Cloud: le regole della “nuvola”
L’evoluzione tecnologica ha dato un forte impulso all’affermazione del cloud computing come paradigma tecnologico globale. Essa non si può fermare e ci impone di rimanere al passo con i tempi.
Ma con prudenza.
La prudenza può provenire da un contratto sano e completo che tenga conto dei vantaggi delle soluzioni cloud senza perderne di vista gli effetti. Per vantaggi ovviamente si intendono quelli legati soprattutto ad una semplificazione della gestione dei dati e delle informazioni aziendali, trattati con strumenti “leggeri” e standardizzati e alla conseguente riduzione dei costi. La speditezza logica del mezzo si riflette sulla disponibilità dei dati e delle informazioni che veicola; essi, infatti, diventano così accessibili ovunque e con qualsiasi dispositivo senza l’ostacolo di un archivio fisico e di software installati su client fissi o portatili. L’obiettivo è ambizioso e ha bisogno di competenze specifiche che non sempre fanno capo ad uno stesso soggetto. Proprio la coesistenza tra una molteplicità di attori dell’offerta rispetto ad una domanda altrettanto variegata ha portato finora a cercare (e a trovare) vie di compromesso per gli accordi contrattuali. Anch’essi per la maggior parte standardizzati e massificati a discapito di una determinazione negoziale libera e cosciente.
Ciò anche perché il settore è governato da major dal notevole appeal commerciale. Ristabilire un equilibrio tra gli attori del cloud (clienti e fornitori in primis) ha le sue regole.
In questa sede le regole che ci interessano con prevalenza rispetto ad ogni altra sono quelle che governano un’adeguata policy privacy.
Ci aiuteranno nella nostra esplorazione le risultanze cui è giunto il Gruppo di lavoro articolo 29 per la protezione dei dati personali nel suo parere del 1 luglio 2012 (numero 5).
Il Gruppo mette in evidenza le criticità di un rapporto promiscuo che permette un massiccio scambio di informazioni apparentemente privo di controllo. Affidando dati personali a sistemi gestiti da un fornitore di servizi cloud, i clienti rischiano infatti di perdere il controllo esclusivo dei dati e di non poter prendere le misure tecniche ed organizzative necessarie per garantire la disponibilità, l’integrità, la riservatezza, la trasparenza e la c.d. segregazione (o isolamento secondo i traduttori), la portabilità dei dati e la possibilità di intervento sugli stessi.
Il controllo diventa oltre modo difficile se si considera che il fornitore di un servizio cloud nella maggior parte dei casi agisce in relazione con altri subfornitori che governano una parte, sempre rilevante, del servizio stesso. Molte volte questi non risiedono neanche sul territorio nazionale.
Emergono in modo ovvio i pericoli connessi pertanto a questa soluzione se non preventivamente regolamentata. Il Gruppo fornisce alcune importanti indicazioni per regolare il rapporto tra i detti soggetti, le quali consentono di ripartire tra gli stessi gli obblighi facenti capo a ciascuno in base all’attività esercitata nel servizio fornito, per l’effetto riequilibrando la posizione del titolare del trattamento, e quindi del cliente che chiede il servizio, che potrebbe trovarsi a sopportare a cascata responsabilità estranee a quelle del suo perimetro abituale. Per non parlare delle conseguenze che la mancanza di un solido regime di responsabilità comporterebbe sull’interessato.
Il Cliente in quanto titolare del trattamento è tenuto in base al D.lgs. n. 196/2003 e s.m.i. a definire le finalità del trattamento e gli strumenti attraverso i quali questo si compie. Se gli strumenti sfuggono, come è possibile nella gestione dei servizi in cloud, al suo controllo diretto, il cliente ha il dovere, in quanto titolare del trattamento, di ovviare a tale vuoto organizzativo, pretendendo le opportune e specifiche garanzie da parte dei fornitori. Il ruolo di quest’ultimi deve essere definito prima di ogni altro. Quindi per i fornitori (ovviamente consideriamo per ora quelli principali e non i subfornitori) dovrà considerarsi la possibilità di una nomina a responsabile del trattamento o anche, se la situazione concreta consente una simile scelta, la contitolarità del medesimo trattamento o finanche una titolarità assolutamente autonoma.
Traendo spunto dalle indicazioni fornite dal Gruppo articolo 29, le parti in gioco dovrebbero aderire ad un capitolato privacy o un privacy level agreement (così come definito dagli esperti del settore) che opponga alle criticità prevedibili una azione coesa tra i concorrenti nel trattamento dei dati personali con strumenti in cloud.
Le linee guida proposte dal Gruppo dei garanti europei partono dalla definizione dei ruoli ovvero:
1) dalla relazione tra cliente e fornitore: dal punto di vista privacy ovviamente e nella corretta applicazione degli artt. 29 e 30 del D.lgs. n. 196/2003 e s.m.i.
2) dalla relazione con i subfornitori. Per essi il Gruppo prevede che gli accordi contrattuali tra cliente e fornitori comportino per questi ultimi l’indicazione di contraenti terzi coinvolti nel servizio e l’autorizzazione al loro ingresso nella fornitura alle condizioni stabilite dal cliente ma sotto la diretta responsabilità del fornitore principale.
Le linee guida continuano con l’individuazione delle garanzie per il corretto trattamento dei dati e dei relativi livelli oggettivi e misurabili. Ovvero le garanzie di:
1) informazioni trasparenti sul trattamento e del ruolo di ciascuno dei soggetti su menzionati a beneficio degli interessati e del regolare esercizio dei loro diritti;
2) specificazione e di limitazione delle finalità di trattamento. L’impegno riguarda principalmente il titolare che deve approntare idonee misure di controllo, anche tecnico-organizzative, al fine di escludere ogni trattamento da parte dei fornitori che esuli dalle finalità dichiarate;
3) conservazione dei dati: il contratto o il capitolato deve prevedere meccanismi sicuri di cancellazione dei dati da ogni supporto sul quale sono memorizzati con l’intervento congiunto di chi se ne occupa direttamente e con le relative attestazioni richieste per legge;
4) derivazione contrattuale. Nello specifico vengono al riguardo considerate quelle relative a: l’accesso ai dati consentito ai soli soggetti autorizzati; divulgazione dei dati: la comunicazione a terzi va regimentata distribuendo al riguardo le effettive responsabilità delle parti e prevedendo forme di controllo e di esclusione da parte del cliente; l’obbligo di cooperare da parte del fornitore laddove ciò si renda necessario per l’esercizio dei diritti da parte dell’interessato o per rispondere ad una richiesta delle autorità competenti. L’obbligo di cooperazione coinvolge in particolare il fornitore allorquando si tratti di denunciare una violazione dei dati personali. Le relative comunicazioni vanno regolate in termini di tempestività e di rimedi anche attraverso misure di sicurezza e di organizzazione; trasferimenti transfrontalieri: il contratto o gli accordi tra le parti devono garantire l’indicazione dei luoghi dove potrebbe essere fornito il servizio. I trasferimenti all’estero dei dati trattati vanno sottoposti a specifiche cautele contrattuali e non, standardizzate o meno. Non ultime le norme vincolanti di impresa; il logging e auditing del trattamento. Tali attività permettono al cliente di verificare l’operato dei fornitori e dei suoi incaricati o subfornitori anche attraverso registrazioni logiche; misure tecniche ed organizzative. Le prime comprendono misure mirate a garantire disponibilità, integrità, riservatezza, segregazione, possibilità di intervento e portabilità, le seconde, invece, sono incentrate sulla trasparenza.
Per concludere, è utile spendere due parole sulle particolari misure della segregazione e della portabilità dei dati oltre che sugli obblighi di documentazione (o accountability).In breve, per quanto riguarda la prima, si dica che nelle infrastrutture cloud, risorse quali dispositivi di archiviazione, memorie e reti sono condivise da molti utenti, con la conseguenza di nuovi e più pericolosi rischi di divulgazione e di trattamenti illeciti. La segregazione deve ridurre o addirittura eliminare tali rischi. Essa richiede innanzitutto un regime adeguato dei diritti e dei ruoli per l’accesso ai dati personali, verificata su base periodica.
La portabilità dei dati presuppone che i formati dei dati utilizzati dai fornitori che facilitino l’interoperabilità e la portabilità dei dati stessi tra i diversi fornitori.
L’accountability prevede l’obbligo per il fornitore (subfornitori compresi) di descrivere di quali policy o procedure o modelli si sia dotato per dimostrare e garantire la conformità alla normativa vigente, anche attraverso regolamenti interni o altri accorgimenti che dimostrino la necessaria compliance. La misura può prevedere anche l’indicazione dettagliata delle certificazioni attinenti a quanto sopra eventualmente ottenute dal fornitore.
La scelta della tecnologia cloud è una scelta possibile basta l’approccio giusto che coniughi costi e diritti. Riducendo i primi e riqualificando i secondi.
Articolo pubblicato su ICT4Trade – Smau Milano 2013