I servizi cloud sono, ormai, molto diffusi nelle imprese italiane che, in questo modo, ottengono diversi vantaggi:
Le soluzioni cloud, nei diversi paradigmi che possono caratterizzarle, sono, dunque, molto convenienti soprattutto per le piccole e medie imprese. Tuttavia, il Regolamento Europeo sulla Protezione dei Dati Personali n. 679/2016 (GDPR) richiede un supplemento di attenzione, con riferimento agli articoli 28 (Responsabile del trattamento) e 40 (Codici di condotta) ed all’intero Capo V che disciplina il trasferimento di dati personali verso Paesi terzi e organizzazioni internazionali.
L’articolo 28 disciplina il rapporto tra il titolare del trattamento dei dati personali ed il responsabile del trattamento che è, per definizione, la persona fisica o giuridica che tratta i dati personali per conto dello stesso titolare. È il soggetto, dunque, che in concreto opera sui dati personali ed effettua su di essi tutte o alcune delle operazioni (registrazione, organizzazione, conservazione, ecc.). Non c’è dubbio che tra l’impresa ed il Cloud Service Provider (CSP) esista un rapporto del tipo titolare‑responsabile. Questo significa che l’impresa, quando tratta dati personali, ha alcuni obblighi nella scelta del CSP:
È necessario, dunque, trovare una soluzione agile a queste attività che possono risultare piuttosto onerose e richiedere skill non sempre presenti in azienda.
Inoltre, il primo degli obblighi richiede una verifica preliminare di aspetti organizzativi e tecnici e, tra questi, una specifica analisi rispetto alla materiale collocazione dei dati. Un servizio cloud, sotto questo aspetto, può presentare particolari criticità perché strutturalmente basato sulla “trasparenza” rispetto all’utente del posto dove sono memorizzati ed elaborati i dati.
Il Capo V del GDPR, invece, prevede regole stringenti sul trasferimento di dati presso paesi estranei all’Unione Europea (paese terzo). Questo vuol dire che l’impresa, nello scegliere il proprio CSP, deve verificare che i dati personali siano collocati in server fisicamente situati in paesi che offrano un livello di protezione adeguato. L’adeguatezza del livello di protezione per un paese terzo è, di norma, stabilito dalla Commissione Europea con una decisione di adeguatezza basata sui seguenti criteri di valutazione:
È necessario, dunque, che il CSP sia trasparente rispetto alla collocazione dei dati affinché non ci siano spiacevoli sorprese per il cliente con le conseguenti e pesanti sanzioni. D’altra parte, è onere del titolare, cioè dell’impresa, rispettare il principio di accountability (tradotto in responsabilizzazione) ovvero riuscire a dimostrare che ha avuto un comportamento diligente (e proattivo) rispetto a questo specifico obbligo.
Il principio di responsabilizzazione e gli altri obblighi del GDPR possono trovare, nel caso del cloud, un valido aiuto nel Codice di Condotta (CoC) per i Fornitori di Servizi Cloud in materia di Protezione dei Dati Personali. L’iniziativa è partita dal Cloud Select Industry Group cioè da un gruppo di CSP leader, riconosciuto dalla Direzione Generale per le Comunicazioni in Rete, i Contenuti e la Tecnologia della Commissione Europea, quando il quadro normativo europeo era basato sulla Direttiva 95/46 successivamente superata dall’entrata il vigore del GDPR. Il percorso, non breve, ha superato anche il parere richiesto al Gruppo dei Garanti Europei (WP29) del quale sono stati accolti tutti i suggerimenti fino ad arrivare alla versione definitiva che è di maggio 2017 e, quindi, recepisce in pieno le previsioni del nuovo regolamento così come espresse dall’articolo 40.
Il Cloud CoC è un elemento di fiducia di cui l’impresa può avvalersi nella scelta del CSP. Infatti, prima di sedersi al tavolo per la definizione dei dettagli tecnici, il cliente può verificare se il CSP candidato contraente è aderente al CoC e, quindi, procedere con maggiore tranquillità rispetto agli obblighi previsti dal GDPR.
Il CoC, naturalmente, non sostituisce il contratto essendo un codice di comportamento che il CSP si impegna a rispettare nel corso della fornitura. Gli impegni di rilievo previsti dal CoC per i CSP aderenti sono:
Infine, un cenno alla governance del CoC è, certamente, un ulteriore elemento di fiducia per i clienti giacché è stato adottato un modello a tre livelli:
A cura di: Francesco Maldera
Nel panorama odierno della sicurezza informatica, la protezione degli endpoint rappresenta un obiettivo imprescindibile per…
I numeri dell’evento Oltre 1000 ospiti, 42 relatori, 20 interventi tematici e 5 Tavole Rotonde:…
Group-IB è un fornitore, con sede a Singapore, di sistemi ad elevata attendibilità per il…
Le interazioni di natura digitale, su rete pubblica o all’interno di reti private, hanno assunto…
La Commissione Europea ha di recente ricordato come “Artificial intelligence (AI) is not science fiction;…
Di seguito il programma della Cyber Crime Conference 2024, che avrà luogo a Roma nei…