CLOUD COMPUTING PROTEGGERE I DATI PER NON CADERE DALLE NUVOLE - Mini guida per imprese e pubblica amministrazione
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
CLOUD COMPUTING
PROTEGGERE I DATI
PER NON CADERE DALLE NUVOLE
Mini guida per imprese
e pubblica amministrazione
COS’È IL 4 CLOUD COMPUTING NUVOLE DIVERSE 8 PER ESIGENZE DIVERSE IL QUADRO 12 GIURIDICO VALUTAZIONE DEI RISCHI, 18 DEI COSTI E DEI BENEFICI IL DECALOGO PER UNA 24 SCELTA CONSAPEVOLE
CLOUD COMPUTING PROTEGGERE I DATI PER NON CADERE DALLE NUVOLE Ogni imprenditore, ma anche ogni attento amministratore pubblico, si adopera per offrire, rispettivamente ai propri clienti e ai cittadini, servizi migliori a minor costo. Le tecnologie infor- matiche, in particolare quelle del cloud computing, garanti- scono oggi soluzioni innovative per gestire molteplici attività con efficienza e possibili risparmi. Ma presentano criticità e rischi per la privacy di cui è bene tenere conto. Prima di ester- nalizzare la gestione di dati e documenti o adottare nuovi modelli organizzativi è necessario porsi alcune domande, scegliendo con cura la soluzione più sicura per le attività isti- tuzionali o per il proprio business. Con questo vademecum, il Garante per la protezione dei dati personali intende offrire alcune indicazioni valide per tutti gli utenti, in particolare imprese e amministrazioni pubbliche. L’obiettivo è quello di far riflettere su alcuni importanti aspetti giuridici, economici e tecnologici in un settore in velocissima espansione e di promuovere un utilizzo corretto delle nuove modalità di eroga- zione dei servizi informatici.
COS’È IL CLOUD.
COMPUTING.
4
Con il termine cloud computing, Tutto può essere demandato all’esterno,
o semplicemente cloud, ci si riferisce in outsourcing, e a un costo
a un insieme di tecnologie e di modalità potenzialmente limitato, in quanto
di fruizione di servizi informatici le risorse informatiche necessarie
che favoriscono l’utilizzo e l’erogazione per i servizi richiesti possono essere
di software, la possibilità di conservare condivise con altri soggetti che hanno
e di elaborare grandi quantità le stesse esigenze.
di informazioni via Internet.
Il cloud offre, a seconda dei casi,
il trasferimento della conservazione
o dell’elaborazione dei dati dai computer
degli utenti ai sistemi del fornitore.
Il cloud consente, inoltre, di usufruire
di servizi complessi senza doversi
necessariamente dotare né di computer
e altri hardware avanzati, né di
personale in grado di programmare
o gestire il sistema.
5
L’AUTOMOBILE “INFORMATICA” Opzione 2 – intervento esterno:
E IL CLOUD PER PROFANI si può decidere di acquistare
l’automobile e di portarla in caso
Opzione 1 – tutto in casa: di necessità da un meccanico
se una persona o una società di fiducia, di affittarla, di prenderla
ha bisogno di un’automobile può in leasing, di chiamare un taxi o
progettarla, acquistarne le singole noleggiare una vettura con autista.
componenti e assemblarle, nonché La scelta tra queste opzioni è
attrezzare all’interno della propria determinata dal tipo di utilizzo che
casa o della propria sede un’officina si vuole fare dell’autoveicolo, dalla
con personale specializzato per frequenza con cui se ne fruisce,
le riparazioni e la manutenzione. dalle prestazioni che eventualmente
si desiderano e, comunque, dalle
risorse economiche a disposizione.
6Con il cloud computing ci troviamo
in questa seconda opzione.
Non parliamo di automobili o altri
mezzi di trasporto ma di servizi
informatici. Le soluzioni offerte dal
cloud generalmente possono essere
più flessibili, efficienti, adattabili
ed economiche di quelle sviluppate Spesso utilizziamo tecnologie cloud
in-house (in casa propria). senza neppure saperlo. Alcuni dei più
Ma possono comportare il rischio diffusi servizi di posta elettronica o di
di una potenziale perdita di controllo elaborazione testi sono “sulle nuvole”.
sui propri dati. Anche molte delle funzioni offerte
dai cellulari di nuova generazione
(i cosiddetti smartphone) sono
basate sul cloud: ad esempio quelle
che sfruttano la geolocalizzazione
consigliandoci i locali o gli esercizi
commerciali più vicini, che consentono
di ascoltare musica o di accedere
a giochi on line, nonché tante altre
funzioni e “app”(applicazioni).
7NUVOLE DIVERSE. PER ESIGENZE. DIVERSE.
Esistono vari tipi di cloud computing,
classificati sia in base all’architettura
della “nuvola” e alla gestione interna
o esterna del trattamento dati, sia in
relazione al modello di servizio offerto
al cliente. Ogni tipo di cloud ha le sue puntuale. Le “nuvole private” possono
caratteristiche peculiari che dovranno essere paragonate ai tradizionali “data
essere ben valutate dalle società center” nei quali, però, sono usati degli
e dalle pubbliche amministrazioni accorgimenti tecnologici che permettono
che intendono servirsi delle “nuvole”. di ottimizzare l’utilizzo delle risorse
disponibili e di potenziarle agevolmente
TIPI DI CLOUD in caso di necessità.
Private Cloud Public Cloud
La “nuvola privata” è una infrastruttura Nel caso della “nuvola pubblica”,
informatica (rete di computer collegati l’infrastruttura è di proprietà di un
per offrire servizi) per lo più dedicata fornitore specializzato nell’erogazione
alle esigenze di una singola di servizi che mette a disposizione
organizzazione, ubicata nei suoi locali di utenti, aziende o amministrazioni i
o affidata in gestione ad un terzo (nella propri sistemi attraverso la condivisione
tradizionale forma dell’hosting dei e l’erogazione via Internet di applicazioni
server), nei confronti del quale il titolare informatiche, di capacità elaborativa e
dei dati può esercitare un controllo di “stoccaggio” dati. La fruizione di tali
9accanto a servizi acquisiti da cloud
pubblici - e i cloud di gruppo (community
cloud), in cui l’infrastruttura è condivisa
da diverse organizzazioni a beneficio
di una specifica comunità di utenti.
servizi avviene tramite la rete Internet
e implica il trasferimento dei soli dati o
anche dell’attività di elaborazione presso
i sistemi del fornitore del servizio, il
quale assume un ruolo importante in
ordine all’efficacia delle misure adottate
per garantire la protezione delle
informazioni che gli sono state affidate.
Con il cloud pubblico l’utente insieme
ai dati, infatti, cede una parte importante
del controllo esercitabile su di essi. TRE MODELLI DI SERVIZI CLOUD
Altre “nuvole” Cloud Infrastructure as a Service - IaaS
Esistono altri tipi di nuvole con (infrastruttura cloud resa disponibile
caratteristiche miste, quali i cloud come servizio)
ibridi (hybrid cloud) - caratterizzati da Il fornitore del servizio cloud offre,
soluzioni che prevedono l’utilizzo di secondo un modello “a consumo”, gli
servizi erogati da infrastrutture private strumenti hardware e software di base
10(spazi di memoria, sistemi operativi, per l’accesso informatico ai documenti,
programmi di virtualizzazione…), la rubrica dei contatti e i calendari
cioè server virtuali remoti che l’utente condivisi, ma anche ai più avanzati
finale può utilizzare in sostituzione o in servizi di posta elettronica.
affiancamento ai sistemi già presenti nei
locali dell’azienda o dell’amministrazione. Cloud Platform as a Service - PaaS
Tali fornitori sono in genere operatori (piattaforme software fornite via
di mercato specializzati, che dispongono Internet come servizio)
di un’infrastruttura tecnologica, Il fornitore offre soluzioni evolute
complessa e spesso distribuita di sviluppo software che rispondono
in aree geografiche diverse. alle specifiche esigenze del cliente.
In genere questo tipo di servizi è rivolto a
Cloud Software as a Service - SaaS operatori di mercato che li utilizzano per
(software erogato come servizio sviluppare e ospitare soluzioni applicative
del cloud) proprie (ad esempio applicativi per la
Il fornitore eroga via Internet una gestione finanziaria, della contabilità
serie di servizi applicativi ponendoli o della logistica), allo scopo di assolvere
a disposizione degli utenti finali. a esigenze interne, oppure per fornire
Si pensi, ad esempio, ad applicazioni a loro volta servizi a terzi. Anche nel caso
comunemente usate negli uffici erogate dei PaaS, il servizio erogato dal fornitore
in modalità web quali l’elaborazione limita la necessità per il fruitore di
di fogli di calcolo o di testi, la gestione doversi dotare internamente di strumenti
del protocollo e delle regole hardware o software specifici o aggiuntivi.
11IL QUADRO. GIURIDICO.
LA SFIDA INTERNAZIONALE
La tecnologia cloud procede molto più di recepimento da parte degli Stati
velocemente dell’attività del legislatore, membri dell’Ue – che modifica la
non solo in Italia ma in tutto il mondo. direttiva sulla privacy nelle
Manca ancora un quadro normativo comunicazioni elettroniche del 2002.
aggiornato – in tema di privacy, ma Fra le misure che entreranno in vigore
anche in ambito civile e penale - che con il nuovo quadro giuridico è previsto
tenga conto di tutte le novità introdotte anche l’obbligo per le società telefoniche
dal cloud computing e sia in grado e gli Internet provider di notificare
di offrire adeguate tutele nei riguardi alle competenti Autorità nazionali e,
delle fattispecie giuridiche connesse in determinati casi, agli utenti, tutte
all’adozione di servizi distribuiti le violazioni di sicurezza che comportino
di elaborazione e di conservazione dati. la distruzione, la perdita o la diffusione
Basti pensare, ad esempio, che indebita di dati personali trattati
la normativa europea sulla protezione nell’ambito della fornitura del servizio.
dei dati risale al 1995. Un ulteriore importante cambiamento
Alcune utili novità per il settore delle per tutto il settore delle comunicazioni
telecomunicazioni, che avranno un elettroniche, e del cloud computing in
indubbio impatto anche sul cloud, particolare, dovrebbe avvenire entro
sono state introdotte dal cosiddetto il 2014, con l’approvazione del nuovo
“pacchetto Telecom”: in particolare dalla Regolamento generale sulla protezione
direttiva 136/2009 - attualmente in corso dei dati (Com 2012 11 def) proposto
13dalla Commissione Europea. che permetta di governare il fenomeno
Il nuovo Regolamento introdurrà senza rischiare di penalizzare
identiche regole in Europa e nei l’innovazione e le potenzialità di sviluppo
confronti di Stati terzi (riscrivendo quindi delle “nuvole” informatiche, è necessario
anche il Codice della privacy italiano), che le imprese e la pubblica
e in questo senso dovrebbe contribuire amministrazione, incluse tra l’altro
a rendere meno complesso e rischioso le cosiddette “centrali di committenza”
l’utilizzo di servizi cloud. Una delle (soggetti che effettuano acquisti per una
importanti innovazioni di questa riforma pluralità di pubbliche amministrazioni),
riguarderà l’estensione dell’obbligo di prestino particolare attenzione ai rischi
notifica delle violazioni di sicurezza che connessi all’adozione dei servizi di cloud
riguardino dati personali a tutti i titolari computing, anche in relazione agli
del trattamento dati come, ad esempio, aspetti di protezione dei dati personali.
banche, assicurazioni, Asl, enti locali.
Quando previsto, le persone interessate Il titolare e il responsabile
saranno quindi informate senza ritardo del trattamento
della perdita o del furto dei loro dati. La pubblica amministrazione o l’azienda,
“titolare del trattamento” dei dati
NORMATIVA PRIVACY NELLE personali, che trasferisce del tutto
NUVOLE – SPUNTI DI RIFLESSIONE o in parte il trattamento sulle “nuvole”,
deve procedere a designare
In attesa di una normativa nazionale il fornitore dei servizi cloud
e internazionale aggiornata e uniforme, “responsabile del trattamento”.
14Questo significa che il cliente dovrà
sempre prestare molta attenzione a
come saranno utilizzati e conservati i dati
personali caricati sulla “nuvola”: in caso
di violazioni commesse dal fornitore,
anche il titolare sarà chiamato a
rispondere dell’eventuale illecito.
Il cliente di ridotte dimensioni, come tra l’altro, che il titolare eserciti un
una piccola impresa o un ente locale, potere di controllo nei confronti del
potrebbe tuttavia incontrare difficoltà responsabile del trattamento (in questo
nel contrattare adeguate condizioni caso il cloud provider), verificando
per la gestione dei dati spostati “sulla la corretta esecuzione delle istruzioni
nuvola”. Anche in questo caso, non sarà impartite in relazione ai dati personali
però sufficiente, per giustificare una trattati.
eventuale violazione, affermare di non
avere avuto possibilità di negoziare Trasferimento dei dati fuori
clausole contrattuali o modalità dell’Unione Europea
di controllo più stringenti. Il cliente Il Codice della privacy definisce regole
di servizi cloud, infatti, può sempre precise per il trasferimento dei dati
rivolgersi ad altri fornitori che offrono personali fuori dall’Unione europea
maggiori garanzie, in particolare per il e vieta, in linea di principio,
rispetto della normativa sulla protezione il trasferimento “anche temporaneo”
dei dati. Il Codice della privacy prevede, di dati personali verso uno Stato
15extraeuropeo, qualora l’ordinamento Le limitazioni per il trasferimento
del Paese di destinazione o di transito dati all’estero incidono anche sugli
dei dati non assicuri un adeguato livello spostamenti “infragruppo” di una
di tutela. Questa evenienza può multinazionale.
verificarsi frequentemente nel caso in cui In questo caso, la presenza di forti
si decida di usufruire di servizi di public “norme vincolanti d’impresa” (binding
cloud invece che di modalità private o corporate rules) a tutela dei dati
ibride. Per le sue valutazioni il titolare personali può consentire l’eventuale
del trattamento (in genere chi acquista trasferimento dei dati nel rispetto
servizi cloud) dovrà quindi tenere della privacy degli interessati.
in debito conto anche il luogo dove
vengono conservati i dati e quali sono Sicurezza dei dati
i trattamenti previsti all’estero. Il titolare del trattamento deve
Il trasferimento di dati verso gli Stati assicurarsi che siano adottate misure
Uniti, ad esempio, può essere facilitato
nel caso in cui il cloud provider aderisca
a programmi di protezione dati come
il cosiddetto Safe Harbor (letteralmente
“porto sicuro”), un accordo bilaterale
Ue-Usa che definisce regole sicure
e condivise per il trasferimento dei
dati personali effettuato verso aziende
presenti sul territorio americano.
16tecniche e organizzative volte a ridurre o clienti non devono dimenticare che
al minimo i rischi di distruzione o perdita il Codice della privacy attribuisce agli
anche accidentale dei dati, di accesso interessati (le persone a cui si riferiscono
non autorizzato, di trattamento non i dati) precisi diritti. Ad esempio,
consentito o non conforme alle finalità l’interessato ha diritto di conoscere quali
della raccolta, di modifica dei dati in siano i dati che lo riguardano in possesso
conseguenza di interventi non autorizzati dell’amministrazione pubblica
o non conformi alle regole. Il cliente o dell’impresa, per quale motivo siano
dovrebbe, ad esempio, accertarsi che stati raccolti e come siano elaborati.
i dati siano sempre “disponibili” (che si Può richiedere una copia intelligibile
possa cioè sempre accedere ai dati) dei dati personali che lo riguardano,
e “riservati” (che l’accesso cioè sia il loro aggiornamento, la rettifica o
consentito solo a chi ne ha diritto). l’integrazione. In caso di violazione di
Per garantire che i dati siano al sicuro, legge, può esigere anche il blocco, la
non sono importanti solo le modalità con cancellazione o la trasformazione in
cui sono conservati, ma anche quelle forma anonima di queste informazioni.
con cui sono trasmessi (ad esempio Il cliente del servizio cloud, in qualità
utilizzando tecniche di cifratura). di titolare del trattamento dati, per
soddisfare queste richieste, deve poter
I diritti dell’interessato mantenere un adeguato controllo non
I soggetti pubblici e le imprese che solo sulle attività del fornitore, ma anche
decidono di avvalersi di servizi cloud per su quelle degli eventuali sub fornitori dei
gestire i dati personali dei loro utenti quali il cloud provider potrebbe avvalersi.
17VALUTAZIONE DEI RISCHI,. DEI COSTI E DEI BENEFICI.
È opportuno scegliere bene il tipo conservati o utilizzati documenti così
di cloud e il modello di servizio più adatto preziosi. La voce “risparmio” non deve
alle proprie esigenze. In particolare se quindi essere l’unico fattore di scelta.
si decide di adottare il public cloud, dove I grandi fornitori globali di cloud
quasi tutto il processo viene computing si contano sulle dita di una
esternalizzato e i “nostri” dati più preziosi mano. Quasi tutte le altre società che
sono dislocati “lontano” dal nostro offrono servizi e infrastrutture tra le
controllo diretto. Il concetto di cloud può “nuvole” si avvalgono infatti delle aziende
apparire evanescente, “virtuale”. leader mondiali. Questa situazione riduce
In realtà, con le sue tecnologie si possono di molto la capacità negoziale di una
gestire servizi estremamente concreti, singola impresa o di una piccola
quali la distribuzione dei prodotti di amministrazione pubblica, rendendo
un’azienda, i servizi dell’anagrafe di un difficile trasformare la flessibilità
Comune, le prenotazioni e le analisi tecnologica in flessibilità contrattuale.
mediche, il conto bancario on line e tanto In questi casi la scelta di consorziarsi
altro. Nessuno lascerebbe in deposito il con altri soggetti pubblici o imprese che
proprio portafoglio con i documenti e lo hanno le medesime esigenze (ad esempio
stipendio alla prima persona incontrata al tramite le associazioni di categoria)
mercato. Né affiderebbe il proprio libro potrebbe garantire una capacità
mastro o i contratti stipulati con clienti e contrattuale maggiore.
fornitori a un commercialista sconosciuto Prima di optare per un certo tipo di
che gli promette di risparmiare, senza “nuvola”, è comunque opportuno che
prima essersi accertato su come saranno l’utente verifichi la quantità e la tipologia
19di dati che intende esternalizzare SICUREZZA
(ad esempio dati personali, in particolare
quelli sensibili, oppure dati critici per Quali sono le misure di sicurezza
la propria attività, come progetti riservati adottate dal fornitore per proteggere
o coperti da brevetto o segreto i dati? Il fornitore di servizi cloud spesso
industriale), valutando gli eventuali rischi dispone di sistemi di protezione contro
e le possibili conseguenze derivanti virus, attacchi hacker o altri pericoli
da tale scelta. È vero che il cliente spesso informatici più efficaci rispetto a quelli
non ha capacità di negoziare una che potrebbe permettersi il singolo
riformulazione dei “term of use” proposti utente. È comunque necessario
da chi offre i servizi: può però scegliere informarsi bene su quali siano le misure
tra differenti provider. Anche i fornitori adottate dal cloud provider. Prima di
cloud, comunque, potrebbero trarre scegliere il partner cloud il cliente deve
nuove opportunità dalla definizione di sempre considerare che, affidandosi a un
clausole “pro-privacy” o da una eventuale fornitore remoto, può perdere il controllo
preventiva certificazione indipendente sul diretto ed esclusivo sui propri dati.
rispetto della normativa europea sulla
protezione dei dati personali per i servizi RUOLI E RESPONSABILITÀ
da loro offerti. La risposta ad alcune
domande può aiutare a sviluppare Chi è il reale fornitore del servizio che
una corretta analisi dell’impatto si sta acquisendo? Si tratta di una
economico e organizzativo di queste singola società o di un consorzio di
tecnologie all’interno di un’impresa imprese? Il servizio prescelto potrebbe
o di una pubblica amministrazione. essere il risultato finale di una “catena di
20trasformazione” di servizi acquisiti presso
altri service provider, diversi dal fornitore
con cui l’utente stipula il contratto
di servizio. L’utente, a fronte di filiere indisponibile laddove si verifichino
di responsabilità complesse, potrebbe eventi anomali o guasti che impediscano
non essere messo in grado di sapere l’accessibilità temporanea ai dati.
chi, tra i vari gestori dei servizi intermedi, È quindi necessario valutare bene
può accedere a determinati dati. le conseguenze sulla propria società
o ente dell’eventuale interruzione,
DISPONIBILITÀ DEL SERVIZIO più o meno prolungata, del servizio,
E PIANO DI EMERGENZA considerare i costi diretti e indiretti
dell’inaccessibilità ai dati, e definire
In caso di problemi al collegamento in anticipo con il fornitore cloud un
Internet, è comunque possibile eventuale piano di emergenza.
continuare a usufruire dei servizi senza
l’accesso al cloud? In quanto tempo può RECUPERO DEI DATI
essere ripristinato il sistema? Esistono
piani di emergenza per i servizi È possibile che i dati sul cloud possano
essenziali? Il servizio virtuale, in assenza essere persi o distrutti? Calamità
di adeguate garanzie in merito alla naturali o attacchi informatici potrebbero
qualità della connettività di rete, potrebbe compromettere il funzionamento di
occasionalmente risultare degradato in alcuni data center. È particolarmente
presenza di attacchi informatici, di elevati importante individuare possibili
picchi di traffico o addirittura procedure di recupero dei dati
21e quantificare l’impatto economico dell’Unione europea? L’identificazione
e organizzativo dell’eventuale perdita del luogo in cui i dati sono conservati
o cancellazione di dati presenti o elaborati ha riflessi immediati sia
solo sul cloud. sulla normativa applicabile in caso di
contenzioso tra il cliente e il fornitore, sia
CONFIDENZIALITÀ in relazione alle disposizioni nazionali che
disciplinano il trattamento, l’archiviazione
Esistono garanzie di riservatezza per i e la sicurezza dei dati.
nostri dati nel caso in cui un concorrente La conoscenza di questi elementi
condivida gli stessi servizi cloud? garantirà un rapporto più trasparente tra
I fornitori custodiscono dati di singoli il cliente e il fornitore di cloud computing.
e di organizzazioni che potrebbero avere È poi necessario non dimenticare che la
interessi ed esigenze differenti o persino normativa sulla privacy, al fine di tutelare
obiettivi contrastanti e in concorrenza. le persone interessate, prevede che i dati
È quindi opportuno valutare le garanzie possano essere “esportati” in Paesi fuori
offerte a tutela della confidenzialità dall’Unione europea solo in precisi casi
delle informazioni trasferite sul cloud. e quando sia offerta una protezione
adeguata rispetto a quella prevista dalla
COLLOCAZIONE DEI SERVER legislazione comunitaria. Un servizio
cloud potrebbe quindi celare dei costi
In quale Stato sono conservati i dati extra imprevisti, determinati dalla ridotta
caricati sulla “nuvola”? È possibile capacità di controllo sui propri dati
scegliere di usufruire di server collocati o da più probabili contenziosi legali
solo in territorio nazionale o in Paesi nazionali e internazionali.
22MIGRAZIONE a proprio vantaggio con la certezza
che il cliente - considerata l’impossibilità
La tecnologia utilizzata dal fornitore pratica di trasferire agevolmente
di cloud è di tipo “proprietario”? I dati i dati presso un altro fornitore
possono essere esportati facilmente? e di recedere dal servizio - non potrà
L’adozione da parte del fornitore del far altro che accettarle.
servizio di tecnologie proprie può, in
taluni casi, rendere complessa per ASSICURAZIONE SUL DANNO
l’utente la migrazione di dati e
documenti da un sistema cloud ad un Nel caso in cui si accerti una violazione
altro o lo scambio di informazioni con o la perdita dei dati, il fornitore
soggetti che utilizzino servizi cloud di garantisce un pronto risarcimento
fornitori differenti, ponendo quindi a del danno? Le attuali incertezze
rischio la portabilità o l’interoperabilità normative possono rendere difficile
dei dati. Questa evenienza potrebbe dare e oneroso riuscire a ottenere un
luogo a politiche commerciali poco adeguato risarcimento per i danni subiti
trasparenti. In un primo momento, in seguito a violazioni, a perdita di dati,
il fornitore potrebbe ad esempio a interruzione anche temporanea
presentare al cliente un’offerta di servizi del servizio cloud.
cloud economicamente vantaggiosa e La presenza di un’assicurazione o di
con adeguate garanzie a protezione dei procedure semplificate per la risoluzione
dati. In un secondo momento, una volta di controversie, anche internazionali, può
acquisito il cliente, potrebbe invece sicuramente essere un valore aggiunto
cambiare le condizioni del contratto per utenti di piccole dimensioni.
23IL DECALOGO. PER UNA SCELTA. CONSAPEVOLE.
1 le caratteristiche qualitative dei servizi
EFFETTUARE UNA VERIFICA di connettività di cui si avvale il fornitore
SULL’AFFIDABILITÀ in termini di capacità e affidabilità.
DEL FORNITORE Sarà utile considerare anche l’impiego
Gli utenti dovrebbero accertare da parte del fornitore di personale
l’esperienza, la capacità e l’affidabilità qualificato, l’adeguatezza delle sue
del fornitore prima di trasferire sui infrastrutture informatiche e di
sistemi cloud i propri dati più preziosi, comunicazione, la disponibilità ad
tenendo in considerazione le proprie assumersi una responsabilità risarcitoria
esigenze istituzionali o imprenditoriali, la (che dovrebbe essere esplicitamente
quantità e la tipologia delle informazioni prevista dal contratto di servizio) in caso
che intendono allocare, i rischi e di eventuali falle nel sistema di sicurezza
le misure di sicurezza adottate. Anche o di interruzioni del servizio.
in funzione della tipologia di servizio
desiderato, oltre che della criticità dei 2
dati, è opportuno che gli utenti valutino: PRIVILEGIARE I SERVIZI
la struttura societaria del fornitore, CHE FAVORISCONO
le referenze, le garanzie di legge offerte LA PORTABILITÀ DEI DATI
in ordine alla confidenzialità dei dati È consigliabile ricorrere a servizi di cloud
e alle misure adottate per assicurare la computing privilegiando quelli basati su
continuità operativa a fronte di eventuali formati e standard aperti, che facilitino
e imprevisti malfunzionamenti. la transizione da un sistema cloud ad un
Gli utenti dovrebbero valutare, inoltre, altro, anche se gestiti da fornitori diversi.
25adeguate garanzie sulla disponibilità
e sulle prestazioni dei servizi cloud.
L’adozione di servizi che non offrono
adeguate garanzie di riservatezza
e di continuità operativa può comportare
rilevanti ripercussioni non solo sul
cliente del servizio cloud, ma anche
sui soggetti a cui si riferiscono i dati
La portabilità dei dati consente personali trattati, come avviene per
di recedere dal servizio senza incorrere le pubbliche amministrazioni e per
in spese e disagi difficilmente prevedibili. le società che offrono servizi a terzi.
Tale opzione limita anche il rischio In tal senso, a fronte del contenimento
che i fornitori, sfruttando la loro dei costi, il titolare del trattamento (in
posizione di forza negoziale, adottino genere chi acquista servizi cloud) dovrà
eventuali modifiche unilaterali comunque prevedere la possibilità di
e peggiorative dei contratti di servizio conservare una copia dei dati allocati
cloud instaurati con il cliente. sul cloud, in particolare di quelli la cui
perdita o indisponibilità potrebbe causare
3 gravissimi danni, non solo economici
ASSICURARSI LA DISPONIBILITÀ o di immagine: si pensi a dati
DEI DATI IN CASO DI NECESSITÀ particolarmente delicati come
È opportuno chiedere che nel contratto quelli di tipo sanitario o giudiziario,
con il fornitore siano ben specificate o di carattere fiscale e patrimoniale.
264 5
SELEZIONARE I DATI NON PERDERE DI VISTA I DATI
DA INSERIRE NELLA NUVOLA È sempre opportuno che l’utente valuti
Alcune informazioni, come quelle accuratamente il tipo di servizio offerto,
coperte da segreto industriale anche verificando se i dati rimarranno
e tutti i dati sensibili (ad esempio nella disponibilità fisica dell’operatore
quelli relativi alla salute, all’etnia, con cui è stato stipulato il contratto
alle opinioni politiche o alle iscrizioni oppure se questi svolga un ruolo di
a sindacati), richiedono, per loro intermediario, ovvero offra un servizio
intrinseca natura, particolari basato sulle tecnologie messe a
misure di sicurezza. disposizione da un operatore terzo.
In tali casi, poiché dall’inserimento dei Si pensi, ad esempio, a un applicativo
dati nel cloud consegue comunque una in modalità cloud nel quale il fornitore
inferiore capacità di controllo diretto
da parte dell’utente e un’esposizione
a rischi non sempre prevedibili di perdita
o di accesso abusivo, è bene valutare
con responsabile attenzione se ricorrere
ai servizi di cloud computing
(in particolare di tipo “pubblico”),
oppure se utilizzare altre forme di
outsourcing, ovvero mantenere “in sede”
il trattamento di tali dati.
27del servizio finale di elaborazione dati ma soprattutto per verificare il livello
si avvalga di un servizio di “stoccaggio” di protezione assicurato ai dati.
acquisito da un terzo. In tal caso, Il trasferimento di dati in Paesi che non
saranno i sistemi fisici di quest’ultimo offrono adeguate garanzie di sicurezza
operatore che concretamente e confidenzialità potrebbe comportare
ospiteranno i dati immessi nel cloud un illecito trattamento dei dati personali,
dall’utente. Per valutare la qualità oltre a eventuali danni irreparabili per
del cloud è quindi necessario informarsi le attività istituzionali dei soggetti pubblici
sulle prestazioni offerte da tutti i soggetti o per il business delle imprese.
coinvolti nella fornitura del servizio. In ogni caso, l’utente, prima di caricare
i dati “sulla nuvola” e di consentire il loro
6 eventuale trasferimento in Paesi fuori
INFORMARSI SU dall’Unione europea, deve accertarsi che
DOVE RISIEDERANNO, questo spostamento avvenga nel rispetto
CONCRETAMENTE, I DATI delle garanzie previste dalla normativa
È importante per l’utente sapere se italiana e comunitaria in tema
i propri dati vengono trasferiti ed di protezione dei dati personali.
elaborati da server in Italia, in Europa Se l’azienda, ad esempio, è statunitense
o in un Paese extraeuropeo. Tale è bene verificare che abbia aderito
informazione può essere determinante all’accordo Safe Harbor che definisce
per stabilire la giurisdizione e la legge regole condivise con le istituzioni europee
applicabile nel caso di controversie per il trattamento dei dati personali.
tra l’utente e il fornitore del servizio, Così come è utile controllare che
28le aziende al di fuori dell’Ue coinvolte modalità per il recesso dal servizio
nel cloud abbiano sottoposto le proprie e il passaggio ad altro fornitore.
procedure di sicurezza e di trattamento Un elemento da privilegiare è senz’altro
dei dati a specifici percorsi di la previsione di garanzie di qualità
certificazione, come quelli regolati chiare, corredate da penali, che pongano
dagli standard ISO per la gestione a carico del fornitore le eventuali
della sicurezza. Oppure se nei contratti inadempienze o le conseguenze di
di outsourcing proposti al cliente siano determinati eventi (ad es. accesso non
state inserite le specifiche “clausole consentito, perdita dei dati, indisponibilità
contrattuali tipo” approvate dalla per malfunzionamenti ecc.).
Commissione europea per i trasferimenti Si suggerisce di verificare anche
di dati personali verso Paesi terzi. l’eventuale partecipazione di ulteriori
soggetti che concorrano come
7 subfornitori all’erogazione del servizio
ATTENZIONE ALLE CLAUSOLE cloud e all’eventuale trattamento dei dati.
CONTRATTUALI
È importante valutare l’idoneità delle 8
condizioni contrattuali per l’erogazione VERIFICARE TEMPI E MODALITÀ
del servizio di cloud con particolare DI CONSERVAZIONE DEI DATI
riferimento agli obblighi e alle In fase di acquisizione del servizio
responsabilità in caso di perdita cloud è opportuno approfondire e
e di illecita diffusione dei dati custoditi prevedere nel contratto le politiche
nella “nuvola”, nonché alle eventuali adottate dal fornitore riguardo ai tempi
299
ESIGERE ADEGUATE MISURE
DI SICUREZZA
Nell’ottica di proteggere la
confidenzialità dei dati, occorre valutare
con attenzione anche le misure
di sicurezza utilizzate dal fornitore del
di conservazione dei dati nella nuvola. servizio cloud. In generale si raccomanda
Ove non sia già prevista per legge di privilegiare i fornitori che utilizzino
l’immediata cancellazione dei dati del modalità di archiviazione e trasmissione
titolare allo scadere del contratto cloud, sicure, mediante tecniche crittografiche
è necessario accertare il termine ultimo (specialmente quando i dati trattati sono
oltre il quale il fornitore (responsabile particolarmente delicati), accompagnate
del trattamento) debba cancellare da robusti meccanismi di identificazione
definitivamente i dati a lui affidati. dei soggetti autorizzati all’accesso.
Il fornitore dovrà quindi assicurare
che i dati non saranno conservati 10
oltre i suddetti termini o comunque FORMARE ADEGUATAMENTE
al di fuori di quanto esplicitamente IL PERSONALE
stabilito con l’utente stesso. In ogni Il personale, sia quello del cliente
caso, i dati dovranno essere sempre che quello del fornitore, incaricato del
conservati solo nel rispetto delle trattamento dei dati mediante servizi
finalità e delle modalità concordate. di cloud computing dovrebbe essere
30appositamente formato, al fine personali, senza diffonderli magari
di limitare rischi di accesso illecito, su Internet e senza effettuare
di perdita di dati o, più in generale, comunicazioni sistematiche di tali dati
di trattamento non consentito. a più individui. È comunque opportuno
L’attività di formazione dovrebbe ricordare che anche le cosiddette
riguardare sia gli elementi tecnici “persone fisiche” sono tenute a
che consentono una scelta consapevole conservare con cura i dati affinché la
delle tecnologie cloud adottate, sia le fasi loro eventuale perdita non possa causare
operative del trattamento, come danni ad altre persone. L’adozione di
l’inserimento dei dati sulla “nuvola” e la nuove tecnologie per la mobilità, come
loro elaborazione. La protezione dei dati smartphone e tablet, dotati di grandi
può infatti essere messa a repentaglio quantità di memoria, spesso connessi
non solo da eventuali comportamenti a servizi cloud non protetti che
sleali o fraudolenti, ma anche da errori consentono di sfruttare lo stesso
materiali, leggerezza o negligenza strumento per attività private e
del personale. professionali, ha però aumentato
il rischio di perdita di controllo dei
dati personali. Si consiglia quindi
UNA PRECAUZIONE EXTRA di conservare con cura gli strumenti
PER GLI UTENTI PRIVATI tecnologici utilizzati per scopi personali,
Le disposizioni previste dal Codice e di adottare tutte le cautele al fine
della privacy non si applicano a singole di impedire accessi anche accidentali,
persone che trattano i dati per scopi da parte di terzi, ai dati personali.
31Piazza di Monte Citorio, 121
00186 Roma
tel. 06 696771
fax 06 696773785
Per informazioni presso l’Autorità:
Stampa: IAG Mengarelli - maggio 2012
Ufficio per le relazioni con il pubblico
Lunedì - Venerdì ore 10.00 - 13.00
tel. 06 696772917/9
e-mail: urp@garanteprivacy.it
pec: urp@pec.gpdp.it
A cura del Servizio relazioni
www.garanteprivacy.it con i mezzi di informazione
32Puoi anche leggere
