Cloud computing: dal Garante Privacy una guida per imprese e PA

Si intitola "CLOUD COMPUTING – Proteggere i dati per non cadere dalle nuvole" la guida realizzata dal Garante per la protezione dei dati personali e rivolta in particolare a imprenditori e amministratori pubblici che vogliano aprirsi all’utilizzo e all’adozione di piattaforme e applicazioni cloud.

Le cosiddette "nuvole informatiche" – sottolinea il Garante – offrono una serie di opportunità in termini di efficienza e risparmio, ma possono comportare criticità e costi aggiuntivi di cui è bene tener conto. Prima di esternalizzare la gestione di dati e documenti o adottare nuovi modelli organizzativi, quindi, è necessario porsi alcune domande, scegliendo con cura la soluzione più sicura per le attività istituzionali o per il proprio business.

Ecco quindi questa piccola guida,scaricabile on line, contenente esempi concreti e un vero e proprio “decalogo” perché, come sottolinea sempre il Garante nella nota di presentazione, “una scelta consapevole consentirà di "avvicinarsi alle nuvole" senza rischiare di cadere”.

La guida è suddivisa in cinque capitoli: "Cos’è il cloud computing"; "Nuvole diverse per esigenze diverse"; "Il quadro giuridico"; "Valutazione dei rischi, dei costi e dei benefici"; "Il decalogo per una scelta consapevole". Nei primi due capitoli si approfondiscono i principali tipi di "nuvole" e le modalità di utilizzo. Il terzo offre una panoramica dei principali riferimenti normativi del settore, con particolare riguardo alla protezione dei dati. Gli ultimi due capitoli propongono i principali criteri per valutare costi e benefici dell’adozione del cloud e una serie di consigli concreti per effettuare le scelte più opportune.

Queste in sintesi le indicazioni del decalogo:

1. VERIFICARE L’AFFIDABILITÀ DEL FORNITORE. Prima di trasferire su sistemi cloud i propri dati più preziosi, bisogna valutare, in base alle proprie esigenze, diversi parametri tra cui: struttura societaria del fornitore, referenze, garanzie di legge offerte per la tutela dei dati e per la continuità operativa a fronte di eventuali e imprevisti malfunzionamenti, qualità dei servizi di connettività utilizzati…

2. PRIVILEGIARE I SERVIZI CHE FAVORISCONO LA PORTABILITÀ DEI DATI, in modo da poter passare facilmente da un sistema cloud a un altro e da un fornitore a un altro.

3. ASSICURARSI LA DISPONIBILITÀ DEI DATI IN CASO DI NECESSITÀ. Il contratto deve fornire in modo esplicito adeguate garanzie di riservatezza e di continuità operativa.

4. SELEZIONARE I DATI DA INSERIRE NELLA NUVOLA. Valutare con attenzione se ricorrere ai servizi di cloud computing per informazioni coperte da segreto industriale e per tutti i dati sensibili che richiedono particolari misure di sicurezza.

5. NON PERDERE DI VISTA I DATI. Bisogna sapere “dove stanno fisicamente i dati”…valutare se questi rimarranno nella disponibilità fisica dell’operatore con cui è stato stipulato il contratto, oppure se questi svolga un ruolo di intermediario, ovvero offra un servizio basato su tecnologie messe a disposizione da un operatore terzo. Per valutare la qualità del cloud è necessario informarsi sulle prestazioni offerte da tutti i soggetti coinvolti nella fornitura del servizio.

6. INFORMARSI SU DOVE RISIEDERANNO, CONCRETAMENTE, I DATI. In Italia o all’estero? È importante per l’utente sapere se i propri dati vengono trasferiti ed elaborati da server in Italia, in Europa o in un Paese extraeuropeo. Tale informazione può essere determinante per stabilire la giurisdizione e la legge applicabile nel caso di controversie tra l’utente e il fornitore del servizio, ma soprattutto per verificare il livello di protezione assicurato ai dati.

7. ATTENZIONE ALLE CLAUSOLE CONTRATTUALI. In particolare, soffermarsi su quelle che fanno riferimento agli obblighi e alle responsabilità in caso di perdita e di illecita diffusione dei dati custoditi nella “nuvola”, nonché alle eventuali modalità per il recesso dal servizio e il passaggio ad altro fornitore.

8. VERIFICARE TEMPI E MODALITÀ DI CONSERVAZIONE DEI DATI. In fase di acquisizione del servizio cloud è opportuno approfondire e prevedere nel contratto le politiche adottate dal fornitore riguardo ai tempi di conservazione dei dati nella nuvola, ovvero il termine ultimo oltre il quale, una volta scaduto il contratto, il fornitore (responsabile del trattamento) debba cancellare definitivamente i dati a lui affidati.

9. ESIGERE ADEGUATE MISURE DI SICUREZZA. In generale si raccomanda di privilegiare i fornitori che utilizzino modalità di archiviazione e trasmissione sicure, mediante tecniche crittografiche (specialmente quando i dati trattati sono particolarmente delicati), accompagnate da robusti meccanismi di identificazione dei soggetti autorizzati all’accesso.

10. FORMARE ADEGUATAMENTE IL PERSONALE. Sia il personale del cliente che quello del fornitore, incaricato del trattamento dei dati mediante servizi di cloud computing,  dovrebbe essere appositamente formato, al fine di limitare rischi di accesso illecito, di perdita di dati o, più in generale, di trattamento non consentito. 

Scarica la guida in formato pdf