hanno visto questa sezione: visitatori dal 1 gennaio 2010

Il Regolamento Europeo noto come GDPR (Regolamento UE n. 679/2016), fra le tante questioni, sicuramente disciplina l’approccio al cloud computing, realtà ampiamente diffusa nel moderno mondo aziendale.
Il trasferimento di masse di dati in cloud comporta significativi problemi in ottica privacy, spesso sottovalutati dalle aziende.
L’art. 3, comma 2, del Regolamento dichiara che è sottoposto ai vincoli del medesimo GDPR il “trattamento dei dati personali di interessati che si trovano nell’Unione, effettuato da un titolare del trattamento o da un responsabile del trattamento che non è stabilito nell’Unione, quando le attività di trattamento riguardano: a) l’offerta di beni o la prestazione di servizi ai suddetti interessati nell’Unione, indipendentemente dall’obbligatorietà di un pagamento dell’interessato; oppure b) il monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo all’interno dell’Unione”.
Va subito precisato che il principio di territorialità espresso dl GDPR fa sì che tutti i trattamenti effettuati in cloud, anche se avvengono su server posti fuori dall'Unione Europea, sono assoggettati al GDPR.
Il cloud e la protezione dei dati personali
In primo luogo dobbiamo porci la domanda: quale ruolo assume il fornitore di servizi cloud rispetto al GDPR ?
Senza alcun dubbio la risposta è la seguente: il fornitore di servizi cloud assume la veste di responsabile del trattamento.
Al titolare spetta pertanto l'onere di regolamentare col responsabile le modalità di trattamento. E' peraltro innegabile che - quando il fornitore di cloud sia un colosso della comunicazione - non vi è alcuna possibilità di trattativa individuale e ciò tende a vanificare ogni approccio che sia realmente coerente coi principi espressi dal GDPR.
Tali colossi usualmente applicano unilateralmente della condizioni, col metodo del 'prendere o lasciare'.
Resta però in capo al titolare l'onere di avvalersi unicamente di 'responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti' del regolamento Europeo, garantendo la 'tutela dei diritti dell’interessato”.
Ne consegue che i titolari devono condurre e documentare una attività - preventiva rispetto alla stipula del contratto col fornitore - di audit, ossia di verifica delle capacità e modalità di trattamento dei dati compiuta dal potenziale fornitore di servizi cloud.
a- Si potrà in particolare verificare se il fornitore aderisca a prassi o certificazioni utili, quali la ISO 27001 e la ISO 27018. Il titolare dovrà accertarsi in particolare dei luoghi ove i dati vengono conservati, con specifica attenzione al caso in cui i dati siano conservati fuori dall'Unione Europea, situazione che comporta trasferimento transfrontaliero di dati, da monitorare con molta attenzione.
b- Si dovrà verificare se il fornitore offra servizi di crittografia (cifratura) dei dati.
c - si dovrà verificare se se il fornitore fornisca metodi di trasferimento dei dati in modalità sicura (protocolli https).
Quanto alla cifratura dati, occorrerà valutare con attenzione se utilizzare la tecnologia di cifratura lato client o lato server. Nel primo caso la cifratura dei dati viene realizzata direttamente dal titolare con propri mezzi e programmi, sicchè il dato viene trasmesso in cloud già cifrato.
Nel caso di cifratura lato server, il procedimento di crittografia viene eseguito dal fornitore dopo che il cliente ha trasmesso dati 'in chiaro'.
Entrambe le scelte hanno vantaggi e svantaggi. Nel caso di cifratura lato client, occorre prevedere una adeguata conservazione delle chiavi di cifratura, in assenza delle quali il dato non è più recuperabile. Nel caso di cifratura lato server, la trasmissione in rete avviene con dati 'in chiaro', più facilmente aggredibili da malintenzionati.
Fondamentale, infine, la previsione di procedure di verifica del rispetto, da parte del fornitore cloud, delle procedure di sicurezza adottate e concordate (audit periodico).

Avvocato Enrico Candiani