Il Garante Privacy pubblica le linee guida per il cloud computing

Garante Privacy - Cloud computingCon il titolo Cloud Computing, proteggere i dati per non cadere dalle nuvole, il Garante per la Privacy ha pubblicato le linee guida per il cosiddetto cloud computing a beneficio di imprese e pubblica amministrazione.

Cloud è un neologismo che indica qualsiasi servizio di elaborazione realizzato direttamente nella rete. In pratica invece di trattare i dati sul computer di casa, li inviamo ad un fornitore di servizi che opera le elaborazioni sui suoi server.

In realtà non si tratta di nulla di nuovo, tutte le web mail (Yahoo, Gmail) sono realizzate in "cloud", visto che i dati risiedono sui server del fornitore del servizio.
Con l'aumento delle velocità di connessione ad internet, e le opportunità in tema sia di efficienza che di risparmio, i servizi che possono essere offerti via cloud sono aumentati, come quelli di cloud storage (Dropbox, GDrive) cioè di backup online, ma anche l'offerta di software che risiede direttamente sui server del fornitore, come anche si può avere in cloud la contabilità, i servizi dell'anagrafe, le prenotazioni, ecc...

L'adozione di tali tecnologie però può comportare dei rischi in relazione alla privacy, cioè alla protezione dei dati personali degli utenti, per cui il Garante ha voluto predisporre una utile ed agile guida per risolvere le criticità alle quali possono essere esposte sia le imprese che le pubbliche amministrazioni che volessero utilizzare tali servizi in outsourcing, guida rivolta anche a coloro che sono semplicemente interessati alla comprensione di tali tecnologie.

Dopo le definizioni la guida tocca i problemi relativi al quadro giuridico in materia di privacy e alla valutazione dei rischi.
Il Garante ricorda che non esiste ancora un quadro adeguato in relazione a queste tecnologie, in quanto la legislazione risale al 1995. Occorre quindi tenere presente le novità che sono in corso di introduzione, con il recepimento del cosiddetto "pacchetto Telecom" ma anche le ulteriori novità che di qui a qualche mese dovrebbero entrare in vigore, in particolare il nuovo Regolamento generale sulla protezione dei dati, che adotterà identiche regole in Europa e nei confronti degli Stati terzi.
Sarà quindi introdotto l'obbligo di notifica delle violazioni di sicurezza che riguardino i dati personali, questo perché in passato è accaduto varie volte che perdite di dati da parte di aziende non fossero rese pubbliche per evitare danni all'immagine della stessa azienda, con gravi rischi per gli interessati al trattamento. Le nuove norme, invece, prevederanno l'obbligo di informare senza ritardo le autorità competenti e gli interessati della perdita dei dati.

Nel momento dell'adozione di tecnologie di cloud computing, il soggetto che l'adotta, cioè la pubblica amministrazione o l'azienda, diventa ovviamente il titolare del trattamento, cioè colui al quale competono le decisioni in merito al trattamento dei dati. Tale soggetto dovrà designare il fornitore del servizio di cloud come responsabile del trattamento, cioè colui che effettua materialmente il trattamento dei dati.
Quindi il cliente del servizio di cloud, in qualità di titolare del trattamento, dovrà fare attenzione alle violazioni del fornitore, altrimenti sarà chiamato anch'esso a rispondere di tali violazioni. In particolare dovrà verificare la corretta esecuzione delle istruzioni impartite in relazione ai dati trattati, mantenendo il controllo non solo sul fornitore ma anche su eventuali sub-fornitori.
Il titolare non potrà, quindi, trincerarsi dietro una generica impossibilità di negoziare condizioni particolari con il fornitore, di solito una multinazionale posta spesso al di fuori dell'Europa, casomai dovrà cambiare fornitore.

Il titolare dovrà altresì tenere in conto il luogo dove sono tenuti i dati, in quanto il trasferimento verso Stati terzi è ammissibile solo se la protezione è adeguata. Per gli USA, ad esempio, ricorda il Garante che il trasferimento è facilitato se il fornitore aderisce al Safe Harbor, accordo bilaterale USA-UE che definisce regole sicure e condivise per il trasferimento dei dati verso aziende americane.

Non dimentichiamo, infatti, che numerose problematiche sono sorte a seguito della nascita dei servizi di cloud storage. Alcuni fornitori (Apple e Google), infatti, tendono ad adottare licenze mondiali non esclusive per la modifica e l'utilizzo dei contenuti, altri invece (Dropbox, SkyDrive) dichiarano di non avere alcun diritto sui file condivisi e di non effettuare alcun controllo proprio perché i file sono di proprietà dell'utente.
Chiaramente le differenze sono spesso date dal tipo di utilizzo dei dati, ma è esemplificativo delle problematiche nelle quali si può incorrere nell'utilizzo di tali tecnologie innovative.