Via Gavinana 6
21052 Busto Arsizio
Tel: 0331/634132
Fax: 0331/679422
C.f. CNDNRC65H21B300S
P.Iva: 01606100129

Pagina Principale
Lo staff
Materie Trattate
Chi siamo
Utilità - Iscrizioni - Area Riservata
Articoli anni 2017-2018

Privacy e cloud: problemi e soluzioni 14, 12 2018
Salta il Jobs act: incostituzionale 11, 12 2018
Privacy: le sanzioni civili e penali 30, 11 2018
Gdpr: il registro di trattamento 19, 11 2018
Appalto – responsabilità da subappalto – indennità da ferie – non spetta 19, 10 2018
La nuova Privacy: un moloch sconosciuto 17, 3 2018
Condominio: morosi e distacco dei servizi 4, 12 2017
Spazi comuni condominiali e loro uso 1, 10 2017
Mantenimento dei figli 29, 9 2017
Antenna - posizionamento su proprietà altrui - limiti 14, 9 2017
Pubblicità porta a porta: no a divieti comunali 25, 7 2017
Divorzio: nuovi criteri per l'assegno 16, 7 2017
Intercettati i colloqui col difensore 19, 5 2017
Distacco dal riscaldamento condominiale 24, 3 2017
Competenza in materia di illeciti via internet 24, 3 2017
Zorro è protetto dal diritto d'autore fino al 2028 1, 1 1970
hanno visto questa sezione:
visitatori dal 1 gennaio 2010
.

Privacy e cloud: problemi e soluzioni



I dati in cloud: problemi e attenzioni in ottica privacy



Il Regolamento Europeo noto come GDPR (Regolamento UE n. 679/2016), fra le tante questioni, sicuramente disciplina l’approccio al cloud computing, realtà ampiamente diffusa nel moderno mondo aziendale.
Il trasferimento di masse di dati in cloud comporta significativi problemi in ottica privacy, spesso sottovalutati dalle aziende.
L’art. 3, comma 2, del Regolamento dichiara che è sottoposto ai vincoli del medesimo GDPR il “trattamento dei dati personali di interessati che si trovano nell’Unione, effettuato da un titolare del trattamento o da un responsabile del trattamento che non è stabilito nell’Unione, quando le attività di trattamento riguardano: a) l’offerta di beni o la prestazione di servizi ai suddetti interessati nell’Unione, indipendentemente dall’obbligatorietà di un pagamento dell’interessato; oppure b) il monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo all’interno dell’Unione”.
Va subito precisato che il principio di territorialità espresso dl GDPR fa sì che tutti i trattamenti effettuati in cloud, anche se avvengono su server posti fuori dall'Unione Europea, sono assoggettati al GDPR.
Il cloud e la protezione dei dati personali
In primo luogo dobbiamo porci la domanda: quale ruolo assume il fornitore di servizi cloud rispetto al GDPR ?
Senza alcun dubbio la risposta è la seguente: il fornitore di servizi cloud assume la veste di responsabile del trattamento.
Al titolare spetta pertanto l'onere di regolamentare col responsabile le modalità di trattamento. E' peraltro innegabile che - quando il fornitore di cloud sia un colosso della comunicazione - non vi è alcuna possibilità di trattativa individuale e ciò tende a vanificare ogni approccio che sia realmente coerente coi principi espressi dal GDPR.
Tali colossi usualmente applicano unilateralmente della condizioni, col metodo del 'prendere o lasciare'.
Resta però in capo al titolare l'onere di avvalersi unicamente di 'responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti' del regolamento Europeo, garantendo la 'tutela dei diritti dell’interessato”.
Ne consegue che i titolari devono condurre e documentare una attività - preventiva rispetto alla stipula del contratto col fornitore - di audit, ossia di verifica delle capacità e modalità di trattamento dei dati compiuta dal potenziale fornitore di servizi cloud.
a- Si potrà in particolare verificare se il fornitore aderisca a prassi o certificazioni utili, quali la ISO 27001 e la ISO 27018. Il titolare dovrà accertarsi in particolare dei luoghi ove i dati vengono conservati, con specifica attenzione al caso in cui i dati siano conservati fuori dall'Unione Europea, situazione che comporta trasferimento transfrontaliero di dati, da monitorare con molta attenzione.
b- Si dovrà verificare se il fornitore offra servizi di crittografia (cifratura) dei dati.
c - si dovrà verificare se se il fornitore fornisca metodi di trasferimento dei dati in modalità sicura (protocolli https).
Quanto alla cifratura dati, occorrerà valutare con attenzione se utilizzare la tecnologia di cifratura lato client o lato server. Nel primo caso la cifratura dei dati viene realizzata direttamente dal titolare con propri mezzi e programmi, sicchè il dato viene trasmesso in cloud già cifrato.
Nel caso di cifratura lato server, il procedimento di crittografia viene eseguito dal fornitore dopo che il cliente ha trasmesso dati 'in chiaro'.
Entrambe le scelte hanno vantaggi e svantaggi. Nel caso di cifratura lato client, occorre prevedere una adeguata conservazione delle chiavi di cifratura, in assenza delle quali il dato non è più recuperabile. Nel caso di cifratura lato server, la trasmissione in rete avviene con dati 'in chiaro', più facilmente aggredibili da malintenzionati.
Fondamentale, infine, la previsione di procedure di verifica del rispetto, da parte del fornitore cloud, delle procedure di sicurezza adottate e concordate (audit periodico).

Avvocato Enrico Candiani


I video pubblicati dallo studio
Articoli 2000-2005
Articoli 2006-2008
Articoli 2009
Articoli 2010
Articoli 2011
Articoli 2012
Articoli 2013
Articoli 2014
Articoli 2015
Articoli 2016
Articoli 2019
Articoli 2020