Le indicazioni del Garante Privacy italiano
Nel dibattito sulla sicurezza dei servizi cloud si è inserito anche il Garante Privacy che ha pubblicato una serie di indicazioni valide per tutti gli utenti ma, in particolare, per imprese ed amministrazioni pubbliche, per l’utilizzo degli strumenti disponibili sulla nuvola.
“L’obiettivo è quello di far riflettere su alcuni importanti aspetti giuridici, economici e tecnologici in un settore in velocissima espansione“, si legge nella presentazione dell’opuscolo “e di promuovere un utilizzo corretto delle nuove modalità di erogazione dei servizi informatici“.
Il Garante riconosce come il cloud computing possa offrire soluzione concrete per gestire molteplici attività con efficienza e possibili risparmi. L’adozione di tali strumenti, tuttavia, presenta “criticità e rischi per la privacy di cui è bene tenere conto. Prima di esternalizzare la gestione di dati e documenti o adottare nuovi modelli organizzativi è necessario porsi alcune domande, scegliendo con cura la soluzione più sicura per le attività istituzionali o per il proprio business“.
Interessante la parte del “vademecum” (scaricabile in PDF cliccando qui) che offre un excursus sul quadro normativo nazionale ed internazionale.
Si ammette che le disposizioni legislative sono veramente molto vecchie: la normativa europea sulla tutela dei dati personali risale addirittura al 1995, un’era geologica quando si parla di tecnologie informatiche e, soprattutto, di Internet. Le prime vere novità in materia di tutela dei dati dovrebbero arrivare solo nel 2014, quando sarà approvato un Regolamento europeo che supererà l’attuale Codice della Privacy italiano.
Fino a quel momento il Garante spiega che l’azienda o la pubblica amministrazione ““titolare del trattamento” dei dati personali, che trasferisce del tutto o in parte il trattamento sulle “nuvole”, deve procedere a designare il fornitore dei servizi cloud “responsabile del trattamento”. Questo significa che il professionista dovrà sempre prestare molta attenzione a come saranno utilizzati e conservati i dati personali caricati sulla nuvola: in caso di violazioni commesse dal fornitore, anche il titolare sarà chiamato a rispondere dell’eventuale illecito“. Secondo il Garante non saranno scusabili nemmeno le realtà più piccole qualora si giustificassero adducendo come scusa l’impossibilità di raggiungere un responsabile del servizio cloud con lo scopo di negoziare clausole contrattuali o modalità di controllo dei dati. “Il cliente di servizi cloud, infatti, può sempre rivolgersi ad altri fornitori che offrono maggiori garanzie, in particolare per il rispetto della normativa sulla protezione dei dati“, aggiunge il Garante.
Il “vademecum” del Garante Privacy chiarisce che il Codice vieta di trasferire dati personali fuori dall’Unione Europea, anche a titolo temporaneo, “qualora l’ordinamento del Paese di destinazione o di transito dei dati non assicuri un adeguato livello di tutela. … Per le sue valutazioni il titolare del trattamento (in genere chi acquista servizi cloud) dovrà quindi tenere in debito conto anche il luogo dove vengono conservati i dati e quali sono i trattamenti previsti all’estero“. La parola chiave da tenere presente è “Safe Harbor” (porto sicuro, in italiano): il trasferimento dei dati verso gli Stati Uniti può essere facilitato nel caso in cui il cloud provider aderisca ad un tale programma di protezione dei dati. Il “Safe Harbor” è infatti un accordo bilaterale fra Unione Europea e Stati Uniti che definisce regole sicure e condivise per il trasferimento dei dati personali effettuato verso aziende presenti sul territorio americano.
Spetterà comunque sempre al titolare del trattamento dati verificare che le informazioni siano sempre accessibili, riservate e che siano assicurati i diritti di coloro che le conferiscono.
“È vero che il cliente spesso non ha capacità di negoziare una riformulazione dei “term of use” proposti da chi offre i servizi: può però scegliere tra differenti provider“. Prima di rivolgersi ad un cloud provider, quindi, il Garante consiglia di esaminare attentamente le misure di sicurezza adottate dal fornitore del servizio, di stabilire chi è il reale fornitore del servizio che si sta acquisendo, di raccogliere informazioni sulla disponibilità del servizio e sui piani di emergenza, sull’eventualità che i dati possano andare perduti, sulla garanzie di riservatezza, sulla collocazione dei server, sulla possibilità di migrare altrove tutte le informazioni o parte di esse, sulle eventuali assicurazioni danni.
Chi volesse approfondire può prelevare e consultare il vademecum redatto dal Garante Privacy da qui.
