CLOUD COMPUTING PROTEGGERE I DATI PER NON CADERE DALLE NUVOLE - Mini guida per imprese e pubblica amministrazione

Pagina creata da Rachele Cappelli
 
CONTINUA A LEGGERE
CLOUD COMPUTING PROTEGGERE I DATI PER NON CADERE DALLE NUVOLE - Mini guida per imprese e pubblica amministrazione
CLOUD COMPUTING
PROTEGGERE I DATI
PER NON CADERE DALLE NUVOLE

                              Mini guida per imprese
                              e pubblica amministrazione
CLOUD COMPUTING PROTEGGERE I DATI PER NON CADERE DALLE NUVOLE - Mini guida per imprese e pubblica amministrazione
COS’È IL                    4
CLOUD COMPUTING

NUVOLE DIVERSE              8
PER ESIGENZE DIVERSE

IL QUADRO                  12
GIURIDICO

VALUTAZIONE DEI RISCHI,    18
DEI COSTI E DEI BENEFICI

IL DECALOGO PER UNA        24
SCELTA CONSAPEVOLE
CLOUD COMPUTING PROTEGGERE I DATI PER NON CADERE DALLE NUVOLE - Mini guida per imprese e pubblica amministrazione
CLOUD COMPUTING
PROTEGGERE I DATI
PER NON CADERE DALLE NUVOLE

Ogni imprenditore, ma anche ogni attento amministratore
pubblico, si adopera per offrire, rispettivamente ai propri clienti
e ai cittadini, servizi migliori a minor costo. Le tecnologie infor-
matiche, in particolare quelle del cloud computing, garanti-
scono oggi soluzioni innovative per gestire molteplici attività
con efficienza e possibili risparmi. Ma presentano criticità e
rischi per la privacy di cui è bene tenere conto. Prima di ester-
nalizzare la gestione di dati e documenti o adottare nuovi
modelli organizzativi è necessario porsi alcune domande,
scegliendo con cura la soluzione più sicura per le attività isti-
tuzionali o per il proprio business. Con questo vademecum, il
Garante per la protezione dei dati personali intende offrire
alcune indicazioni valide per tutti gli utenti, in particolare
imprese e amministrazioni pubbliche. L’obiettivo è quello di far
riflettere su alcuni importanti aspetti giuridici, economici e
tecnologici in un settore in velocissima espansione e di
promuovere un utilizzo corretto delle nuove modalità di eroga-
zione dei servizi informatici.
CLOUD COMPUTING PROTEGGERE I DATI PER NON CADERE DALLE NUVOLE - Mini guida per imprese e pubblica amministrazione
COS’È IL CLOUD.
    COMPUTING.

4
CLOUD COMPUTING PROTEGGERE I DATI PER NON CADERE DALLE NUVOLE - Mini guida per imprese e pubblica amministrazione
Con il termine cloud computing,             Tutto può essere demandato all’esterno,
o semplicemente cloud, ci si riferisce      in outsourcing, e a un costo
a un insieme di tecnologie e di modalità    potenzialmente limitato, in quanto
di fruizione di servizi informatici         le risorse informatiche necessarie
che favoriscono l’utilizzo e l’erogazione   per i servizi richiesti possono essere
di software, la possibilità di conservare   condivise con altri soggetti che hanno
e di elaborare grandi quantità              le stesse esigenze.
di informazioni via Internet.
Il cloud offre, a seconda dei casi,
il trasferimento della conservazione
o dell’elaborazione dei dati dai computer
degli utenti ai sistemi del fornitore.
Il cloud consente, inoltre, di usufruire
di servizi complessi senza doversi
necessariamente dotare né di computer
e altri hardware avanzati, né di
personale in grado di programmare
o gestire il sistema.

                                                                                      5
CLOUD COMPUTING PROTEGGERE I DATI PER NON CADERE DALLE NUVOLE - Mini guida per imprese e pubblica amministrazione
L’AUTOMOBILE “INFORMATICA”              Opzione 2 – intervento esterno:
    E IL CLOUD PER PROFANI                  si può decidere di acquistare
                                            l’automobile e di portarla in caso
    Opzione 1 – tutto in casa:              di necessità da un meccanico
    se una persona o una società            di fiducia, di affittarla, di prenderla
    ha bisogno di un’automobile può         in leasing, di chiamare un taxi o
    progettarla, acquistarne le singole     noleggiare una vettura con autista.
    componenti e assemblarle, nonché        La scelta tra queste opzioni è
    attrezzare all’interno della propria    determinata dal tipo di utilizzo che
    casa o della propria sede un’officina   si vuole fare dell’autoveicolo, dalla
    con personale specializzato per         frequenza con cui se ne fruisce,
    le riparazioni e la manutenzione.       dalle prestazioni che eventualmente
                                            si desiderano e, comunque, dalle
                                            risorse economiche a disposizione.

6
Con il cloud computing ci troviamo
in questa seconda opzione.
Non parliamo di automobili o altri
mezzi di trasporto ma di servizi
informatici. Le soluzioni offerte dal
cloud generalmente possono essere
più flessibili, efficienti, adattabili
ed economiche di quelle sviluppate       Spesso utilizziamo tecnologie cloud
in-house (in casa propria).              senza neppure saperlo. Alcuni dei più
Ma possono comportare il rischio         diffusi servizi di posta elettronica o di
di una potenziale perdita di controllo   elaborazione testi sono “sulle nuvole”.
sui propri dati.                         Anche molte delle funzioni offerte
                                         dai cellulari di nuova generazione
                                         (i cosiddetti smartphone) sono
                                         basate sul cloud: ad esempio quelle
                                         che sfruttano la geolocalizzazione
                                         consigliandoci i locali o gli esercizi
                                         commerciali più vicini, che consentono
                                         di ascoltare musica o di accedere
                                         a giochi on line, nonché tante altre
                                         funzioni e “app”(applicazioni).

                                                                                     7
NUVOLE DIVERSE.
PER ESIGENZE.
DIVERSE.
Esistono vari tipi di cloud computing,
classificati sia in base all’architettura
della “nuvola” e alla gestione interna
o esterna del trattamento dati, sia in
relazione al modello di servizio offerto
al cliente. Ogni tipo di cloud ha le sue       puntuale. Le “nuvole private” possono
caratteristiche peculiari che dovranno         essere paragonate ai tradizionali “data
essere ben valutate dalle società              center” nei quali, però, sono usati degli
e dalle pubbliche amministrazioni              accorgimenti tecnologici che permettono
che intendono servirsi delle “nuvole”.         di ottimizzare l’utilizzo delle risorse
                                               disponibili e di potenziarle agevolmente
TIPI DI CLOUD                                  in caso di necessità.

Private Cloud                                  Public Cloud
La “nuvola privata” è una infrastruttura       Nel caso della “nuvola pubblica”,
informatica (rete di computer collegati        l’infrastruttura è di proprietà di un
per offrire servizi) per lo più dedicata       fornitore specializzato nell’erogazione
alle esigenze di una singola                   di servizi che mette a disposizione
organizzazione, ubicata nei suoi locali        di utenti, aziende o amministrazioni i
o affidata in gestione ad un terzo (nella      propri sistemi attraverso la condivisione
tradizionale forma dell’hosting dei            e l’erogazione via Internet di applicazioni
server), nei confronti del quale il titolare   informatiche, di capacità elaborativa e
dei dati può esercitare un controllo           di “stoccaggio” dati. La fruizione di tali

                                                                                             9
accanto a servizi acquisiti da cloud
                                                   pubblici - e i cloud di gruppo (community
                                                   cloud), in cui l’infrastruttura è condivisa
                                                   da diverse organizzazioni a beneficio
                                                   di una specifica comunità di utenti.
     servizi avviene tramite la rete Internet
     e implica il trasferimento dei soli dati o
     anche dell’attività di elaborazione presso
     i sistemi del fornitore del servizio, il
     quale assume un ruolo importante in
     ordine all’efficacia delle misure adottate
     per garantire la protezione delle
     informazioni che gli sono state affidate.
     Con il cloud pubblico l’utente insieme
     ai dati, infatti, cede una parte importante
     del controllo esercitabile su di essi.        TRE MODELLI DI SERVIZI CLOUD

     Altre “nuvole”                                Cloud Infrastructure as a Service - IaaS
     Esistono altri tipi di nuvole con             (infrastruttura cloud resa disponibile
     caratteristiche miste, quali i cloud          come servizio)
     ibridi (hybrid cloud) - caratterizzati da     Il fornitore del servizio cloud offre,
     soluzioni che prevedono l’utilizzo di         secondo un modello “a consumo”, gli
     servizi erogati da infrastrutture private     strumenti hardware e software di base

10
(spazi di memoria, sistemi operativi,         per l’accesso informatico ai documenti,
programmi di virtualizzazione…),              la rubrica dei contatti e i calendari
cioè server virtuali remoti che l’utente      condivisi, ma anche ai più avanzati
finale può utilizzare in sostituzione o in    servizi di posta elettronica.
affiancamento ai sistemi già presenti nei
locali dell’azienda o dell’amministrazione.   Cloud Platform as a Service - PaaS
Tali fornitori sono in genere operatori       (piattaforme software fornite via
di mercato specializzati, che dispongono      Internet come servizio)
di un’infrastruttura tecnologica,             Il fornitore offre soluzioni evolute
complessa e spesso distribuita                di sviluppo software che rispondono
in aree geografiche diverse.                  alle specifiche esigenze del cliente.
                                              In genere questo tipo di servizi è rivolto a
Cloud Software as a Service - SaaS            operatori di mercato che li utilizzano per
(software erogato come servizio               sviluppare e ospitare soluzioni applicative
del cloud)                                    proprie (ad esempio applicativi per la
Il fornitore eroga via Internet una           gestione finanziaria, della contabilità
serie di servizi applicativi ponendoli        o della logistica), allo scopo di assolvere
a disposizione degli utenti finali.           a esigenze interne, oppure per fornire
Si pensi, ad esempio, ad applicazioni         a loro volta servizi a terzi. Anche nel caso
comunemente usate negli uffici erogate        dei PaaS, il servizio erogato dal fornitore
in modalità web quali l’elaborazione          limita la necessità per il fruitore di
di fogli di calcolo o di testi, la gestione   doversi dotare internamente di strumenti
del protocollo e delle regole                 hardware o software specifici o aggiuntivi.

                                                                                             11
IL QUADRO.
GIURIDICO.
LA SFIDA INTERNAZIONALE

La tecnologia cloud procede molto più        di recepimento da parte degli Stati
velocemente dell’attività del legislatore,   membri dell’Ue – che modifica la
non solo in Italia ma in tutto il mondo.     direttiva sulla privacy nelle
Manca ancora un quadro normativo             comunicazioni elettroniche del 2002.
aggiornato – in tema di privacy, ma          Fra le misure che entreranno in vigore
anche in ambito civile e penale - che        con il nuovo quadro giuridico è previsto
tenga conto di tutte le novità introdotte    anche l’obbligo per le società telefoniche
dal cloud computing e sia in grado           e gli Internet provider di notificare
di offrire adeguate tutele nei riguardi      alle competenti Autorità nazionali e,
delle fattispecie giuridiche connesse        in determinati casi, agli utenti, tutte
all’adozione di servizi distribuiti          le violazioni di sicurezza che comportino
di elaborazione e di conservazione dati.     la distruzione, la perdita o la diffusione
Basti pensare, ad esempio, che               indebita di dati personali trattati
la normativa europea sulla protezione        nell’ambito della fornitura del servizio.
dei dati risale al 1995.                     Un ulteriore importante cambiamento
Alcune utili novità per il settore delle     per tutto il settore delle comunicazioni
telecomunicazioni, che avranno un            elettroniche, e del cloud computing in
indubbio impatto anche sul cloud,            particolare, dovrebbe avvenire entro
sono state introdotte dal cosiddetto         il 2014, con l’approvazione del nuovo
“pacchetto Telecom”: in particolare dalla    Regolamento generale sulla protezione
direttiva 136/2009 - attualmente in corso    dei dati (Com 2012 11 def) proposto

                                                                                          13
dalla Commissione Europea.                     che permetta di governare il fenomeno
     Il nuovo Regolamento introdurrà                senza rischiare di penalizzare
     identiche regole in Europa e nei               l’innovazione e le potenzialità di sviluppo
     confronti di Stati terzi (riscrivendo quindi   delle “nuvole” informatiche, è necessario
     anche il Codice della privacy italiano),       che le imprese e la pubblica
     e in questo senso dovrebbe contribuire         amministrazione, incluse tra l’altro
     a rendere meno complesso e rischioso           le cosiddette “centrali di committenza”
     l’utilizzo di servizi cloud. Una delle         (soggetti che effettuano acquisti per una
     importanti innovazioni di questa riforma       pluralità di pubbliche amministrazioni),
     riguarderà l’estensione dell’obbligo di        prestino particolare attenzione ai rischi
     notifica delle violazioni di sicurezza che     connessi all’adozione dei servizi di cloud
     riguardino dati personali a tutti i titolari   computing, anche in relazione agli
     del trattamento dati come, ad esempio,         aspetti di protezione dei dati personali.
     banche, assicurazioni, Asl, enti locali.
     Quando previsto, le persone interessate        Il titolare e il responsabile
     saranno quindi informate senza ritardo         del trattamento
     della perdita o del furto dei loro dati.       La pubblica amministrazione o l’azienda,
                                                    “titolare del trattamento” dei dati
     NORMATIVA PRIVACY NELLE                        personali, che trasferisce del tutto
     NUVOLE – SPUNTI DI RIFLESSIONE                 o in parte il trattamento sulle “nuvole”,
                                                    deve procedere a designare
     In attesa di una normativa nazionale           il fornitore dei servizi cloud
     e internazionale aggiornata e uniforme,        “responsabile del trattamento”.

14
Questo significa che il cliente dovrà
sempre prestare molta attenzione a
come saranno utilizzati e conservati i dati
personali caricati sulla “nuvola”: in caso
di violazioni commesse dal fornitore,
anche il titolare sarà chiamato a
rispondere dell’eventuale illecito.
Il cliente di ridotte dimensioni, come        tra l’altro, che il titolare eserciti un
una piccola impresa o un ente locale,         potere di controllo nei confronti del
potrebbe tuttavia incontrare difficoltà       responsabile del trattamento (in questo
nel contrattare adeguate condizioni           caso il cloud provider), verificando
per la gestione dei dati spostati “sulla      la corretta esecuzione delle istruzioni
nuvola”. Anche in questo caso, non sarà       impartite in relazione ai dati personali
però sufficiente, per giustificare una        trattati.
eventuale violazione, affermare di non
avere avuto possibilità di negoziare          Trasferimento dei dati fuori
clausole contrattuali o modalità              dell’Unione Europea
di controllo più stringenti. Il cliente       Il Codice della privacy definisce regole
di servizi cloud, infatti, può sempre         precise per il trasferimento dei dati
rivolgersi ad altri fornitori che offrono     personali fuori dall’Unione europea
maggiori garanzie, in particolare per il      e vieta, in linea di principio,
rispetto della normativa sulla protezione     il trasferimento “anche temporaneo”
dei dati. Il Codice della privacy prevede,    di dati personali verso uno Stato

                                                                                         15
extraeuropeo, qualora l’ordinamento           Le limitazioni per il trasferimento
     del Paese di destinazione o di transito       dati all’estero incidono anche sugli
     dei dati non assicuri un adeguato livello     spostamenti “infragruppo” di una
     di tutela. Questa evenienza può               multinazionale.
     verificarsi frequentemente nel caso in cui    In questo caso, la presenza di forti
     si decida di usufruire di servizi di public   “norme vincolanti d’impresa” (binding
     cloud invece che di modalità private o        corporate rules) a tutela dei dati
     ibride. Per le sue valutazioni il titolare    personali può consentire l’eventuale
     del trattamento (in genere chi acquista       trasferimento dei dati nel rispetto
     servizi cloud) dovrà quindi tenere            della privacy degli interessati.
     in debito conto anche il luogo dove
     vengono conservati i dati e quali sono        Sicurezza dei dati
     i trattamenti previsti all’estero.            Il titolare del trattamento deve
     Il trasferimento di dati verso gli Stati      assicurarsi che siano adottate misure
     Uniti, ad esempio, può essere facilitato
     nel caso in cui il cloud provider aderisca
     a programmi di protezione dati come
     il cosiddetto Safe Harbor (letteralmente
     “porto sicuro”), un accordo bilaterale
     Ue-Usa che definisce regole sicure
     e condivise per il trasferimento dei
     dati personali effettuato verso aziende
     presenti sul territorio americano.

16
tecniche e organizzative volte a ridurre      o clienti non devono dimenticare che
al minimo i rischi di distruzione o perdita   il Codice della privacy attribuisce agli
anche accidentale dei dati, di accesso        interessati (le persone a cui si riferiscono
non autorizzato, di trattamento non           i dati) precisi diritti. Ad esempio,
consentito o non conforme alle finalità       l’interessato ha diritto di conoscere quali
della raccolta, di modifica dei dati in       siano i dati che lo riguardano in possesso
conseguenza di interventi non autorizzati     dell’amministrazione pubblica
o non conformi alle regole. Il cliente        o dell’impresa, per quale motivo siano
dovrebbe, ad esempio, accertarsi che          stati raccolti e come siano elaborati.
i dati siano sempre “disponibili” (che si     Può richiedere una copia intelligibile
possa cioè sempre accedere ai dati)           dei dati personali che lo riguardano,
e “riservati” (che l’accesso cioè sia         il loro aggiornamento, la rettifica o
consentito solo a chi ne ha diritto).         l’integrazione. In caso di violazione di
Per garantire che i dati siano al sicuro,     legge, può esigere anche il blocco, la
non sono importanti solo le modalità con      cancellazione o la trasformazione in
cui sono conservati, ma anche quelle          forma anonima di queste informazioni.
con cui sono trasmessi (ad esempio            Il cliente del servizio cloud, in qualità
utilizzando tecniche di cifratura).           di titolare del trattamento dati, per
                                              soddisfare queste richieste, deve poter
I diritti dell’interessato                    mantenere un adeguato controllo non
I soggetti pubblici e le imprese che          solo sulle attività del fornitore, ma anche
decidono di avvalersi di servizi cloud per    su quelle degli eventuali sub fornitori dei
gestire i dati personali dei loro utenti      quali il cloud provider potrebbe avvalersi.

                                                                                             17
VALUTAZIONE DEI RISCHI,.
DEI COSTI E DEI BENEFICI.
È opportuno scegliere bene il tipo              conservati o utilizzati documenti così
di cloud e il modello di servizio più adatto    preziosi. La voce “risparmio” non deve
alle proprie esigenze. In particolare se        quindi essere l’unico fattore di scelta.
si decide di adottare il public cloud, dove     I grandi fornitori globali di cloud
quasi tutto il processo viene                   computing si contano sulle dita di una
esternalizzato e i “nostri” dati più preziosi   mano. Quasi tutte le altre società che
sono dislocati “lontano” dal nostro             offrono servizi e infrastrutture tra le
controllo diretto. Il concetto di cloud può     “nuvole” si avvalgono infatti delle aziende
apparire evanescente, “virtuale”.               leader mondiali. Questa situazione riduce
In realtà, con le sue tecnologie si possono     di molto la capacità negoziale di una
gestire servizi estremamente concreti,          singola impresa o di una piccola
quali la distribuzione dei prodotti di          amministrazione pubblica, rendendo
un’azienda, i servizi dell’anagrafe di un       difficile trasformare la flessibilità
Comune, le prenotazioni e le analisi            tecnologica in flessibilità contrattuale.
mediche, il conto bancario on line e tanto      In questi casi la scelta di consorziarsi
altro. Nessuno lascerebbe in deposito il        con altri soggetti pubblici o imprese che
proprio portafoglio con i documenti e lo        hanno le medesime esigenze (ad esempio
stipendio alla prima persona incontrata al      tramite le associazioni di categoria)
mercato. Né affiderebbe il proprio libro        potrebbe garantire una capacità
mastro o i contratti stipulati con clienti e    contrattuale maggiore.
fornitori a un commercialista sconosciuto       Prima di optare per un certo tipo di
che gli promette di risparmiare, senza          “nuvola”, è comunque opportuno che
prima essersi accertato su come saranno         l’utente verifichi la quantità e la tipologia

                                                                                                19
di dati che intende esternalizzare             SICUREZZA
     (ad esempio dati personali, in particolare
     quelli sensibili, oppure dati critici per      Quali sono le misure di sicurezza
     la propria attività, come progetti riservati   adottate dal fornitore per proteggere
     o coperti da brevetto o segreto                i dati? Il fornitore di servizi cloud spesso
     industriale), valutando gli eventuali rischi   dispone di sistemi di protezione contro
     e le possibili conseguenze derivanti           virus, attacchi hacker o altri pericoli
     da tale scelta. È vero che il cliente spesso   informatici più efficaci rispetto a quelli
     non ha capacità di negoziare una               che potrebbe permettersi il singolo
     riformulazione dei “term of use” proposti      utente. È comunque necessario
     da chi offre i servizi: può però scegliere     informarsi bene su quali siano le misure
     tra differenti provider. Anche i fornitori     adottate dal cloud provider. Prima di
     cloud, comunque, potrebbero trarre             scegliere il partner cloud il cliente deve
     nuove opportunità dalla definizione di         sempre considerare che, affidandosi a un
     clausole “pro-privacy” o da una eventuale      fornitore remoto, può perdere il controllo
     preventiva certificazione indipendente sul     diretto ed esclusivo sui propri dati.
     rispetto della normativa europea sulla
     protezione dei dati personali per i servizi    RUOLI E RESPONSABILITÀ
     da loro offerti. La risposta ad alcune
     domande può aiutare a sviluppare               Chi è il reale fornitore del servizio che
     una corretta analisi dell’impatto              si sta acquisendo? Si tratta di una
     economico e organizzativo di queste            singola società o di un consorzio di
     tecnologie all’interno di un’impresa           imprese? Il servizio prescelto potrebbe
     o di una pubblica amministrazione.             essere il risultato finale di una “catena di

20
trasformazione” di servizi acquisiti presso
altri service provider, diversi dal fornitore
con cui l’utente stipula il contratto
di servizio. L’utente, a fronte di filiere       indisponibile laddove si verifichino
di responsabilità complesse, potrebbe            eventi anomali o guasti che impediscano
non essere messo in grado di sapere              l’accessibilità temporanea ai dati.
chi, tra i vari gestori dei servizi intermedi,   È quindi necessario valutare bene
può accedere a determinati dati.                 le conseguenze sulla propria società
                                                 o ente dell’eventuale interruzione,
DISPONIBILITÀ DEL SERVIZIO                       più o meno prolungata, del servizio,
E PIANO DI EMERGENZA                             considerare i costi diretti e indiretti
                                                 dell’inaccessibilità ai dati, e definire
In caso di problemi al collegamento              in anticipo con il fornitore cloud un
Internet, è comunque possibile                   eventuale piano di emergenza.
continuare a usufruire dei servizi senza
l’accesso al cloud? In quanto tempo può          RECUPERO DEI DATI
essere ripristinato il sistema? Esistono
piani di emergenza per i servizi                 È possibile che i dati sul cloud possano
essenziali? Il servizio virtuale, in assenza     essere persi o distrutti? Calamità
di adeguate garanzie in merito alla              naturali o attacchi informatici potrebbero
qualità della connettività di rete, potrebbe     compromettere il funzionamento di
occasionalmente risultare degradato in           alcuni data center. È particolarmente
presenza di attacchi informatici, di elevati     importante individuare possibili
picchi di traffico o addirittura                 procedure di recupero dei dati

                                                                                              21
e quantificare l’impatto economico           dell’Unione europea? L’identificazione
     e organizzativo dell’eventuale perdita       del luogo in cui i dati sono conservati
     o cancellazione di dati presenti             o elaborati ha riflessi immediati sia
     solo sul cloud.                              sulla normativa applicabile in caso di
                                                  contenzioso tra il cliente e il fornitore, sia
     CONFIDENZIALITÀ                              in relazione alle disposizioni nazionali che
                                                  disciplinano il trattamento, l’archiviazione
     Esistono garanzie di riservatezza per i      e la sicurezza dei dati.
     nostri dati nel caso in cui un concorrente   La conoscenza di questi elementi
     condivida gli stessi servizi cloud?          garantirà un rapporto più trasparente tra
     I fornitori custodiscono dati di singoli     il cliente e il fornitore di cloud computing.
     e di organizzazioni che potrebbero avere     È poi necessario non dimenticare che la
     interessi ed esigenze differenti o persino   normativa sulla privacy, al fine di tutelare
     obiettivi contrastanti e in concorrenza.     le persone interessate, prevede che i dati
     È quindi opportuno valutare le garanzie      possano essere “esportati” in Paesi fuori
     offerte a tutela della confidenzialità       dall’Unione europea solo in precisi casi
     delle informazioni trasferite sul cloud.     e quando sia offerta una protezione
                                                  adeguata rispetto a quella prevista dalla
     COLLOCAZIONE DEI SERVER                      legislazione comunitaria. Un servizio
                                                  cloud potrebbe quindi celare dei costi
     In quale Stato sono conservati i dati        extra imprevisti, determinati dalla ridotta
     caricati sulla “nuvola”? È possibile         capacità di controllo sui propri dati
     scegliere di usufruire di server collocati   o da più probabili contenziosi legali
     solo in territorio nazionale o in Paesi      nazionali e internazionali.

22
MIGRAZIONE                                    a proprio vantaggio con la certezza
                                              che il cliente - considerata l’impossibilità
La tecnologia utilizzata dal fornitore        pratica di trasferire agevolmente
di cloud è di tipo “proprietario”? I dati     i dati presso un altro fornitore
possono essere esportati facilmente?          e di recedere dal servizio - non potrà
L’adozione da parte del fornitore del         far altro che accettarle.
servizio di tecnologie proprie può, in
taluni casi, rendere complessa per            ASSICURAZIONE SUL DANNO
l’utente la migrazione di dati e
documenti da un sistema cloud ad un           Nel caso in cui si accerti una violazione
altro o lo scambio di informazioni con        o la perdita dei dati, il fornitore
soggetti che utilizzino servizi cloud di      garantisce un pronto risarcimento
fornitori differenti, ponendo quindi a        del danno? Le attuali incertezze
rischio la portabilità o l’interoperabilità   normative possono rendere difficile
dei dati. Questa evenienza potrebbe dare      e oneroso riuscire a ottenere un
luogo a politiche commerciali poco            adeguato risarcimento per i danni subiti
trasparenti. In un primo momento,             in seguito a violazioni, a perdita di dati,
il fornitore potrebbe ad esempio              a interruzione anche temporanea
presentare al cliente un’offerta di servizi   del servizio cloud.
cloud economicamente vantaggiosa e            La presenza di un’assicurazione o di
con adeguate garanzie a protezione dei        procedure semplificate per la risoluzione
dati. In un secondo momento, una volta        di controversie, anche internazionali, può
acquisito il cliente, potrebbe invece         sicuramente essere un valore aggiunto
cambiare le condizioni del contratto          per utenti di piccole dimensioni.

                                                                                             23
IL DECALOGO.
PER UNA SCELTA.
CONSAPEVOLE.
1                                             le caratteristiche qualitative dei servizi
EFFETTUARE UNA VERIFICA                        di connettività di cui si avvale il fornitore
SULL’AFFIDABILITÀ                              in termini di capacità e affidabilità.
DEL FORNITORE                                  Sarà utile considerare anche l’impiego
Gli utenti dovrebbero accertare                da parte del fornitore di personale
l’esperienza, la capacità e l’affidabilità     qualificato, l’adeguatezza delle sue
del fornitore prima di trasferire sui          infrastrutture informatiche e di
sistemi cloud i propri dati più preziosi,      comunicazione, la disponibilità ad
tenendo in considerazione le proprie           assumersi una responsabilità risarcitoria
esigenze istituzionali o imprenditoriali, la   (che dovrebbe essere esplicitamente
quantità e la tipologia delle informazioni     prevista dal contratto di servizio) in caso
che intendono allocare, i rischi e             di eventuali falle nel sistema di sicurezza
le misure di sicurezza adottate. Anche         o di interruzioni del servizio.
in funzione della tipologia di servizio
desiderato, oltre che della criticità dei       2
dati, è opportuno che gli utenti valutino:     PRIVILEGIARE I SERVIZI
la struttura societaria del fornitore,         CHE FAVORISCONO
le referenze, le garanzie di legge offerte     LA PORTABILITÀ DEI DATI
in ordine alla confidenzialità dei dati        È consigliabile ricorrere a servizi di cloud
e alle misure adottate per assicurare la       computing privilegiando quelli basati su
continuità operativa a fronte di eventuali     formati e standard aperti, che facilitino
e imprevisti malfunzionamenti.                 la transizione da un sistema cloud ad un
Gli utenti dovrebbero valutare, inoltre,       altro, anche se gestiti da fornitori diversi.

                                                                                               25
adeguate garanzie sulla disponibilità
                                                    e sulle prestazioni dei servizi cloud.
                                                    L’adozione di servizi che non offrono
                                                    adeguate garanzie di riservatezza
                                                    e di continuità operativa può comportare
                                                    rilevanti ripercussioni non solo sul
                                                    cliente del servizio cloud, ma anche
                                                    sui soggetti a cui si riferiscono i dati
     La portabilità dei dati consente               personali trattati, come avviene per
     di recedere dal servizio senza incorrere       le pubbliche amministrazioni e per
     in spese e disagi difficilmente prevedibili.   le società che offrono servizi a terzi.
     Tale opzione limita anche il rischio           In tal senso, a fronte del contenimento
     che i fornitori, sfruttando la loro            dei costi, il titolare del trattamento (in
     posizione di forza negoziale, adottino         genere chi acquista servizi cloud) dovrà
     eventuali modifiche unilaterali                comunque prevedere la possibilità di
     e peggiorative dei contratti di servizio       conservare una copia dei dati allocati
     cloud instaurati con il cliente.               sul cloud, in particolare di quelli la cui
                                                    perdita o indisponibilità potrebbe causare
     3                                              gravissimi danni, non solo economici
     ASSICURARSI LA DISPONIBILITÀ                   o di immagine: si pensi a dati
     DEI DATI IN CASO DI NECESSITÀ                  particolarmente delicati come
     È opportuno chiedere che nel contratto         quelli di tipo sanitario o giudiziario,
     con il fornitore siano ben specificate         o di carattere fiscale e patrimoniale.

26
4                                           5
SELEZIONARE I DATI                           NON PERDERE DI VISTA I DATI
DA INSERIRE NELLA NUVOLA                     È sempre opportuno che l’utente valuti
Alcune informazioni, come quelle             accuratamente il tipo di servizio offerto,
coperte da segreto industriale               anche verificando se i dati rimarranno
e tutti i dati sensibili (ad esempio         nella disponibilità fisica dell’operatore
quelli relativi alla salute, all’etnia,      con cui è stato stipulato il contratto
alle opinioni politiche o alle iscrizioni    oppure se questi svolga un ruolo di
a sindacati), richiedono, per loro           intermediario, ovvero offra un servizio
intrinseca natura, particolari               basato sulle tecnologie messe a
misure di sicurezza.                         disposizione da un operatore terzo.
In tali casi, poiché dall’inserimento dei    Si pensi, ad esempio, a un applicativo
dati nel cloud consegue comunque una         in modalità cloud nel quale il fornitore
inferiore capacità di controllo diretto
da parte dell’utente e un’esposizione
a rischi non sempre prevedibili di perdita
o di accesso abusivo, è bene valutare
con responsabile attenzione se ricorrere
ai servizi di cloud computing
(in particolare di tipo “pubblico”),
oppure se utilizzare altre forme di
outsourcing, ovvero mantenere “in sede”
il trattamento di tali dati.

                                                                                          27
del servizio finale di elaborazione dati        ma soprattutto per verificare il livello
     si avvalga di un servizio di “stoccaggio”       di protezione assicurato ai dati.
     acquisito da un terzo. In tal caso,             Il trasferimento di dati in Paesi che non
     saranno i sistemi fisici di quest’ultimo        offrono adeguate garanzie di sicurezza
     operatore che concretamente                     e confidenzialità potrebbe comportare
     ospiteranno i dati immessi nel cloud            un illecito trattamento dei dati personali,
     dall’utente. Per valutare la qualità            oltre a eventuali danni irreparabili per
     del cloud è quindi necessario informarsi        le attività istituzionali dei soggetti pubblici
     sulle prestazioni offerte da tutti i soggetti   o per il business delle imprese.
     coinvolti nella fornitura del servizio.         In ogni caso, l’utente, prima di caricare
                                                     i dati “sulla nuvola” e di consentire il loro
      6                                              eventuale trasferimento in Paesi fuori
     INFORMARSI SU                                   dall’Unione europea, deve accertarsi che
     DOVE RISIEDERANNO,                              questo spostamento avvenga nel rispetto
     CONCRETAMENTE, I DATI                           delle garanzie previste dalla normativa
     È importante per l’utente sapere se             italiana e comunitaria in tema
     i propri dati vengono trasferiti ed             di protezione dei dati personali.
     elaborati da server in Italia, in Europa        Se l’azienda, ad esempio, è statunitense
     o in un Paese extraeuropeo. Tale                è bene verificare che abbia aderito
     informazione può essere determinante            all’accordo Safe Harbor che definisce
     per stabilire la giurisdizione e la legge       regole condivise con le istituzioni europee
     applicabile nel caso di controversie            per il trattamento dei dati personali.
     tra l’utente e il fornitore del servizio,       Così come è utile controllare che

28
le aziende al di fuori dell’Ue coinvolte      modalità per il recesso dal servizio
nel cloud abbiano sottoposto le proprie       e il passaggio ad altro fornitore.
procedure di sicurezza e di trattamento       Un elemento da privilegiare è senz’altro
dei dati a specifici percorsi di              la previsione di garanzie di qualità
certificazione, come quelli regolati          chiare, corredate da penali, che pongano
dagli standard ISO per la gestione            a carico del fornitore le eventuali
della sicurezza. Oppure se nei contratti      inadempienze o le conseguenze di
di outsourcing proposti al cliente siano      determinati eventi (ad es. accesso non
state inserite le specifiche “clausole        consentito, perdita dei dati, indisponibilità
contrattuali tipo” approvate dalla            per malfunzionamenti ecc.).
Commissione europea per i trasferimenti       Si suggerisce di verificare anche
di dati personali verso Paesi terzi.          l’eventuale partecipazione di ulteriori
                                              soggetti che concorrano come
 7                                            subfornitori all’erogazione del servizio
ATTENZIONE ALLE CLAUSOLE                      cloud e all’eventuale trattamento dei dati.
CONTRATTUALI
È importante valutare l’idoneità delle         8
condizioni contrattuali per l’erogazione      VERIFICARE TEMPI E MODALITÀ
del servizio di cloud con particolare         DI CONSERVAZIONE DEI DATI
riferimento agli obblighi e alle              In fase di acquisizione del servizio
responsabilità in caso di perdita             cloud è opportuno approfondire e
e di illecita diffusione dei dati custoditi   prevedere nel contratto le politiche
nella “nuvola”, nonché alle eventuali         adottate dal fornitore riguardo ai tempi

                                                                                              29
9
                                                  ESIGERE ADEGUATE MISURE
                                                  DI SICUREZZA
                                                  Nell’ottica di proteggere la
                                                  confidenzialità dei dati, occorre valutare
                                                  con attenzione anche le misure
                                                  di sicurezza utilizzate dal fornitore del
     di conservazione dei dati nella nuvola.      servizio cloud. In generale si raccomanda
     Ove non sia già prevista per legge           di privilegiare i fornitori che utilizzino
     l’immediata cancellazione dei dati del       modalità di archiviazione e trasmissione
     titolare allo scadere del contratto cloud,   sicure, mediante tecniche crittografiche
     è necessario accertare il termine ultimo     (specialmente quando i dati trattati sono
     oltre il quale il fornitore (responsabile    particolarmente delicati), accompagnate
     del trattamento) debba cancellare            da robusti meccanismi di identificazione
     definitivamente i dati a lui affidati.       dei soggetti autorizzati all’accesso.
     Il fornitore dovrà quindi assicurare
     che i dati non saranno conservati             10
     oltre i suddetti termini o comunque          FORMARE ADEGUATAMENTE
     al di fuori di quanto esplicitamente         IL PERSONALE
     stabilito con l’utente stesso. In ogni       Il personale, sia quello del cliente
     caso, i dati dovranno essere sempre          che quello del fornitore, incaricato del
     conservati solo nel rispetto delle           trattamento dei dati mediante servizi
     finalità e delle modalità concordate.        di cloud computing dovrebbe essere

30
appositamente formato, al fine                 personali, senza diffonderli magari
di limitare rischi di accesso illecito,        su Internet e senza effettuare
di perdita di dati o, più in generale,         comunicazioni sistematiche di tali dati
di trattamento non consentito.                 a più individui. È comunque opportuno
L’attività di formazione dovrebbe              ricordare che anche le cosiddette
riguardare sia gli elementi tecnici            “persone fisiche” sono tenute a
che consentono una scelta consapevole          conservare con cura i dati affinché la
delle tecnologie cloud adottate, sia le fasi   loro eventuale perdita non possa causare
operative del trattamento, come                danni ad altre persone. L’adozione di
l’inserimento dei dati sulla “nuvola” e la     nuove tecnologie per la mobilità, come
loro elaborazione. La protezione dei dati      smartphone e tablet, dotati di grandi
può infatti essere messa a repentaglio         quantità di memoria, spesso connessi
non solo da eventuali comportamenti            a servizi cloud non protetti che
sleali o fraudolenti, ma anche da errori       consentono di sfruttare lo stesso
materiali, leggerezza o negligenza             strumento per attività private e
del personale.                                 professionali, ha però aumentato
                                               il rischio di perdita di controllo dei
                                               dati personali. Si consiglia quindi
UNA PRECAUZIONE EXTRA                          di conservare con cura gli strumenti
PER GLI UTENTI PRIVATI                         tecnologici utilizzati per scopi personali,
Le disposizioni previste dal Codice            e di adottare tutte le cautele al fine
della privacy non si applicano a singole       di impedire accessi anche accidentali,
persone che trattano i dati per scopi          da parte di terzi, ai dati personali.

                                                                                             31
Piazza di Monte Citorio, 121
                        00186 Roma
                        tel. 06 696771
                        fax 06 696773785

                        Per informazioni presso l’Autorità:

                                                                        Stampa: IAG Mengarelli - maggio 2012
                        Ufficio per le relazioni con il pubblico
                        Lunedì - Venerdì ore 10.00 - 13.00
                        tel. 06 696772917/9
                        e-mail: urp@garanteprivacy.it
                        pec: urp@pec.gpdp.it

                        A cura del Servizio relazioni
www.garanteprivacy.it   con i mezzi di informazione
                                                                   32
Puoi anche leggere