittarla, di prenderla mezzi di trasporto ma di servizi
ha bisogno di un’automobile può in leasing, di chiamare un taxi o informatici. Le soluzioni offerte dal
progettarla, acquistarne le singole noleggiare una vettura con autista. cloud generalmente possono essere
componenti e assemblarle, nonché La scelta tra queste opzioni è più flessibili, efficienti, adattabili
attrezzare all’interno della propria determinata dal tipo di utilizzo che ed economiche di quelle sviluppate Spesso utilizziamo tecnologie cloud
casa o della propria sede un’officina si vuole fare dell’autoveicolo, dalla in-house (in casa propria). senza neppure saperlo. Alcuni dei più
con personale specializzato per frequenza con cui se ne fruisce, Ma possono comportare il rischio diffusi servizi di posta elettronica o di
le riparazioni e la manutenzione. dalle prestazioni che eventualmente di una potenziale perdita di controllo elaborazione testi sono “sulle nuvole”.
si desiderano e, comunque, dalle sui propri dati. Anche molte delle funzioni offerte
risorse economiche a disposizione. dai cellulari di nuova generazione
(i cosiddetti smartphone) sono
basate sul cloud: ad esempio quelle
che sfruttano la geolocalizzazione
consigliandoci i locali o gli esercizi
commerciali più vicini, che consentono
di ascoltare musica o di accedere
a giochi on line, nonché tante altre
funzioni e “app”(applicazioni).
6 7
NUVOLE DIVERSE.
PER ESIGENZE.
DIVERSE.
Esistono vari tipi di cloud computing,
classificati sia in base all’architettura
della “nuvola” e alla gestione interna
o esterna del trattamento dati, sia in
relazione al modello di servizio offerto
al cliente. Ogni tipo di cloud ha le sue puntuale. Le “nuvole private” possono
caratteristiche peculiari che dovranno essere paragonate ai tradizionali “data
essere ben valutate dalle società center” nei quali, però, sono usati degli
e dalle pubbliche amministrazioni accorgimenti tecnologici che permettono
che intendono servirsi delle “nuvole”. di ottimizzare l’utilizzo delle risorse
disponibili e di potenziarle agevolmente
TIPI DI CLOUD in caso di necessità.
Private Cloud Public Cloud
La “nuvola privata” è una infrastruttura Nel caso della “nuvola pubblica”,
informatica (rete di computer collegati l’infrastruttura è di proprietà di un
per offrire servizi) per lo più dedicata fornitore specializzato nell’erogazione
alle esigenze di una singola di servizi che mette a disposizione
organizzazione, ubicata nei suoi locali di utenti, aziende o amministrazioni i
o affidata in gestione ad un terzo (nella propri sistemi attraverso la condivisione
tradizionale forma dell’hosting dei e l’erogazione via Internet di applicazioni
server), nei confronti del quale il titolare informatiche, di capacità elaborativa e
dei dati può esercitare un controllo di “stoccaggio” dati. La fruizione di tali
9
accanto a servizi acquisiti da cloud (spazi di memoria, sistemi operativi, per l’accesso informatico ai documenti,
pubblici - e i cloud di gruppo (community programmi di virtualizzazione…), la rubrica dei contatti e i calendari
cloud), in cui l’infrastruttura è condivisa cioè server virtuali remoti che l’utente condivisi, ma anche ai più avanzati
da diverse organizzazioni a beneficio finale può utilizzare in sostituzione o in servizi di posta elettronica.
di una specifica comunità di utenti. affiancamento ai sistemi già presenti nei
servizi avviene tramite la rete Internet locali dell’azienda o dell’amministrazione. Cloud Platform as a Service - PaaS
e implica il trasferimento dei soli dati o Tali fornitori sono in genere operatori (piattaforme software fornite via
anche dell’attività di elaborazione presso di mercato specializzati, che dispongono Internet come servizio)
i sistemi del fornitore del servizio, il di un’infrastruttura tecnologica, Il fornitore offre soluzioni evolute
quale assume un ruolo importante in complessa e spesso distribuita di sviluppo software che rispondono
ordine all’efficacia delle misure adottate in aree geografiche diverse. alle specifiche esigenze del cliente.
per garantire la protezione delle In genere questo tipo di servizi è rivolto a
informazioni che gli sono state affidate. Cloud Software as a Service - SaaS operatori di mercato che li utilizzano per
Con il cloud pubblico l’utente insieme (software erogato come servizio sviluppare e ospitare soluzioni applicative
ai dati, infatti, cede una parte importante del cloud) proprie (ad esempio applicativi per la
del controllo esercitabile su di essi. TRE MODELLI DI SERVIZI CLOUD Il fornitore eroga via Internet una gestione finanziaria, della contabilità
serie di servizi applicativi ponendoli o della logistica), allo scopo di assolvere
Altre “nuvole” Cloud Infrastructure as a Service - IaaS a disposizione degli utenti finali. a esigenze interne, oppure per fornire
Esistono altri tipi di nuvole con (infrastruttura cloud resa disponibile Si pensi, ad esempio, ad applicazioni a loro volta servizi a terzi. Anche nel caso
caratteristiche miste, quali i cloud come servizio) comunemente usate negli uffici erogate dei PaaS, il servizio erogato dal fornitore
ibridi (hybrid cloud) - caratterizzati da Il fornitore del servizio cloud offre, in modalità web quali l’elaborazione limita la necessità per il fruitore di
soluzioni che prevedono l’utilizzo di secondo un modello “a consumo”, gli di fogli di calcolo o di testi, la gestione doversi dotare internamente di strumenti
servizi erogati da infrastrutture private strumenti hardware e software di base del protocollo e delle regole hardware o software specifici o aggiuntivi.
10 11IL QUADRO.
GIURIDICO.
LA SFIDA INTERNAZIONALE
La tecnologia cloud procede molto più di recepimento da parte degli Stati
velocemente dell’attività del legislatore, membri dell’Ue – che modifica la
non solo in Italia ma in tutto il mondo. direttiva sulla privacy nelle
Manca ancora un quadro normativo comunicazioni elettroniche del 2002.
aggiornato – in tema di privacy, ma Fra le misure che entreranno in vigore
anche in ambito civile e penale - che con il nuovo quadro giuridico è previsto
tenga conto di tutte le novità introdotte anche l’obbligo per le società telefoniche
dal cloud computing e sia in grado e gli Internet provider di notificare
di offrire adeguate tutele nei riguardi alle competenti Autorità nazionali e,
delle fattispecie giuridiche connesse in determinati casi, agli utenti, tutte
all’adozione di servizi distribuiti le violazioni di sicurezza che comportino
di elaborazione e di conservazione dati. la distruzione, la perdita o la diffusione
Basti pensare, ad esempio, che indebita di dati personali trattati
la normativa europea sulla protezione nell’ambito della fornitura del servizio.
dei dati risale al 1995. Un ulteriore importante cambiamento
Alcune utili novità per il settore delle per tutto il settore delle comunicazioni
telecomunicazioni, che avranno un elettroniche, e del cloud computing in
indubbio impatto anche sul cloud, particolare, dovrebbe avvenire entro
sono state introdotte dal cosiddetto il 2014, con l’approvazione del nuovo
“pacchetto Telecom”: in particolare dalla Regolamento generale sulla protezione
direttiva 136/2009 - attualmente in corso dei dati (Com 2012 11 def) proposto
13dalla Commissione Europea. che permetta di governare il fenomeno Questo significa che il cliente dovrà
Il nuovo Regolamento introdurrà senza rischiare di penalizzare sempre prestare molta attenzione a
identiche regole in Europa e nei l’innovazione e le potenzialità di sviluppo come saranno utilizzati e conservati i dati
confronti di Stati terzi (riscrivendo quindi delle “nuvole” informatiche, è necessario personali caricati sulla “nuvola”: in caso
anche il Codice della privacy italiano), che le imprese e la pubblica di violazioni commesse dal fornitore,
e in questo senso dovrebbe contribuire amministrazione, incluse tra l’altro anche il titolare sarà chiamato a
a rendere meno complesso e rischioso le cosiddette “centrali di committenza” rispondere dell’eventuale illecito.
l’utilizzo di servizi cloud. Una delle (soggetti che effettuano acquisti per una Il cliente di ridotte dimensioni, come tra l’altro, che il titolare eserciti un
importanti innovazioni di questa riforma pluralità di pubbliche amministrazioni), una piccola impresa o un ente locale, potere di controllo nei confronti del
riguarderà l’estensione dell’obbligo di prestino particolare attenzione ai rischi potrebbe tuttavia incontrare difficoltà responsabile del trattamento (in questo
notifica delle violazioni di sicurezza che connessi all’adozione dei servizi di cloud nel contrattare adeguate condizioni caso il cloud provider), verificando
riguardino dati personali a tutti i titolari computing, anche in relazione agli per la gestione dei dati spostati “sulla la corretta esecuzione delle istruzioni
del trattamento dati come, ad esempio, aspetti di protezione dei dati personali. nuvola”. Anche in questo caso, non sarà impartite in relazione ai dati personali
banche, assicurazioni, Asl, enti locali. però sufficiente, per giustificare una trattati.
Quando previsto, le persone interessate Il titolare e il responsabile eventuale violazione, affermare di non
saranno quindi informate senza ritardo del trattamento avere avuto possibilità di negoziare Trasferimento dei dati fuori
della perdita o del furto dei loro dati. La pubblica amministrazione o l’azienda, clausole contrattuali o modalità dell’Unione Europea
“titolare del trattamento” dei dati di controllo più stringenti. Il cliente Il Codice della privacy definisce regole
NORMATIVA PRIVACY NELLE personali, che trasferisce del tutto di servizi cloud, infatti, può sempre precise per il trasferimento dei dati
NUVOLE – SPUNTI DI RIFLESSIONE o in parte il trattamento sulle “nuvole”, rivolgersi ad altri fornitori che offrono personali fuori dall’Unione europea
deve procedere a designare maggiori garanzie, in particolare per il e vieta, in linea di principio,
In attesa di una normativa nazionale il fornitore dei servizi cloud rispetto della normativa sulla protezione il trasferimento “anche temporaneo”
e internazionale aggiornata e uniforme, “responsabile del trattamento”. dei dati. Il Codice della privacy prevede, di dati personali verso uno Stato
14 15extraeuropeo, qualora l’ordinamento Le limitazioni per il trasferimento tecniche e organizzative volte a ridurre o clienti non devono dimenticare che
del Paese di destinazione o di transito dati all’estero incidono anche sugli al minimo i rischi di distruzione o perdita il Codice della privacy attribuisce agli
dei dati non assicuri un adeguato livello spostamenti “infragruppo” di una anche accidentale dei dati, di accesso interessati (le persone a cui si riferiscono
di tutela. Questa evenienza può multinazionale. non autorizzato, di trattamento non i dati) precisi diritti. Ad esempio,
verificarsi frequentemente nel caso in cui In questo caso, la presenza di forti consentito o non conforme alle finalità l’interessato ha diritto di conoscere quali
si decida di usufruire di servizi di public “norme vincolanti d’impresa” (binding della raccolta, di modifica dei dati in siano i dati che lo riguardano in possesso
cloud invece che di modalità private o corporate rules) a tutela dei dati conseguenza di interventi non autorizzati dell’amministrazione pubblica
ibride. Per le sue valutazioni il titolare personali può consentire l’eventuale o non conformi alle regole. Il cliente o dell’impresa, per quale motivo siano
del trattamento (in genere chi acquista trasferimento dei dati nel rispetto dovrebbe, ad esempio, accertarsi che stati raccolti e come siano elaborati.
servizi cloud) dovrà quindi tenere della privacy degli interessati. i dati siano sempre “disponibili” (che si Può richiedere una copia intelligibile
in debito conto anche il luogo dove possa cioè sempre accedere ai dati) dei dati personali che lo riguardano,
vengono conservati i dati e quali sono Sicurezza dei dati e “riservati” (che l’accesso cioè sia il loro aggiornamento, la rettifica o
i trattamenti previsti all’estero. Il titolare del trattamento deve consentito solo a chi ne ha diritto). l’integrazione. In caso di violazione di
Il trasferimento di dati verso gli Stati assicurarsi che siano adottate misure Per garantire che i dati siano al sicuro, legge, può esigere anche il blocco, la
Uniti, ad esempio, può essere facilitato non sono importanti solo le modalità con cancellazione o la trasformazione in
nel caso in cui il cloud provider aderisca cui sono conservati, ma anche quelle forma anonima di queste informazioni.
a programmi di protezione dati come con cui sono trasmessi (ad esempio Il cliente del servizio cloud, in qualità
il cosiddetto Safe Harbor (letteralmente utilizzando tecniche di cifratura). di titolare del trattamento dati, per
“porto sicuro”), un accordo bilaterale soddisfare queste richieste, deve poter
Ue-Usa che definisce regole sicure I diritti dell’interessato mantenere un adeguato controllo non
e condivise per il trasferimento dei I soggetti pubblici e le imprese che solo sulle attività del fornitore, ma anche
dati personali effettuato verso aziende decidono di avvalersi di servizi cloud per su quelle degli eventuali sub fornitori dei
presenti sul territorio americano. gestire i dati personali dei loro utenti quali il cloud provider potrebbe avvalersi.
16 17VALUTAZIONE DEI RISCHI,.
DEI COSTI E DEI BENEFICI.
È opportuno scegliere bene il tipo conservati o utilizzati documenti così
di cloud e il modello di servizio più adatto preziosi. La voce “risparmio” non deve
alle proprie esigenze. In particolare se quindi essere l’unico fattore di scelta.
si decide di adottare il public cloud, dove I grandi fornitori globali di cloud
quasi tutto il processo viene computing si contano sulle dita di una
esternalizzato e i “nostri” dati più preziosi mano. Quasi tutte le altre società che
sono dislocati “lontano” dal nostro offrono servizi e infrastrutture tra le
controllo diretto. Il concetto di cloud può “nuvole” si avvalgono infatti delle aziende
apparire evanescente, “virtuale”. leader mondiali. Questa situazione riduce
In realtà, con le sue tecnologie si possono di molto la capacità negoziale di una
gestire servizi estremamente concreti, singola impresa o di una piccola
quali la distribuzione dei prodotti di amministrazione pubblica, rendendo
un’azienda, i servizi dell’anagrafe di un difficile trasformare la flessibilità
Comune, le prenotazioni e le analisi tecnologica in flessibilità contrattuale.
mediche, il conto bancario on line e tanto In questi casi la scelta di consorziarsi
altro. Nessuno lascerebbe in deposito il con altri soggetti pubblici o imprese che
proprio portafoglio con i documenti e lo hanno le medesime esigenze (ad esempio
stipendio alla prima persona incontrata al tramite le associazioni di categoria)
mercato. Né affiderebbe il proprio libro potrebbe garantire una capacità
mastro o i contratti stipulati con clienti e contrattuale maggiore.
fornitori a un commercialista sconosciuto Prima di optare per un certo tipo di
che gli promette di risparmiare, senza “nuvola”, è comunque opportuno che
prima essersi accertato su come saranno l’utente verifichi la quantità e la tipologia
19di dati che intende esternalizzare SICUREZZA trasformazione” di servizi acquisiti presso
(ad esempio dati personali, in particolare altri service provider, diversi dal fornitore
quelli sensibili, oppure dati critici per Quali sono le misure di sicurezza con cui l’utente stipula il contratto
la propria attività, come progetti riservati adottate dal fornitore per proteggere di servizio. L’utente, a fronte di filiere indisponibile laddove si verifichino
o coperti da brevetto o segreto i dati? Il fornitore di servizi cloud spesso di responsabilità complesse, potrebbe eventi anomali o guasti che impediscano
industriale), valutando gli eventuali rischi dispone di sistemi di protezione contro non essere messo in grado di sapere l’accessibilità temporanea ai dati.
e le possibili conseguenze derivanti virus, attacchi hacker o altri pericoli chi, tra i vari gestori dei servizi intermedi, È quindi necessario valutare bene
da tale scelta. È vero che il cliente spesso informatici più efficaci rispetto a quelli può accedere a determinati dati. le conseguenze sulla propria società
non ha capacità di negoziare una che potrebbe permettersi il singolo o ente dell’eventuale interruzione,
riformulazione dei “term of use” proposti utente. È comunque necessario DISPONIBILITÀ DEL SERVIZIO più o meno prolungata, del servizio,
da chi offre i servizi: può però scegliere informarsi bene su quali siano le misure E PIANO DI EMERGENZA considerare i costi diretti e indiretti
tra differenti provider. Anche i fornitori adottate dal cloud provider. Prima di dell’inaccessibilità ai dati, e definire
cloud, comunque, potrebbero trarre scegliere il partner cloud il cliente deve In caso di problemi al collegamento in anticipo con il fornitore cloud un
nuove opportunità dalla definizione di sempre considerare che, affidandosi a un Internet, è comunque possibile eventuale piano di emergenza.
clausole “pro-privacy” o da una eventuale fornitore remoto, può perdere il controllo continuare a usufruire dei servizi senza
preventiva certificazione indipendente sul diretto ed esclusivo sui propri dati. l’accesso al cloud? In quanto tempo può RECUPERO DEI DATI
rispetto della normativa europea sulla essere ripristinato il sistema? Esistono
protezione dei dati personali per i servizi RUOLI E RESPONSABILITÀ piani di emergenza per i servizi È possibile che i dati sul cloud possano
da loro offerti. La risposta ad alcune essenziali? Il servizio virtuale, in assenza essere persi o distrutti? Calamità
domande può aiutare a sviluppare Chi è il reale fornitore del servizio che di adeguate garanzie in merito alla naturali o attacchi informatici potrebbero
una corretta analisi dell’impatto si sta acquisendo? Si tratta di una qualità della connettività di rete, potrebbe compromettere il funzionamento di
economico e organizzativo di queste singola società o di un consorzio di occasionalmente risultare degradato in alcuni data center. È particolarmente
tecnologie all’interno di un’impresa imprese? Il servizio prescelto potrebbe presenza di attacchi informatici, di elevati importante individuare possibili
o di una pubblica amministrazione. essere il risultato finale di una “catena di picchi di traffico o addirittura procedure di recupero dei dati
20 21e quantificare l’impatto economico dell’Unione europea? L’identificazione MIGRAZIONE a proprio vantaggio con la certezza
e organizzativo dell’eventuale perdita del luogo in cui i dati sono conservati che il cliente - considerata l’impossibilità
o cancellazione di dati presenti o elaborati ha riflessi immediati sia La tecnologia utilizzata dal fornitore pratica di trasferire agevolmente
solo sul cloud. sulla normativa applicabile in caso di di cloud è di tipo “proprietario”? I dati i dati presso un altro fornitore
contenzioso tra il cliente e il fornitore, sia possono essere esportati facilmente? e di recedere dal servizio - non potrà
CONFIDENZIALITÀ in relazione alle disposizioni nazionali che L’adozione da parte del fornitore del far altro che accettarle.
disciplinano il trattamento, l’archiviazione servizio di tecnologie proprie può, in
Esistono garanzie di riservatezza per i e la sicurezza dei dati. taluni casi, rendere complessa per ASSICURAZIONE SUL DANNO
nostri dati nel caso in cui un concorrente La conoscenza di questi elementi l’utente la migrazione di dati e
condivida gli stessi servizi cloud? garantirà un rapporto più trasparente tra documenti da un sistema cloud ad un Nel caso in cui si accerti una violazione
I fornitori custodiscono dati di singoli il cliente e il fornitore di cloud computing. altro o lo scambio di informazioni con o la perdita dei dati, il fornitore
e di organizzazioni che potrebbero avere È poi necessario non dimenticare che la soggetti che utilizzino servizi cloud di garantisce un pronto risarcimento
interessi ed esigenze differenti o persino normativa sulla privacy, al fine di tutelare fornitori differenti, ponendo quindi a del danno? Le attuali incertezze
obiettivi contrastanti e in concorrenza. le persone interessate, prevede che i dati rischio la portabilità o l’interoperabilità normative possono rendere difficile
È quindi opportuno valutare le garanzie possano essere “esportati” in Paesi fuori dei dati. Questa evenienza potrebbe dare e oneroso riuscire a ottenere un
offerte a tutela della confidenzialità dall’Unione europea solo in precisi casi luogo a politiche commerciali poco adeguato risarcimento per i danni subiti
delle informazioni trasferite sul cloud. e quando sia offerta una protezione trasparenti. In un primo momento, in seguito a violazioni, a perdita di dati,
adeguata rispetto a quella prevista dalla il fornitore potrebbe ad esempio a interruzione anche temporanea
COLLOCAZIONE DEI SERVER legislazione comunitaria. Un servizio presentare al cliente un’offerta di servizi del servizio cloud.
cloud potrebbe quindi celare dei costi cloud economicamente vantaggiosa e La presenza di un’assicurazione o di
In quale Stato sono conservati i dati extra imprevisti, determinati dalla ridotta con adeguate garanzie a protezione dei procedure semplificate per la risoluzione
caricati sulla “nuvola”? È possibile capacità di controllo sui propri dati dati. In un secondo momento, una volta di controversie, anche internazionali, può
scegliere di usufruire di server collocati o da più probabili contenziosi legali acquisito il cliente, potrebbe invece sicuramente essere un valore aggiunto
solo in territorio nazionale o in Paesi nazionali e internazionali. cambiare le condizioni del contratto per utenti di piccole dimensioni.
22 23IL DECALOGO.
PER UNA SCELTA.
CONSAPEVOLE. 1 le caratteristiche qualitative dei servizi
EFFETTUARE UNA VERIFICA di connettività di cui si avvale il fornitore
SULL’AFFIDABILITÀ in termini di capacità e affidabilità.
DEL FORNITORE Sarà utile considerare anche l’impiego
Gli utenti dovrebbero accertare da parte del fornitore di personale
l’esperienza, la capacità e l’affidabilità qualificato, l’adeguatezza delle sue
del fornitore prima di trasferire sui infrastrutture informatiche e di
sistemi cloud i propri dati più preziosi, comunicazione, la disponibilità ad
tenendo in considerazione le proprie assumersi una responsabilità risarcitoria
esigenze istituzionali o imprenditoriali, la (che dovrebbe essere esplicitamente
quantità e la tipologia delle informazioni prevista dal contratto di servizio) in caso
che intendono allocare, i rischi e di eventuali falle nel sistema di sicurezza
le misure di sicurezza adottate. Anche o di interruzioni del servizio.
in funzione della tipologia di servizio
desiderato, oltre che della criticità dei 2
dati, è opportuno che gli utenti valutino: PRIVILEGIARE I SERVIZI
la struttura societaria del fornitore, CHE FAVORISCONO
le referenze, le garanzie di legge offerte LA PORTABILITÀ DEI DATI
in ordine alla confidenzialità dei dati È consigliabile ricorrere a servizi di cloud
e alle misure adottate per assicurare la computing privilegiando quelli basati su
continuità operativa a fronte di eventuali formati e standard aperti, che facilitino
e imprevisti malfunzionamenti. la transizione da un sistema cloud ad un
Gli utenti dovrebbero valutare, inoltre, altro, anche se gestiti da fornitori diversi.
25adeguate garanzie sulla disponibilità 4 5
e sulle prestazioni dei servizi cloud. SELEZIONARE I DATI NON PERDERE DI VISTA I DATI
L’adozione di servizi che non offrono DA INSERIRE NELLA NUVOLA È sempre opportuno che l’utente valuti
adeguate garanzie di riservatezza Alcune informazioni, come quelle accuratamente il tipo di servizio offerto,
e di continuità operativa può comportare coperte da segreto industriale anche verificando se i dati rimarranno
rilevanti ripercussioni non solo sul e tutti i dati sensibili (ad esempio nella disponibilità fisica dell’operatore
cliente del servizio cloud, ma anche quelli relativi alla salute, all’etnia, con cui è stato stipulato il contratto
sui soggetti a cui si riferiscono i dati alle opinioni politiche o alle iscrizioni oppure se questi svolga un ruolo di
La portabilità dei dati consente personali trattati, come avviene per a sindacati), richiedono, per loro intermediario, ovvero offra un servizio
di recedere dal servizio senza incorrere le pubbliche amministrazioni e per intrinseca natura, particolari basato sulle tecnologie messe a
in spese e disagi difficilmente prevedibili. le società che offrono servizi a terzi. misure di sicurezza. disposizione da un operatore terzo.
Tale opzione limita anche il rischio In tal senso, a fronte del contenimento In tali casi, poiché dall’inserimento dei Si pensi, ad esempio, a un applicativo
che i fornitori, sfruttando la loro dei costi, il titolare del trattamento (in dati nel cloud consegue comunque una in modalità cloud nel quale il fornitore
posizione di forza negoziale, adottino genere chi acquista servizi cloud) dovrà inferiore capacità di controllo diretto
eventuali modifiche unilaterali comunque prevedere la possibilità di da parte dell’utente e un’esposizione
e peggiorative dei contratti di servizio conservare una copia dei dati allocati a rischi non sempre prevedibili di perdita
cloud instaurati con il cliente. sul cloud, in particolare di quelli la cui o di accesso abusivo, è bene valutare
perdita o indisponibilità potrebbe causare con responsabile attenzione se ricorrere
3 gravissimi danni, non solo economici ai servizi di cloud computing
ASSICURARSI LA DISPONIBILITÀ o di immagine: si pensi a dati (in particolare di tipo “pubblico”),
DEI DATI IN CASO DI NECESSITÀ particolarmente delicati come oppure se utilizzare altre forme di
È opportuno chiedere che nel contratto quelli di tipo sanitario o giudiziario, outsourcing, ovvero mantenere “in sede”
con il fornitore siano ben specificate o di carattere fiscale e patrimoniale. il trattamento di tali dati.
26 27del servizio finale di elaborazione dati ma soprattutto per verificare il livello le aziende al di fuori dell’Ue coinvolte modalità per il recesso dal servizio
si avvalga di un servizio di “stoccaggio” di protezione assicurato ai dati. nel cloud abbiano sottoposto le proprie e il passaggio ad altro fornitore.
acquisito da un terzo. In tal caso, Il trasferimento di dati in Paesi che non procedure di sicurezza e di trattamento Un elemento da privilegiare è senz’altro
saranno i sistemi fisici di quest’ultimo offrono adeguate garanzie di sicurezza dei dati a specifici percorsi di la previsione di garanzie di qualità
operatore che concretamente e confidenzialità potrebbe comportare certificazione, come quelli regolati chiare, corredate da penali, che pongano
ospiteranno i dati immessi nel cloud un illecito trattamento dei dati personali, dagli standard ISO per la gestione a carico del fornitore le eventuali
dall’utente. Per valutare la qualità oltre a eventuali danni irreparabili per della sicurezza. Oppure se nei contratti inadempienze o le conseguenze di
del cloud è quindi necessario informarsi le attività istituzionali dei soggetti pubblici di outsourcing proposti al cliente siano determinati eventi (ad es. accesso non
sulle prestazioni offerte da tutti i soggetti o per il business delle imprese. state inserite le specifiche “clausole consentito, perdita dei dati, indisponibilità
coinvolti nella fornitura del servizio. In ogni caso, l’utente, prima di caricare contrattuali tipo” approvate dalla per malfunzionamenti ecc.).
i dati “sulla nuvola” e di consentire il loro Commissione europea per i trasferimenti Si suggerisce di verificare anche
6 eventuale trasferimento in Paesi fuori di dati personali verso Paesi terzi. l’eventuale partecipazione di ulteriori
INFORMARSI SU dall’Unione europea, deve accertarsi che soggetti che concorrano come
DOVE RISIEDERANNO, questo spostamento avvenga nel rispetto 7 subfornitori all’erogazione del servizio
CONCRETAMENTE, I DATI delle garanzie previste dalla normativa ATTENZIONE ALLE CLAUSOLE cloud e all’eventuale trattamento dei dati.
È importante per l’utente sapere se italiana e comunitaria in tema CONTRATTUALI
i propri dati vengono trasferiti ed di protezione dei dati personali. È importante valutare l’idoneità delle 8
elaborati da server in Italia, in Europa Se l’azienda, ad esempio, è statunitense condizioni contrattuali per l’erogazione VERIFICARE TEMPI E MODALITÀ
o in un Paese extraeuropeo. Tale è bene verificare che abbia aderito del servizio di cloud con particolare DI CONSERVAZIONE DEI DATI
informazione può essere determinante all’accordo Safe Harbor che definisce riferimento agli obblighi e alle In fase di acquisizione del servizio
per stabilire la giurisdizione e la legge regole condivise con le istituzioni europee responsabilità in caso di perdita cloud è opportuno approfondire e
applicabile nel caso di controversie per il trattamento dei dati personali. e di illecita diffusione dei dati custoditi prevedere nel contratto le politiche
tra l’utente e il fornitore del servizio, Così come è utile controllare che nella “nuvola”, nonché alle eventuali adottate dal fornitore riguardo ai tempi
28 299 appositamente formato, al fine personali, senza diffonderli magari
ESIGERE ADEGUATE MISURE di limitare rischi di accesso illecito, su Internet e senza effettuare
DI SICUREZZA di perdita di dati o, più in generale, comunicazioni sistematiche di tali dati
Nell’ottica di proteggere la di trattamento non consentito. a più individui. È comunque opportuno
confidenzialità dei dati, occorre valutare L’attività di formazione dovrebbe ricordare che anche le cosiddette
con attenzione anche le misure riguardare sia gli elementi tecnici “persone fisiche” sono tenute a
di sicurezza utilizzate dal fornitore del che consentono una scelta consapevole conservare con cura i dati affinché la
di conservazione dei dati nella nuvola. servizio cloud. In generale si raccomanda delle tecnologie cloud adottate, sia le fasi loro eventuale perdita non possa causare
Ove non sia già prevista per legge di privilegiare i fornitori che utilizzino operative del trattamento, come danni ad altre persone. L’adozione di
l’immediata cancellazione dei dati del modalità di archiviazione e trasmissione l’inserimento dei dati sulla “nuvola” e la nuove tecnologie per la mobilità, come
titolare allo scadere del contratto cloud, sicure, mediante tecniche crittografiche loro elaborazione. La protezione dei dati smartphone e tablet, dotati di grandi
è necessario accertare il termine ultimo (specialmente quando i dati trattati sono può infatti essere messa a repentaglio quantità di memoria, spesso connessi
oltre il quale il fornitore (responsabile particolarmente delicati), accompagnate non solo da eventuali comportamenti a servizi cloud non protetti che
del trattamento) debba cancellare da robusti meccanismi di identificazione sleali o fraudolenti, ma anche da errori consentono di sfruttare lo stesso
definitivamente i dati a lui affidati. dei soggetti autorizzati all’accesso. materiali, leggerezza o negligenza strumento per attività private e
Il fornitore dovrà quindi assicurare del personale. professionali, ha però aumentato
che i dati non saranno conservati 10 il rischio di perdita di controllo dei
oltre i suddetti termini o comunque FORMARE ADEGUATAMENTE dati personali. Si consiglia quindi
al di fuori di quanto esplicitamente IL PERSONALE UNA PRECAUZIONE EXTRA di conservare con cura gli strumenti
stabilito con l’utente stesso. In ogni Il personale, sia quello del cliente PER GLI UTENTI PRIVATI tecnologici utilizzati per scopi personali,
caso, i dati dovranno essere sempre che quello del fornitore, incaricato del Le disposizioni previste dal Codice e di adottare tutte le cautele al fine
conservati solo nel rispetto delle trattamento dei dati mediante servizi della privacy non si applicano a singole di impedire accessi anche accidentali,
finalità e delle modalità concordate. di cloud computing dovrebbe essere persone che trattano i dati per scopi da parte di terzi, ai dati personali.
30 31Piazza di Monte Citorio, 121
00186 Roma
tel. 06 696771
fax 06 696773785
Per informazioni presso l’Autorità:
Stampa: IAG Mengarelli - maggio 2012
Ufficio per le relazioni con il pubblico
Lunedì - Venerdì ore 10.00 - 13.00
tel. 06 696772917/9
e-mail: urp@garanteprivacy.it
pec: urp@pec.gpdp.it
A cura del Servizio relazioni
www.garanteprivacy.it con i mezzi di informazione
32Puoi anche leggere
