Cloud Computing: proteggere i dati per non cadere dalle nuvole

860 views

Published on

Che cos'è il Cloud Computing? Come scegliere la migliore soluzione? Con questo vademecum, il Garante per la protezione dei dati personali offre alcune indicazioni valide per tutti gli utenti, in particolare imprese e amministrazioni pubbliche.

Fonte: http://media2.corriere.it/corriere/pdf/2012/Gar65_brochure_cloud_WEB2.pdf

  • Be the first to comment

Cloud Computing: proteggere i dati per non cadere dalle nuvole

  1. 1. CLOUD COMPUTINGPROTEGGERE I DATIPER NON CADERE DALLE NUVOLE Mini guida per imprese e pubblica amministrazione
  2. 2. CLOUD COMPUTING PROTEGGERE I DATI PER NON CADERE DALLE NUVOLECOS’È IL 4CLOUD COMPUTING Ogni imprenditore, ma anche ogni attento amministratore pubblico, si adopera per offrire, rispettivamente ai propri clientiNUVOLE DIVERSE 8 e ai cittadini, servizi migliori a minor costo. Le tecnologie infor-PER ESIGENZE DIVERSE matiche, in particolare quelle del cloud computing, garanti- scono oggi soluzioni innovative per gestire molteplici attivitàIL QUADRO 12 con efficienza e possibili risparmi. Ma presentano criticità eGIURIDICO rischi per la privacy di cui è bene tenere conto. Prima di ester- nalizzare la gestione di dati e documenti o adottare nuovi modelli organizzativi è necessario porsi alcune domande,VALUTAZIONE DEI RISCHI, 18 scegliendo con cura la soluzione più sicura per le attività isti-DEI COSTI E DEI BENEFICI tuzionali o per il proprio business. Con questo vademecum, il Garante per la protezione dei dati personali intende offrire alcune indicazioni valide per tutti gli utenti, in particolareIL DECALOGO PER UNA 24 imprese e amministrazioni pubbliche. L’obiettivo è quello di farSCELTA CONSAPEVOLE riflettere su alcuni importanti aspetti giuridici, economici e tecnologici in un settore in velocissima espansione e di promuovere un utilizzo corretto delle nuove modalità di eroga- zione dei servizi informatici.
  3. 3. COS’È IL CLOUD. COMPUTING. Con il termine cloud computing, Tutto può essere demandato all’esterno, o semplicemente cloud, ci si riferisce in outsourcing, e a un costo a un insieme di tecnologie e di modalità potenzialmente limitato, in quanto di fruizione di servizi informatici le risorse informatiche necessarie che favoriscono l’utilizzo e l’erogazione per i servizi richiesti possono essere di software, la possibilità di conservare condivise con altri soggetti che hanno e di elaborare grandi quantità le stesse esigenze. di informazioni via Internet. Il cloud offre, a seconda dei casi, il trasferimento della conservazione o dell’elaborazione dei dati dai computer degli utenti ai sistemi del fornitore. Il cloud consente, inoltre, di usufruire di servizi complessi senza doversi necessariamente dotare né di computer e altri hardware avanzati, né di personale in grado di programmare o gestire il sistema.4 5
  4. 4. L’AUTOMOBILE “INFORMATICA” E IL CLOUD PER PROFANI Opzione 2 – intervento esterno: si può decidere di acquistare Con il cloud computing ci troviamo l’automobile e di portarla in caso in questa seconda opzione. Opzione 1 – tutto in casa: di necessità da un meccanico Non parliamo di automobili o altri se una persona o una società di fiducia, di affittarla, di prenderla mezzi di trasporto ma di servizi ha bisogno di un’automobile può in leasing, di chiamare un taxi o informatici. Le soluzioni offerte dal progettarla, acquistarne le singole noleggiare una vettura con autista. cloud generalmente possono essere componenti e assemblarle, nonché La scelta tra queste opzioni è più flessibili, efficienti, adattabili attrezzare all’interno della propria determinata dal tipo di utilizzo che ed economiche di quelle sviluppate Spesso utilizziamo tecnologie cloud casa o della propria sede un’officina si vuole fare dell’autoveicolo, dalla in-house (in casa propria). senza neppure saperlo. Alcuni dei più con personale specializzato per frequenza con cui se ne fruisce, Ma possono comportare il rischio diffusi servizi di posta elettronica o di le riparazioni e la manutenzione. dalle prestazioni che eventualmente di una potenziale perdita di controllo elaborazione testi sono “sulle nuvole”. si desiderano e, comunque, dalle sui propri dati. Anche molte delle funzioni offerte risorse economiche a disposizione. dai cellulari di nuova generazione (i cosiddetti smartphone) sono basate sul cloud: ad esempio quelle che sfruttano la geolocalizzazione consigliandoci i locali o gli esercizi commerciali più vicini, che consentono di ascoltare musica o di accedere a giochi on line, nonché tante altre funzioni e “app”(applicazioni).6 7
  5. 5. NUVOLE DIVERSE.PER ESIGENZE.DIVERSE. Esistono vari tipi di cloud computing, classificati sia in base all’architettura della “nuvola” e alla gestione interna o esterna del trattamento dati, sia in relazione al modello di servizio offerto al cliente. Ogni tipo di cloud ha le sue puntuale. Le “nuvole private” possono caratteristiche peculiari che dovranno essere paragonate ai tradizionali “data essere ben valutate dalle società center” nei quali, però, sono usati degli e dalle pubbliche amministrazioni accorgimenti tecnologici che permettono TIPI DI CLOUD che intendono servirsi delle “nuvole”. di ottimizzare l’utilizzo delle risorse disponibili e di potenziarle agevolmente in caso di necessità. Private Cloud Public Cloud La “nuvola privata” è una infrastruttura Nel caso della “nuvola pubblica”, informatica (rete di computer collegati l’infrastruttura è di proprietà di un per offrire servizi) per lo più dedicata fornitore specializzato nell’erogazione alle esigenze di una singola di servizi che mette a disposizione organizzazione, ubicata nei suoi locali di utenti, aziende o amministrazioni i o affidata in gestione ad un terzo (nella propri sistemi attraverso la condivisione tradizionale forma dell’hosting dei e l’erogazione via Internet di applicazioni server), nei confronti del quale il titolare informatiche, di capacità elaborativa e dei dati può esercitare un controllo di “stoccaggio” dati. La fruizione di tali 9
  6. 6. accanto a servizi acquisiti da cloud (spazi di memoria, sistemi operativi, per l’accesso informatico ai documenti, pubblici - e i cloud di gruppo (community programmi di virtualizzazione…), la rubrica dei contatti e i calendari cloud), in cui l’infrastruttura è condivisa cioè server virtuali remoti che l’utente condivisi, ma anche ai più avanzati da diverse organizzazioni a beneficio finale può utilizzare in sostituzione o in servizi di posta elettronica. di una specifica comunità di utenti. affiancamento ai sistemi già presenti nei servizi avviene tramite la rete Internet locali dell’azienda o dell’amministrazione. Cloud Platform as a Service - PaaS e implica il trasferimento dei soli dati o Tali fornitori sono in genere operatori (piattaforme software fornite via anche dell’attività di elaborazione presso di mercato specializzati, che dispongono Internet come servizio) i sistemi del fornitore del servizio, il di un’infrastruttura tecnologica, Il fornitore offre soluzioni evolute quale assume un ruolo importante in complessa e spesso distribuita di sviluppo software che rispondono ordine all’efficacia delle misure adottate in aree geografiche diverse. alle specifiche esigenze del cliente. per garantire la protezione delle In genere questo tipo di servizi è rivolto a informazioni che gli sono state affidate. Cloud Software as a Service - SaaS operatori di mercato che li utilizzano per TRE MODELLI DI SERVIZI CLOUD Con il cloud pubblico l’utente insieme (software erogato come servizio sviluppare e ospitare soluzioni applicative ai dati, infatti, cede una parte importante del cloud) proprie (ad esempio applicativi per la del controllo esercitabile su di essi. Il fornitore eroga via Internet una gestione finanziaria, della contabilità serie di servizi applicativi ponendoli o della logistica), allo scopo di assolvere Altre “nuvole” Cloud Infrastructure as a Service - IaaS a disposizione degli utenti finali. a esigenze interne, oppure per fornire Esistono altri tipi di nuvole con (infrastruttura cloud resa disponibile Si pensi, ad esempio, ad applicazioni a loro volta servizi a terzi. Anche nel caso caratteristiche miste, quali i cloud come servizio) comunemente usate negli uffici erogate dei PaaS, il servizio erogato dal fornitore ibridi (hybrid cloud) - caratterizzati da Il fornitore del servizio cloud offre, in modalità web quali l’elaborazione limita la necessità per il fruitore di soluzioni che prevedono l’utilizzo di secondo un modello “a consumo”, gli di fogli di calcolo o di testi, la gestione doversi dotare internamente di strumenti servizi erogati da infrastrutture private strumenti hardware e software di base del protocollo e delle regole hardware o software specifici o aggiuntivi.10 11
  7. 7. IL QUADRO.GIURIDICO. LA SFIDA INTERNAZIONALE La tecnologia cloud procede molto più di recepimento da parte degli Stati velocemente dell’attività del legislatore, membri dell’Ue – che modifica la non solo in Italia ma in tutto il mondo. direttiva sulla privacy nelle Manca ancora un quadro normativo comunicazioni elettroniche del 2002. aggiornato – in tema di privacy, ma Fra le misure che entreranno in vigore anche in ambito civile e penale - che con il nuovo quadro giuridico è previsto tenga conto di tutte le novità introdotte anche l’obbligo per le società telefoniche dal cloud computing e sia in grado e gli Internet provider di notificare di offrire adeguate tutele nei riguardi alle competenti Autorità nazionali e, delle fattispecie giuridiche connesse in determinati casi, agli utenti, tutte all’adozione di servizi distribuiti le violazioni di sicurezza che comportino di elaborazione e di conservazione dati. la distruzione, la perdita o la diffusione Basti pensare, ad esempio, che indebita di dati personali trattati la normativa europea sulla protezione nell’ambito della fornitura del servizio. dei dati risale al 1995. Un ulteriore importante cambiamento Alcune utili novità per il settore delle per tutto il settore delle comunicazioni telecomunicazioni, che avranno un elettroniche, e del cloud computing in indubbio impatto anche sul cloud, particolare, dovrebbe avvenire entro sono state introdotte dal cosiddetto il 2014, con l’approvazione del nuovo “pacchetto Telecom”: in particolare dalla Regolamento generale sulla protezione direttiva 136/2009 - attualmente in corso dei dati (Com 2012 11 def) proposto 13
  8. 8. dalla Commissione Europea. che permetta di governare il fenomeno Questo significa che il cliente dovrà Il nuovo Regolamento introdurrà senza rischiare di penalizzare sempre prestare molta attenzione a identiche regole in Europa e nei l’innovazione e le potenzialità di sviluppo come saranno utilizzati e conservati i dati confronti di Stati terzi (riscrivendo quindi delle “nuvole” informatiche, è necessario personali caricati sulla “nuvola”: in caso anche il Codice della privacy italiano), che le imprese e la pubblica di violazioni commesse dal fornitore, e in questo senso dovrebbe contribuire amministrazione, incluse tra l’altro anche il titolare sarà chiamato a a rendere meno complesso e rischioso le cosiddette “centrali di committenza” rispondere dell’eventuale illecito. l’utilizzo di servizi cloud. Una delle (soggetti che effettuano acquisti per una Il cliente di ridotte dimensioni, come tra l’altro, che il titolare eserciti un importanti innovazioni di questa riforma pluralità di pubbliche amministrazioni), una piccola impresa o un ente locale, potere di controllo nei confronti del riguarderà l’estensione dell’obbligo di prestino particolare attenzione ai rischi potrebbe tuttavia incontrare difficoltà responsabile del trattamento (in questo notifica delle violazioni di sicurezza che connessi all’adozione dei servizi di cloud nel contrattare adeguate condizioni caso il cloud provider), verificando riguardino dati personali a tutti i titolari computing, anche in relazione agli per la gestione dei dati spostati “sulla la corretta esecuzione delle istruzioni del trattamento dati come, ad esempio, aspetti di protezione dei dati personali. nuvola”. Anche in questo caso, non sarà impartite in relazione ai dati personali banche, assicurazioni, Asl, enti locali. però sufficiente, per giustificare una trattati. Quando previsto, le persone interessate Il titolare e il responsabile eventuale violazione, affermare di non saranno quindi informate senza ritardo del trattamento avere avuto possibilità di negoziare Trasferimento dei dati fuori NORMATIVA PRIVACY NELLE della perdita o del furto dei loro dati. La pubblica amministrazione o l’azienda, clausole contrattuali o modalità dell’Unione Europea NUVOLE – SPUNTI DI RIFLESSIONE “titolare del trattamento” dei dati di controllo più stringenti. Il cliente Il Codice della privacy definisce regole personali, che trasferisce del tutto di servizi cloud, infatti, può sempre precise per il trasferimento dei dati o in parte il trattamento sulle “nuvole”, rivolgersi ad altri fornitori che offrono personali fuori dall’Unione europea deve procedere a designare maggiori garanzie, in particolare per il e vieta, in linea di principio, In attesa di una normativa nazionale il fornitore dei servizi cloud rispetto della normativa sulla protezione il trasferimento “anche temporaneo” e internazionale aggiornata e uniforme, “responsabile del trattamento”. dei dati. Il Codice della privacy prevede, di dati personali verso uno Stato14 15
  9. 9. extraeuropeo, qualora l’ordinamento Le limitazioni per il trasferimento tecniche e organizzative volte a ridurre o clienti non devono dimenticare che del Paese di destinazione o di transito dati all’estero incidono anche sugli al minimo i rischi di distruzione o perdita il Codice della privacy attribuisce agli dei dati non assicuri un adeguato livello spostamenti “infragruppo” di una anche accidentale dei dati, di accesso interessati (le persone a cui si riferiscono di tutela. Questa evenienza può multinazionale. non autorizzato, di trattamento non i dati) precisi diritti. Ad esempio, verificarsi frequentemente nel caso in cui In questo caso, la presenza di forti consentito o non conforme alle finalità l’interessato ha diritto di conoscere quali si decida di usufruire di servizi di public “norme vincolanti d’impresa” (binding della raccolta, di modifica dei dati in siano i dati che lo riguardano in possesso cloud invece che di modalità private o corporate rules) a tutela dei dati conseguenza di interventi non autorizzati dell’amministrazione pubblica ibride. Per le sue valutazioni il titolare personali può consentire l’eventuale o non conformi alle regole. Il cliente o dell’impresa, per quale motivo siano del trattamento (in genere chi acquista trasferimento dei dati nel rispetto dovrebbe, ad esempio, accertarsi che stati raccolti e come siano elaborati. servizi cloud) dovrà quindi tenere della privacy degli interessati. i dati siano sempre “disponibili” (che si Può richiedere una copia intelligibile in debito conto anche il luogo dove possa cioè sempre accedere ai dati) dei dati personali che lo riguardano, vengono conservati i dati e quali sono Sicurezza dei dati e “riservati” (che l’accesso cioè sia il loro aggiornamento, la rettifica o i trattamenti previsti all’estero. Il titolare del trattamento deve consentito solo a chi ne ha diritto). l’integrazione. In caso di violazione di Il trasferimento di dati verso gli Stati assicurarsi che siano adottate misure Per garantire che i dati siano al sicuro, legge, può esigere anche il blocco, la Uniti, ad esempio, può essere facilitato non sono importanti solo le modalità con cancellazione o la trasformazione in nel caso in cui il cloud provider aderisca cui sono conservati, ma anche quelle forma anonima di queste informazioni. a programmi di protezione dati come con cui sono trasmessi (ad esempio Il cliente del servizio cloud, in qualità il cosiddetto Safe Harbor (letteralmente utilizzando tecniche di cifratura). di titolare del trattamento dati, per “porto sicuro”), un accordo bilaterale soddisfare queste richieste, deve poter Ue-Usa che definisce regole sicure I diritti dell’interessato mantenere un adeguato controllo non e condivise per il trasferimento dei I soggetti pubblici e le imprese che solo sulle attività del fornitore, ma anche dati personali effettuato verso aziende decidono di avvalersi di servizi cloud per su quelle degli eventuali sub fornitori dei presenti sul territorio americano. gestire i dati personali dei loro utenti quali il cloud provider potrebbe avvalersi.16 17
  10. 10. VALUTAZIONE DEI RISCHI,.DEI COSTI E DEI BENEFICI. È opportuno scegliere bene il tipo conservati o utilizzati documenti così di cloud e il modello di servizio più adatto preziosi. La voce “risparmio” non deve alle proprie esigenze. In particolare se quindi essere l’unico fattore di scelta. si decide di adottare il public cloud, dove I grandi fornitori globali di cloud quasi tutto il processo viene computing si contano sulle dita di una esternalizzato e i “nostri” dati più preziosi mano. Quasi tutte le altre società che sono dislocati “lontano” dal nostro offrono servizi e infrastrutture tra le controllo diretto. Il concetto di cloud può “nuvole” si avvalgono infatti delle aziende apparire evanescente, “virtuale”. leader mondiali. Questa situazione riduce In realtà, con le sue tecnologie si possono di molto la capacità negoziale di una gestire servizi estremamente concreti, singola impresa o di una piccola quali la distribuzione dei prodotti di amministrazione pubblica, rendendo un’azienda, i servizi dell’anagrafe di un difficile trasformare la flessibilità Comune, le prenotazioni e le analisi tecnologica in flessibilità contrattuale. mediche, il conto bancario on line e tanto In questi casi la scelta di consorziarsi altro. Nessuno lascerebbe in deposito il con altri soggetti pubblici o imprese che proprio portafoglio con i documenti e lo hanno le medesime esigenze (ad esempio stipendio alla prima persona incontrata al tramite le associazioni di categoria) mercato. Né affiderebbe il proprio libro potrebbe garantire una capacità mastro o i contratti stipulati con clienti e contrattuale maggiore. fornitori a un commercialista sconosciuto Prima di optare per un certo tipo di che gli promette di risparmiare, senza “nuvola”, è comunque opportuno che prima essersi accertato su come saranno l’utente verifichi la quantità e la tipologia 19
  11. 11. di dati che intende esternalizzare SICUREZZA trasformazione” di servizi acquisiti presso (ad esempio dati personali, in particolare altri service provider, diversi dal fornitore quelli sensibili, oppure dati critici per Quali sono le misure di sicurezza con cui l’utente stipula il contratto la propria attività, come progetti riservati adottate dal fornitore per proteggere di servizio. L’utente, a fronte di filiere indisponibile laddove si verifichino o coperti da brevetto o segreto i dati? Il fornitore di servizi cloud spesso di responsabilità complesse, potrebbe eventi anomali o guasti che impediscano industriale), valutando gli eventuali rischi dispone di sistemi di protezione contro non essere messo in grado di sapere l’accessibilità temporanea ai dati. e le possibili conseguenze derivanti virus, attacchi hacker o altri pericoli chi, tra i vari gestori dei servizi intermedi, È quindi necessario valutare bene DISPONIBILITÀ DEL SERVIZIO da tale scelta. È vero che il cliente spesso informatici più efficaci rispetto a quelli può accedere a determinati dati. le conseguenze sulla propria società E PIANO DI EMERGENZA non ha capacità di negoziare una che potrebbe permettersi il singolo o ente dell’eventuale interruzione, riformulazione dei “term of use” proposti utente. È comunque necessario più o meno prolungata, del servizio, da chi offre i servizi: può però scegliere informarsi bene su quali siano le misure considerare i costi diretti e indiretti tra differenti provider. Anche i fornitori adottate dal cloud provider. Prima di dell’inaccessibilità ai dati, e definire cloud, comunque, potrebbero trarre scegliere il partner cloud il cliente deve In caso di problemi al collegamento in anticipo con il fornitore cloud un RECUPERO DEI DATI nuove opportunità dalla definizione di sempre considerare che, affidandosi a un Internet, è comunque possibile eventuale piano di emergenza. clausole “pro-privacy” o da una eventuale fornitore remoto, può perdere il controllo continuare a usufruire dei servizi senza RUOLI E RESPONSABILITÀ preventiva certificazione indipendente sul diretto ed esclusivo sui propri dati. l’accesso al cloud? In quanto tempo può rispetto della normativa europea sulla essere ripristinato il sistema? Esistono protezione dei dati personali per i servizi piani di emergenza per i servizi È possibile che i dati sul cloud possano da loro offerti. La risposta ad alcune essenziali? Il servizio virtuale, in assenza essere persi o distrutti? Calamità domande può aiutare a sviluppare Chi è il reale fornitore del servizio che di adeguate garanzie in merito alla naturali o attacchi informatici potrebbero una corretta analisi dell’impatto si sta acquisendo? Si tratta di una qualità della connettività di rete, potrebbe compromettere il funzionamento di economico e organizzativo di queste singola società o di un consorzio di occasionalmente risultare degradato in alcuni data center. È particolarmente tecnologie all’interno di un’impresa imprese? Il servizio prescelto potrebbe presenza di attacchi informatici, di elevati importante individuare possibili o di una pubblica amministrazione. essere il risultato finale di una “catena di picchi di traffico o addirittura procedure di recupero dei dati20 21
  12. 12. e quantificare l’impatto economico dell’Unione europea? L’identificazione MIGRAZIONE a proprio vantaggio con la certezza e organizzativo dell’eventuale perdita del luogo in cui i dati sono conservati che il cliente - considerata l’impossibilità o cancellazione di dati presenti o elaborati ha riflessi immediati sia La tecnologia utilizzata dal fornitore pratica di trasferire agevolmente CONFIDENZIALITÀ solo sul cloud. sulla normativa applicabile in caso di di cloud è di tipo “proprietario”? I dati i dati presso un altro fornitore contenzioso tra il cliente e il fornitore, sia possono essere esportati facilmente? e di recedere dal servizio - non potrà ASSICURAZIONE SUL DANNO in relazione alle disposizioni nazionali che L’adozione da parte del fornitore del far altro che accettarle. disciplinano il trattamento, l’archiviazione servizio di tecnologie proprie può, in Esistono garanzie di riservatezza per i e la sicurezza dei dati. taluni casi, rendere complessa per nostri dati nel caso in cui un concorrente La conoscenza di questi elementi l’utente la migrazione di dati e condivida gli stessi servizi cloud? garantirà un rapporto più trasparente tra documenti da un sistema cloud ad un Nel caso in cui si accerti una violazione I fornitori custodiscono dati di singoli il cliente e il fornitore di cloud computing. altro o lo scambio di informazioni con o la perdita dei dati, il fornitore e di organizzazioni che potrebbero avere È poi necessario non dimenticare che la soggetti che utilizzino servizi cloud di garantisce un pronto risarcimento interessi ed esigenze differenti o persino normativa sulla privacy, al fine di tutelare fornitori differenti, ponendo quindi a del danno? Le attuali incertezze obiettivi contrastanti e in concorrenza. le persone interessate, prevede che i dati rischio la portabilità o l’interoperabilità normative possono rendere difficile È quindi opportuno valutare le garanzie possano essere “esportati” in Paesi fuori dei dati. Questa evenienza potrebbe dare e oneroso riuscire a ottenere un offerte a tutela della confidenzialità dall’Unione europea solo in precisi casi luogo a politiche commerciali poco adeguato risarcimento per i danni subiti COLLOCAZIONE DEI SERVER delle informazioni trasferite sul cloud. e quando sia offerta una protezione trasparenti. In un primo momento, in seguito a violazioni, a perdita di dati, adeguata rispetto a quella prevista dalla il fornitore potrebbe ad esempio a interruzione anche temporanea legislazione comunitaria. Un servizio presentare al cliente un’offerta di servizi del servizio cloud. cloud potrebbe quindi celare dei costi cloud economicamente vantaggiosa e La presenza di un’assicurazione o di In quale Stato sono conservati i dati extra imprevisti, determinati dalla ridotta con adeguate garanzie a protezione dei procedure semplificate per la risoluzione caricati sulla “nuvola”? È possibile capacità di controllo sui propri dati dati. In un secondo momento, una volta di controversie, anche internazionali, può scegliere di usufruire di server collocati o da più probabili contenziosi legali acquisito il cliente, potrebbe invece sicuramente essere un valore aggiunto solo in territorio nazionale o in Paesi nazionali e internazionali. cambiare le condizioni del contratto per utenti di piccole dimensioni.22 23
  13. 13. IL DECALOGO.PER UNA SCELTA.CONSAPEVOLE. 1 EFFETTUARE UNA VERIFICA SULL’AFFIDABILITÀ le caratteristiche qualitative dei servizi DEL FORNITORE di connettività di cui si avvale il fornitore in termini di capacità e affidabilità. Sarà utile considerare anche l’impiego Gli utenti dovrebbero accertare da parte del fornitore di personale l’esperienza, la capacità e l’affidabilità qualificato, l’adeguatezza delle sue del fornitore prima di trasferire sui infrastrutture informatiche e di sistemi cloud i propri dati più preziosi, comunicazione, la disponibilità ad tenendo in considerazione le proprie assumersi una responsabilità risarcitoria esigenze istituzionali o imprenditoriali, la (che dovrebbe essere esplicitamente quantità e la tipologia delle informazioni prevista dal contratto di servizio) in caso 2 che intendono allocare, i rischi e di eventuali falle nel sistema di sicurezza le misure di sicurezza adottate. Anche o di interruzioni del servizio. PRIVILEGIARE I SERVIZI in funzione della tipologia di servizio CHE FAVORISCONO desiderato, oltre che della criticità dei LA PORTABILITÀ DEI DATI dati, è opportuno che gli utenti valutino: la struttura societaria del fornitore, le referenze, le garanzie di legge offerte in ordine alla confidenzialità dei dati È consigliabile ricorrere a servizi di cloud e alle misure adottate per assicurare la computing privilegiando quelli basati su continuità operativa a fronte di eventuali formati e standard aperti, che facilitino e imprevisti malfunzionamenti. la transizione da un sistema cloud ad un Gli utenti dovrebbero valutare, inoltre, altro, anche se gestiti da fornitori diversi. 25
  14. 14. 4 5 SELEZIONARE I DATI NON PERDERE DI VISTA I DATI DA INSERIRE NELLA NUVOLA adeguate garanzie sulla disponibilità e sulle prestazioni dei servizi cloud. L’adozione di servizi che non offrono È sempre opportuno che l’utente valuti adeguate garanzie di riservatezza Alcune informazioni, come quelle accuratamente il tipo di servizio offerto, e di continuità operativa può comportare coperte da segreto industriale anche verificando se i dati rimarranno rilevanti ripercussioni non solo sul e tutti i dati sensibili (ad esempio nella disponibilità fisica dell’operatore cliente del servizio cloud, ma anche quelli relativi alla salute, all’etnia, con cui è stato stipulato il contratto sui soggetti a cui si riferiscono i dati alle opinioni politiche o alle iscrizioni oppure se questi svolga un ruolo di La portabilità dei dati consente personali trattati, come avviene per a sindacati), richiedono, per loro intermediario, ovvero offra un servizio di recedere dal servizio senza incorrere le pubbliche amministrazioni e per intrinseca natura, particolari basato sulle tecnologie messe a in spese e disagi difficilmente prevedibili. le società che offrono servizi a terzi. misure di sicurezza. disposizione da un operatore terzo. Tale opzione limita anche il rischio In tal senso, a fronte del contenimento In tali casi, poiché dall’inserimento dei Si pensi, ad esempio, a un applicativo che i fornitori, sfruttando la loro dei costi, il titolare del trattamento (in dati nel cloud consegue comunque una in modalità cloud nel quale il fornitore posizione di forza negoziale, adottino genere chi acquista servizi cloud) dovrà inferiore capacità di controllo diretto eventuali modifiche unilaterali comunque prevedere la possibilità di da parte dell’utente e un’esposizione 3 e peggiorative dei contratti di servizio conservare una copia dei dati allocati a rischi non sempre prevedibili di perdita cloud instaurati con il cliente. sul cloud, in particolare di quelli la cui o di accesso abusivo, è bene valutare ASSICURARSI LA DISPONIBILITÀ perdita o indisponibilità potrebbe causare con responsabile attenzione se ricorrere DEI DATI IN CASO DI NECESSITÀ gravissimi danni, non solo economici ai servizi di cloud computing o di immagine: si pensi a dati (in particolare di tipo “pubblico”), particolarmente delicati come oppure se utilizzare altre forme di È opportuno chiedere che nel contratto quelli di tipo sanitario o giudiziario, outsourcing, ovvero mantenere “in sede” con il fornitore siano ben specificate o di carattere fiscale e patrimoniale. il trattamento di tali dati.26 27
  15. 15. del servizio finale di elaborazione dati ma soprattutto per verificare il livello le aziende al di fuori dell’Ue coinvolte modalità per il recesso dal servizio si avvalga di un servizio di “stoccaggio” di protezione assicurato ai dati. nel cloud abbiano sottoposto le proprie e il passaggio ad altro fornitore. acquisito da un terzo. In tal caso, Il trasferimento di dati in Paesi che non procedure di sicurezza e di trattamento Un elemento da privilegiare è senz’altro saranno i sistemi fisici di quest’ultimo offrono adeguate garanzie di sicurezza dei dati a specifici percorsi di la previsione di garanzie di qualità operatore che concretamente e confidenzialità potrebbe comportare certificazione, come quelli regolati chiare, corredate da penali, che pongano ospiteranno i dati immessi nel cloud un illecito trattamento dei dati personali, dagli standard ISO per la gestione a carico del fornitore le eventuali dall’utente. Per valutare la qualità oltre a eventuali danni irreparabili per della sicurezza. Oppure se nei contratti inadempienze o le conseguenze di del cloud è quindi necessario informarsi le attività istituzionali dei soggetti pubblici di outsourcing proposti al cliente siano determinati eventi (ad es. accesso non 6 sulle prestazioni offerte da tutti i soggetti o per il business delle imprese. state inserite le specifiche “clausole consentito, perdita dei dati, indisponibilità coinvolti nella fornitura del servizio. In ogni caso, l’utente, prima di caricare contrattuali tipo” approvate dalla per malfunzionamenti ecc.). INFORMARSI SU 7 i dati “sulla nuvola” e di consentire il loro Commissione europea per i trasferimenti Si suggerisce di verificare anche DOVE RISIEDERANNO, eventuale trasferimento in Paesi fuori di dati personali verso Paesi terzi. l’eventuale partecipazione di ulteriori CONCRETAMENTE, I DATI ATTENZIONE ALLE CLAUSOLE dall’Unione europea, deve accertarsi che soggetti che concorrano come CONTRATTUALI 8 questo spostamento avvenga nel rispetto subfornitori all’erogazione del servizio delle garanzie previste dalla normativa cloud e all’eventuale trattamento dei dati. VERIFICARE TEMPI E MODALITÀ È importante per l’utente sapere se italiana e comunitaria in tema DI CONSERVAZIONE DEI DATI i propri dati vengono trasferiti ed di protezione dei dati personali. È importante valutare l’idoneità delle elaborati da server in Italia, in Europa Se l’azienda, ad esempio, è statunitense condizioni contrattuali per l’erogazione o in un Paese extraeuropeo. Tale è bene verificare che abbia aderito del servizio di cloud con particolare informazione può essere determinante all’accordo Safe Harbor che definisce riferimento agli obblighi e alle In fase di acquisizione del servizio per stabilire la giurisdizione e la legge regole condivise con le istituzioni europee responsabilità in caso di perdita cloud è opportuno approfondire e applicabile nel caso di controversie per il trattamento dei dati personali. e di illecita diffusione dei dati custoditi prevedere nel contratto le politiche tra l’utente e il fornitore del servizio, Così come è utile controllare che nella “nuvola”, nonché alle eventuali adottate dal fornitore riguardo ai tempi28 29
  16. 16. 9 ESIGERE ADEGUATE MISURE DI SICUREZZA appositamente formato, al fine personali, senza diffonderli magari di limitare rischi di accesso illecito, su Internet e senza effettuare di perdita di dati o, più in generale, comunicazioni sistematiche di tali dati Nell’ottica di proteggere la di trattamento non consentito. a più individui. È comunque opportuno confidenzialità dei dati, occorre valutare L’attività di formazione dovrebbe ricordare che anche le cosiddette con attenzione anche le misure riguardare sia gli elementi tecnici “persone fisiche” sono tenute a di sicurezza utilizzate dal fornitore del che consentono una scelta consapevole conservare con cura i dati affinché la di conservazione dei dati nella nuvola. servizio cloud. In generale si raccomanda delle tecnologie cloud adottate, sia le fasi loro eventuale perdita non possa causare Ove non sia già prevista per legge di privilegiare i fornitori che utilizzino operative del trattamento, come danni ad altre persone. L’adozione di l’immediata cancellazione dei dati del modalità di archiviazione e trasmissione l’inserimento dei dati sulla “nuvola” e la nuove tecnologie per la mobilità, come titolare allo scadere del contratto cloud, sicure, mediante tecniche crittografiche loro elaborazione. La protezione dei dati smartphone e tablet, dotati di grandi è necessario accertare il termine ultimo (specialmente quando i dati trattati sono può infatti essere messa a repentaglio quantità di memoria, spesso connessi oltre il quale il fornitore (responsabile particolarmente delicati), accompagnate non solo da eventuali comportamenti a servizi cloud non protetti che 10 del trattamento) debba cancellare da robusti meccanismi di identificazione sleali o fraudolenti, ma anche da errori consentono di sfruttare lo stesso definitivamente i dati a lui affidati. dei soggetti autorizzati all’accesso. materiali, leggerezza o negligenza strumento per attività private e FORMARE ADEGUATAMENTE Il fornitore dovrà quindi assicurare del personale. professionali, ha però aumentato IL PERSONALE UNA PRECAUZIONE EXTRA che i dati non saranno conservati il rischio di perdita di controllo dei PER GLI UTENTI PRIVATI oltre i suddetti termini o comunque dati personali. Si consiglia quindi al di fuori di quanto esplicitamente di conservare con cura gli strumenti stabilito con l’utente stesso. In ogni Il personale, sia quello del cliente tecnologici utilizzati per scopi personali, caso, i dati dovranno essere sempre che quello del fornitore, incaricato del Le disposizioni previste dal Codice e di adottare tutte le cautele al fine conservati solo nel rispetto delle trattamento dei dati mediante servizi della privacy non si applicano a singole di impedire accessi anche accidentali, finalità e delle modalità concordate. di cloud computing dovrebbe essere persone che trattano i dati per scopi da parte di terzi, ai dati personali.30 31
  17. 17. Piazza di Monte Citorio, 121 00186 Roma tel. 06 696771 fax 06 696773785 Per informazioni presso l’Autorità: Ufficio per le relazioni con il pubblico Lunedì - Venerdì ore 10.00 - 13.00 tel. 06 696772917/9 e-mail: urp@garanteprivacy.it pec: urp@pec.gpdp.it A cura del Servizio relazioni con i mezzi di informazione 32 Stampa: IAG Mengarelli - maggio 2012www.garanteprivacy.it

×