Dieci domande (e dieci risposte) da porsi per scegliere un cloud provider
Grazie al cloud computing nell'ultimo biennio (onde limitare la diffusione del virus covid-19) milioni di individui nel mondo hanno potuto/dovuto dare parziale continuità alle attività e alle reciproche interazioni portandole sulla 'nuvola', anche se questa 'traduzione' è stata spesso realizzata al prezzo della assunzione di molteplici rischi, sottovalutati o anche ignorati, sia sotto il profilo della protezione dei dati che della privacy in senso stretto.
Il fenomeno è esploso, soluzioni sempre più sofisticate e complesse si sono affacciate sui mercati ma è come se - malgrado ciò - alcuni problemi di fondo fossero rimasti impregiudicati, sostanzialmente fermi a 10 anni fa; quando il Gruppo articolo 29, con il parere n. 05/2012 (in alcune parti evidentemente superato, in particolare per l'avvento del Regolamento UE 2016/679 (GDPR), si pensi soltanto alle novità apportate dal suo art. 28) rilevò “come la diffusione su vasta scala dei servizi di cloud computing comporti una serie di rischi per la protezione dei dati, in particolare una mancanza di controllo sui dati personali, nonché informazioni insufficienti in merito alle modalità, al luogo e all’esecutore del trattamento/subtrattamento dei dati”.
Al tempo il suddetto parere considerava come la maggioranza dei rischi connessi al cloud computing fosse da ricondurre a due “ampie categorie”: la mancanza di controllo sui dati e la scarsa o nessuna trasparenza – dunque, carenza di informazioni - sul trattamento dei dati svolto dal cloud provider.
In questa breve nota proviamo a mettere in fila, in una ideale check list, 10 questioni che il titolare del trattamento dovrebbe essersi posto ed avere decisamente risolto, prima di scegliere di affidare un trattamento di dati personali ad un cloud provider. La premessa di questa scelta, già a suo tempo (quello del suddetto parere del Gruppo articolo 29), era che il rapporto tra cliente e fornitore non potesse che iscriversi nel binomio titolare-responsabile. Una premessa che chi scrive ha ritenuto e continua a ritenere – purtroppo – non sempre scontata e/o agevole (cfr. "Quando e perchè il cloud provider non può essere un responsabile del trattamento") ma che, ai fini della presente trattazione, è reputata indiscutibile.
Di seguito le 10 domande da porsi prima di scegliere di affidare un trattamento di dati personali ad un cloud provider, in ordine tendenzialmente logico-cronologico:
1 - Quali trattamenti/banche dati portare sulla nuvola?
La prima riflessione del titolare riguarda proprio la selezione dei trattamenti e/o delle banche dati da portare (in conseguenza delle attività ivi ipotizzate/programmate, evidentemente) sulla 'nuvola', una volta stabilito che sia necessario giovarsi di un servizio che in astratto comporta anche nel migliore dei casi rischi di perdita di controllo dei dati. Ciò che conta è l'impegno del titolare nella impostazione dell'operazione in coerenza con i criteri/principi dell'art. 25 (che naturalmente condizionano l'intero sviluppo del presente argomento).
2 - Quale tipologia di servizio è adeguata all'esigenza dell'organizzazione?
Considerato che il cloud computing può assumere caratteristiche e funzionalità le più varie, la scelta del servizio dovrebbe essere ancorata ad una esigenza comprovata, oggettiva, ad una opzione che migliori sensibilmente efficienza e/o efficacia e sicurezza delle attività, ad un salto di qualità dell'organizzazione. La questione è: scegliere la scarpa giusta per il proprio piede!
3 - Chi è il cloud provider prescelto, dove si trovano il suo stabilmento e i server?
Il titolare deve individuare in modo inequivoco il proprio contraente, il soggetto fornitore del servizio, inquadrando il rapporto nello schema dell'art. 28; e, con ciò, saggiare l'obiettiva solidità, la competenza, la serietà, la puntualità, la compliance, l'affidabilità del cloud provider, oltre che l'effettiva ubicazione dei suoi stabilimenti e dei server, dovendosi se del caso anche impostare l'adempimento delle misure previste per il trasferimento dei dati (ovvero per il mantenimento di un livello adeguato di protezione dei dati, equipollente a quello riconosciuto in ambito UE/SEE).
4 - I trattamenti saranno affidati dal cloud provider a subcontraenti?
Il mantenimento di un effettivo potere di controllo sui dati da parte del titolare è un must incancellabile che impone la preventiva (rispetto alla stipula del contratto di servizio) acquisizione di informazioni e dettagli completi circa la costituzione di una vera e propria catena di fornitura, operativamente presidiata anche da soggetti subcontraenti (i cosiddetti 'subresponsabili'). Insomma, non vi può essere incertezza alcuna sulla identità, affidabilità, ecc. ecc. degli ulteriori responsabili dei trattamenti. Il titolare deve senz'altro ben conoscere ex ante la 'catena' per poi deciderla, approvarla.
5 - Quanto è (ciber)sicuro il servizio offerto?
Quali misure di sicurezza (in particolare, tecniche) sono adottate, implementate nel servizio di cloud computing offerto/in esame? Sono garantite l'integrità, la riservatezza, la disponibilità dei dati, la continuità operativa del servizio?
La raccolta di evidenze atte a comprovare la sussistenza di misure adeguate ai trattamenti da tradurre sulla 'nuvola' è parte imprescindibile dello sforzo (sempre propedeutico alla stipula del contratto) che deve impegnare il titolare.
6 - E' il fornitore del servizio accessibile e trasparente?
Il titolare dovrebbe/deve ottenere precise garanzie dal cloud provider circa la possibilità concreta di contattarlo, raggiungerlo, interpellarlo in ogni momento, ovvero ogni volta che sia da affrontare e da risolvere un qualunque problema, operativo o di altro genere, afferente al servizio. Il titolare deve poter sempre contare sulla effettiva collaborazione del fornitore e sul carattere aperto, mai renitente/reticente ed all'opposto disponibile e trasparente della sua organizzazione.
7 – Quali garanzie sono prestate dal fornitore a scanso di trattamenti abusivi e/o ultronei/successivi?
Tra le problematiche in agenda da sottoporre preliminarmente al fornitore spiccano certamente le seguenti due: 1) il rispetto del principio di finalità, nel senso che la finalità del o dei trattamenti eseguiti dal fornitore per conto del titolare deve essere e dovrà restare quella originaria e contrattualizzata, è il limite/confine invalicabile; 2) al termine del rapporto, il fornitore dovrà procedere alla cancellazione di tutti i dati acquisiti per/nello svolgimento del servizio e comprovarne l'esecuzione al titolare.
8 – È disposta una analisi dei rischi?
L'analisi dei rischi (sottesi e conseguenti alla esternalizzazione del trattamento de quo) si pone come processo intermedio (necessario o perlomeno opportuno) tra la fase di raccolta delle varie evidenze e la redazione e la stipula del contratto di servizio. Solo dopo aver sciolto la riserva sul grado di rischio accettabile effettivamente connesso alla esternalizzazione del trattamento ed associato ad uno specifico servizio di cloud computing, il titolare può/potrà passare con relativa tranquillità dalla fase pre-contrattuale (come è da considerare sin qui) a quella contrattuale.
9 – E' verificata l’idoneità ed esaustività delle condizioni/clausole del contratto di servizio?
Come è noto, il contratto di servizio, in quanto da redigere ai sensi dell'art. 28, deve rispettare i requisiti minimi di contenuto definiti dalla disposizione. Ma è anche evidente che, trattandosi di requisiti minimi, la progettazione e redazione di un contratto che ambisca a disciplinare il rapporto nella sua complessità e interezza, esigeranno assai spesso l'aggiunta di ulteriori contenuti, per formalizzare quelle clausole e garanzie che siano emerse, elaborate e definite come necessarie nel corso della fase pre-contrattuale.
10 – Sono selezionati e formati gli incaricati che gestiranno i trattamenti sulla 'nuvola'?
Il Titolare deve infine programmare ed organizzare l'utilizzo del servizio di cloud computing fornendo agli incaricati tutte le istruzioni necessarie al suo svolgimento in termini di efficienza e di sicurezza. Il contenuto, le modalità di comunicazione e condivisione delle istruzioni varieranno in ragione del grado di novità, di complessità e di rischio sottesi alla tipologia del servizio prescelto.
Si può star certi che quasi chiunque, leggendo il precedente paragrafo, si sarà domandato: è una check list oppure un libro dei sogni? Anche chi scrive si è posto e si pone, con approccio (auto)critico, la domanda.
È esperienza generalizzata quella che oppone al titolare che vorrebbe affidarsi e/o si affida a servizi cloud, quasi sempre: fornitori spiccatamente inaccessibili od opachi, misure di sicurezza dichiarate ma non verificabili, incertezze irrisolte sul rispetto delle finalità dei trattamenti e degli obblighi di cancellazione dei dati, schemi/proposte di contratto del tipo 'prendere o lasciare'.
Davanti a questo scenario s'impone o s'imporrebbe l'audit di seconda parte (prima, durante e alla fine del contratto/rapporto) come modalità operativa centrale (e pur ambiziosa e difficile) per la raccolta di evidenze oggettive a supporto di una decisione responsabile del titolare (Federprivacy potrebbe predisporre una indagine presso i propri numerosi associati, al fine di quantificare la percentuale di ricorso agli audit di seconda parte nei rapporti cliente-titolare/fornitore-responsabile).
A quanto precede si aggiunga la non sufficiente consapevolezza - ove non la netta superficialità - di molti titolari dinanzi al mondo del cloud computing, la scelta di determinati servizi e il rilascio continuo di tantissimi dati senza la minima ponderazione, l'abbraccio senza indugio della convenienza economica e/o 'ergonomicità' di certe soluzioni, l'oblio dei rischi incombenti sui dati e sulle persone stesse dei titolari.
Questa è dunque la distanza siderale che separa ed è destinata a separare, nei fatti, milioni di rapporti di fornitura da quello che qui si è chiamato il 'libro dei sogni'. Attenzione al possibile equivoco, però. Perché il 'libro', in realtà, lungi dall'essere su una nuvola o un sogno, è nello 'scaffale' dell'art. 28.3, lett. h).