Cloud Computing e GDPR. Mitigare i rischi: istruzioni per l’uso
Il Cloud computing, che ricordiamo significa letteralmente “nuvola informatica”, è più che mai sotto i riflettori. L’adattabilità del sistema alle esigenze degli utenti, la sua configurabilità ed accessibilità via rete, nonché la possibilità di poterne fruire a consumo, ha portato ad un ampliamento della platea dei suoi sostenitori. E’ un fenomeno che si è diffuso rapidamente non solo fra le aziende di grandi dimensioni, ma anche le piccole e medie imprese e i professionisti.
Mentre l’Europa discute sulle sue implicazioni alla luce dei dettami normativi (GDPR e Privacy Shield fra tutti) nonché sugli equilibri tra scambi UE – Extra UE e sicurezza, è bene riepilogarne gli aspetti vincenti e come mitigare i rischi in materia di tutela dei dati aziendali.
Il cloud computing: funzionalità e vantaggi
E’ indubbio che il cloud computing porti notevoli vantaggi sia economici che tecnici tuttavia, se non correttamente disciplinato, potrebbe ingenerare seri rischi in materia di protezione dei dati personali.
Ma partiamo con ordine. Come funziona il cloud computing? Innanzitutto, dobbiamo distinguere tra public cloud private cloud.
Il private cloud è un’infrastruttura informatica creata ed utilizzata da una singola azienda, generalmente ubicata al suo interno o data in gestione ad un terzo individuato dal titolare; il public cloud è, invece, un’infrastruttura appartenente ad un fornitore specializzato, il quale mette a disposizione degli utenti i servizi offerti dalla propria piattaforma. Potremmo avere, in tal caso, più aziende che fruiscono della medesima infrastruttura.

I vantaggi sono evidenti: attraverso il public cloud l’utente potrà effettuare in qualsiasi momento trasferimenti e scambi di informazioni via web utilizzando qualsiasi supporto informatico a sua disposizione, abbattendo così i costi dovuti all’installazione e all’aggiornamento degli impianti software e hardware, al backup o alla manutenzione degli stessi, nonché al numero di risorse interne che sarebbero così “liberate” attraverso l’esternalizzazione delle attività che erano state in precedenza loro affidate.
I rischi e l’affievolirsi del controllo sui propri dati
È, quindi, evidente che una tale gestione esternalizzata diminuisce drasticamente il controllo dei dati da parte dell’azienda titolare, la quale potrebbe non essere in grado di verificare la corretta gestione degli stessi, l’esatta localizzazione dei server, nonché l’adozione ed il rispetto delle misure di sicurezza da parte del fornitore.
Come proteggersi?
Innanzitutto, partendo dalla verifica dell’affidabilità del fornitore. L’individuazione di un fornitore che garantisca un adeguato livello di protezione dei dati personali è, infatti, uno dei più importanti doveri in capo al titolare del trattamento, anche nel caso del cloud computing. Il fornitore, responsabile del trattamento ex art. 28 GDPR, deve essere vincolato al rispetto della normativa privacy, nonché delle misure di sicurezza individuate dal titolare, mediante l’inserimento di specifiche clausole nel contratto di servizio e la sottoscrizione di apposita nomina, la quale dovrà contenere le istruzioni al cui rispetto sarà tenuto nel corso del trattamento.
Nel caso delle piccole imprese, tuttavia, dovremmo tenere conto anche del loro limitato potere contrattuale, soprattutto se confrontato con quello di fornitori di grandi dimensioni. In tal caso, al fine di valutarne compiutamente l’affidabilità, sarà necessario verificare, in fase di scelta, che lo stesso rispetti determinati requisiti minimi di compliance. Alcuni segnali sono fondamentali: l’offerta del fornitore è corredata di informativa? Quali misure di sicurezza vengono adottate? Il fornitore possiede certificazioni (come la ISO 27018, che si rivolge specificamente ai servizi di public cloud)?
Oltre a ciò, come suggerito anche dal Garante Privacy, il titolare:
- dovrà verificare la quantità e la tipologia di dati che intende esternalizzare, come ad esempio dati personali identificativi o dati particolari relativi allo stato di salute;
- su tale base, sarà possibile effettuare un’analisi dei rischi che il trasferimento di tali dati potrebbe comportare in termini di riservatezza, di possibile indisponibilità dei dati o, addirittura, di loro perdita o cancellazione, quindi di data breach;
- potrà decidere di ricorrere a servizi basati su formati e standard aperti, come le modalità SaaS, PaaS o IaaS, al fine di favorire trasferimenti sicuri e facili dei dati da un sistema cloud all’altro, in tal modo evitando che i dati rimangano legati ad un singolo fornitore che potrebbe decidere unilateralmente di modificare e/o peggiorare le condizioni di servizio;
- infine, dovrà formare adeguatamente il proprio personale, indicando loro le modalità più idonee per acquisire e inserire i dati nella piattaforma cloud.
Tali accortezze devono essere pensate in un’ottica futura da parte delle imprese, le quali non possono e non devono concepire il cloud computing solo in termini di risparmio economico.
L’azienda dovrebbe, invece, valutarne l’adozione come investimento per la propria attività, ponendo l’accento sul bilanciamento di interessi tra risparmio di costi – e benefici che ne potrebbero derivare – e doveri di tutela che i titolari del trattamento sono sempre tenuti a rispettare in virtù del ruolo ricoperto.