Cloud Computing e GDPR. Mitigare i rischi: istruzioni per l’uso

03/07/2019
di Chiara Giubbani

Il Cloud computing, che ricordiamo significa letteralmente “nuvola informatica”, è più che mai sotto i riflettori. L’adattabilità del sistema alle esigenze degli utenti, la sua configurabilità ed accessibilità via rete, nonché la possibilità di poterne fruire a consumo, ha portato ad un ampliamento della platea dei suoi sostenitori. E’ un fenomeno che si è diffuso rapidamente non solo fra le aziende di grandi dimensioni, ma anche le piccole e medie imprese e i professionisti.

Mentre l’Europa discute sulle sue implicazioni alla luce dei dettami normativi (GDPR e Privacy Shield fra tutti) nonché sugli equilibri tra scambi UE – Extra UE e sicurezza, è bene riepilogarne gli aspetti vincenti e come mitigare i rischi in materia di tutela dei dati aziendali.

Il cloud computing: funzionalità e vantaggi

E’ indubbio che il cloud computing porti notevoli vantaggi sia economici che tecnici tuttavia, se non correttamente disciplinato, potrebbe ingenerare seri rischi in materia di protezione dei dati personali.

Ma partiamo con ordine. Come funziona il cloud computing? Innanzitutto, dobbiamo distinguere tra public cloud private cloud.

Il private cloud è un’infrastruttura informatica creata ed utilizzata da una singola azienda, generalmente ubicata al suo interno o data in gestione ad un terzo individuato dal titolare; il public cloud è, invece, un’infrastruttura appartenente ad un fornitore specializzato, il quale mette a disposizione degli utenti i servizi offerti dalla propria piattaforma. Potremmo avere, in tal caso, più aziende che fruiscono della medesima infrastruttura.

Cloud, dati

I vantaggi sono evidenti: attraverso il public cloud l’utente potrà effettuare in qualsiasi momento trasferimenti e scambi di informazioni via web utilizzando qualsiasi supporto informatico a sua disposizione, abbattendo così i costi dovuti all’installazione e all’aggiornamento degli impianti software e hardware, al backup o alla manutenzione degli stessi, nonché al numero di risorse interne che sarebbero così “liberate” attraverso l’esternalizzazione delle attività che erano state in precedenza loro affidate.

I rischi e l’affievolirsi del controllo sui propri dati

È, quindi, evidente che una tale gestione esternalizzata diminuisce drasticamente il controllo dei dati da parte dell’azienda titolare, la quale potrebbe non essere in grado di verificare la corretta gestione degli stessi, l’esatta localizzazione dei server, nonché l’adozione ed il rispetto delle misure di sicurezza da parte del fornitore.

Come proteggersi?

Innanzitutto, partendo dalla verifica dell’affidabilità del fornitore. L’individuazione di un fornitore che garantisca un adeguato livello di protezione dei dati personali è, infatti, uno dei più importanti doveri in capo al titolare del trattamento, anche nel caso del cloud computing. Il fornitore, responsabile del trattamento ex art. 28 GDPR, deve essere vincolato al rispetto della normativa privacy, nonché delle misure di sicurezza individuate dal titolare, mediante l’inserimento di specifiche clausole nel contratto di servizio e la sottoscrizione di apposita nomina, la quale dovrà contenere le istruzioni al cui rispetto sarà tenuto nel corso del trattamento.

Nel caso delle piccole imprese, tuttavia, dovremmo tenere conto anche del loro limitato potere contrattuale, soprattutto se confrontato con quello di fornitori di grandi dimensioni. In tal caso, al fine di valutarne compiutamente l’affidabilità, sarà necessario verificare, in fase di scelta, che lo stesso rispetti determinati requisiti minimi di compliance. Alcuni segnali sono fondamentali: l’offerta del fornitore è corredata di informativa? Quali  misure di sicurezza vengono adottate? Il fornitore possiede certificazioni (come la ISO 27018, che si rivolge specificamente ai servizi di public cloud)?

Oltre a ciò, come suggerito anche dal Garante Privacy, il titolare:

  • dovrà verificare la quantità e la tipologia di dati che intende esternalizzare, come ad esempio dati personali identificativi o dati particolari relativi allo stato di salute;
  • su tale base, sarà possibile effettuare un’analisi dei rischi che il trasferimento di tali dati potrebbe comportare in termini di riservatezza, di possibile indisponibilità dei dati o, addirittura, di loro perdita o cancellazione, quindi di data breach;
  • potrà decidere di ricorrere a servizi basati su formati e standard aperti, come le modalità SaaS, PaaS o IaaS, al fine di favorire trasferimenti sicuri e facili dei dati da un sistema cloud all’altro, in tal modo evitando che i dati rimangano legati ad un singolo fornitore che potrebbe decidere unilateralmente di modificare e/o peggiorare le condizioni di servizio;
  • infine, dovrà formare adeguatamente il proprio personale, indicando loro le modalità più idonee per acquisire e inserire i dati nella piattaforma cloud.

Tali accortezze devono essere pensate in un’ottica futura da parte delle imprese, le quali non possono e non devono concepire il cloud computing solo in termini di risparmio economico.

L’azienda dovrebbe, invece, valutarne l’adozione come investimento per la propria attività, ponendo l’accento sul bilanciamento di interessi tra risparmio di costi – e benefici che ne potrebbero derivare – e doveri di tutela che i titolari del trattamento sono sempre tenuti a rispettare in virtù del ruolo ricoperto.

Riproduzione riservata ©

ALTRE NEWS

Sanità: stop a nomi disabili sul sito della Regione Puglia

No alla pubblicazione dei dati sanitari in Internet. Il principio è stato ribadito dal Garante che ha vietato alla regione Puglia la diffusione dei dati sullo stato… Leggi Tutto

Privacy: il Ministero non ha aggiornato il sito!

Un sito interessante e pratico per chi opera nel settore dell’informatica è quello del Ministero per l’Innovazione e le Tecnologie rintracciabile all’URL www.mininnovazione.it. Oltre a… Leggi Tutto

Biometria in azienda? Con cautela!

Dal Garante una interessante pronuncia in materia di privacy, dati biometrici e rapporto di lavoro. I fatti: una azienda richiede al Garante una pronuncia ex… Leggi Tutto

AziendaSpeech & Eventi

COLIN & PARTNERS

CHI SIAMO

Consulenza legale specializzata sul diritto delle nuove tecnologie

CONOSCIAMOCI
CHI SIAMO

Cultura e innovazione

SPEECH & EVENTI

Le nostre competenze a disposizione della vostra azienda

I prossimi appuntamenti

Siamo felici di dare il nostro contributo in numerosi eventi che trattano di nuove tecnologie e business digitale sotto vari aspetti. Il nostro apporto si ispira ai temi di interesse legale che, sempre più spesso, coinvolgono l’intera organizzazione.

Inoltre, a cadenza mensile, organizziamo il Colin Focus Day, un incontro di approfondimento gratuito sempre molto apprezzato. A Milano, o in videoconferenza, il Colin Focus Day è occasione di confronto e networking su temi legali-informatici e business.

CONTATTACI

OPERIAMO
A LIVELLO
GLOBALE

Tel. +39 0572 78166

Tel. +39 02 87198390

info@consulentelegaleinformatico.it

Compila il form






    * Informativa Privacy Autorizzo il trattamento dei miei dati personali secondo quanto stabilito dal regolamento europeo per la protezione dei dati personali n. 679/2016, GDPR.

    * (campo obbligatorio)
    Questo sito è protetto da reCAPTCHA e vengono applicate l' Informativa sulla Privacy e i Termini e Condizioni di Google.