Cloud computing: attenzione agli aspetti privacy!
Come è noto il cloud computing è un sistema di implementazione di risorse basato su “nuvole” di computer realizzate e gestite da grossi providers, in grado di fornire ai clients finali servizi di storage e processoring.
(Nella foto: Michele Iaselli, Coordinatore del Comitato Scientifico di Federprivacy)
Il cloud computing rappresenta per le sue caratteristiche la soluzione del momento per molte aziende grandi e piccole, che hanno bisogno ciclicamente di notevoli risorse e che non sono in grado di sostenerne gli ingenti costi.
In effetti l'importanza strategica del “cloud computing” risiede nel fatto che la sua diffusione su larga scala consentirebbe il superamento dell’assetto attuale, caratterizzato da una miriade di clients remoti, dotati di una propria autonoma postazione o di propri server “in house” (si pensi alle aziende e alla mole di dati che si trovano a gestire), in favore di un regime di “Software as a Service” (o “Storage as a Service”), consistente nel servirsi di software e hard disk messi a disposizione dai gestori delle nuvole e accessibili tramite browser web.
Tale sistema si concreta nell’esternalizzazione dei servizi IT dai clients finali ai provider di nuvole. In tal modo, quindi, le aziende smetterebbero di gestire al proprio interno dati e applicazioni, delegando tale servizio in outsourcing, con grosso risparmio sulla gestione del personale e delle strutture fisiche IT.
E’ evidente, quindi, che il modello Software as a Service è alla base del cloud computing. Con esso si intende qualificare una nuova concezione del software, svincolato dalla sua fisicità di asset e orientato a soddisfare le esigenze degli utilizzatori.
Diverse, però, sono le criticità sul fronte della protezione dei dati personali che vanno risolte.
Nello specifico il trasferimento dei dati dai computer locali, nella fisica disponibilità e nel diretto controllo esercitabile dal titolare, verso sistemi remoti di proprietà di un terzo fornitore del servizio, presenta, accanto a potenziali utilità, anche i seguenti aspetti che necessitano di specifica attenzione:
- L’utente, affidando i dati ai sistemi di un fornitore remoto, ne perde il controllo diretto ed esclusivo; la riservatezza e la disponibilità delle informazioni allocate sulla nuvola certamente dipendono anche dai meccanismi di sicurezza adottati dal service provider.
- Il servizio prescelto potrebbe essere il risultato finale di una catena di trasformazione di servizi acquisiti presso altri service provider, diversi dal fornitore con cui l’utente stipula il contratto di servizio; l’utente a fronte di filiere di responsabilità complesse potrebbe non sempre essere messo in grado di sapere chi, dei vari gestori dei servizi intermedi, può accedere a determinati dati.
- Le cloud sono sistemi e infrastrutture condivise basate sul concetto di risorse noleggiate a un’utenza multipla e mutevole; i fornitori, infatti, custodiscono dati di singoli e di organizzazioni diverse che potrebbero avere interessi ed esigenze differenti o persino obiettivi contrastanti e in concorrenza.
- La conservazione dei dati in luoghi geografici differenti ha riflessi immediati sia sulla normativa applicabile in caso di contenzioso tra l’utente e il fornitore, sia in relazione alle disposizioni che disciplinano il trattamento, l’archiviazione e la sicurezza dei dati (v. artt. 44 e seguenti del GDPR).
- L’adozione da parte del fornitore del servizio di tecnologie proprie può, in taluni casi, rendere complessa per l’utente la transizione di dati e documenti da un sistema cloud ad un altro o lo scambio di informazioni con soggetti che utilizzino servizi cloud di fornitori differenti, ponendone quindi a rischio la portabilità o l’interoperabilità dei dati.
In definitiva, quindi, possiamo individuare sul fronte della protezione dei dati personali tre grossi inconvenienti:
- perdita del controllo dei propri dati;
- concentrazione dei dati nelle mani di pochi soggetti;
- problemi di sicurezza.
Proprio per questi motivi già per il passato Il gruppo di lavoro ex articolo 29 per la protezione dei dati personali, con il parere 05/2012 su cloud computing, aveva delineato una serie di obblighi di protezione dei dati personali nella relazione cliente-fornitore.
La legittimità del trattamento di dati personali in servizi di cloud computing dipende dall’osservanza di principi fondamentali della legislazione UE in materia di protezione dei dati: In particolare, dev’essere garantita la trasparenza nei confronti degli interessati, dev’essere rispettato il principio della specificazione e limitazione delle finalità e i dati personali devono essere cancellati non appena la loro conservazione non è più necessaria.
Inoltre, devono essere attuate opportune misure tecniche e organizzative per garantire un livello adeguato di protezione e sicurezza dei dati.
Oggi, con il Regolamento EU n. 2016/679, sono cresciuti gli obblighi sul trattamento dei dati personali a cui sono tenute le società di cloud. Tra essi rientrano:
- La realizzazione di Misure di sicurezza ex art. 32 GDPR;
- La nomina a responsabile del trattamento ex art. 28 GDPR;
- La nomina di un DPO ex artt. 37-38-39 GDPR;
- Il rispetto dei principi di accountability e privacy by design e by default.
Di conseguenza, quando un soggetto decide di affidarsi a servizi di cloud computing, deve prestare attenzione affinché la società presenti garanzie sufficienti in merito alle misure di sicurezza tecnica e all’organizzazione dei trattamenti da effettuare.