Cloud computing: Proteggere i dati per non cadere dalle nuvole

32
CLOUD COMPUTING PROTEGGERE I DATI PER NON CADERE DALLE NUVOLE Mini guida per imprese e pubblica amministrazione

description

La guida del Garante della Privacy per imprese e pubblica amministrazione Il mondo delle imprese e della P.a. sta attraversando un periodo di intensa innovazione guidata da un nuovo tipo di tecnologie e di modalità di fruizione dei servizi: il cloud computing. Questo termine è diventato talmente diffuso da essere utilizzato, a volte anche in modo inappropriato, per qualunque tipo di prodotto o servizio ICT. Le cosiddette "nuvole informatiche" offrono una serie di opportunità in termini di efficienza e risparmio, ma possono comportare criticità e costi aggiuntivi di cui è bene tener conto. Il Garante per la protezione dei dati personali, per facilitare l'attività di aggiornamento e innovazione di imprenditori e amministratori pubblici, ha deciso di realizzare una "mini guida" intitolata "CLOUD COMPUTING - Proteggere i dati per non cadere dalle nuvole", pensata non solo per gli esperti del settore, ma anche per coloro che sono interessati alla comprensione e alla potenziale adozione di queste nuove tecnologie. Prima di esternalizzare la gestione di dati e documenti o adottare nuovi modelli organizzativi è infatti necessario porsi alcune domande, scegliendo con cura la soluzione più sicura per le attività istituzionali o per il proprio business.

Transcript of Cloud computing: Proteggere i dati per non cadere dalle nuvole

Page 1: Cloud computing: Proteggere i dati per non cadere dalle nuvole

CLOUD COMPUTINGPROTEGGERE I DATI PER NON CADERE DALLE NUVOLE

Mini guida per imprese e pubblica amministrazione

Page 2: Cloud computing: Proteggere i dati per non cadere dalle nuvole

COS’È IL CLOUD COMPUTING

4

NUVOLE DIVERSE PER ESIGENZE DIVERSE

IL QUADRO GIURIDICO

VALUTAZIONE DEI RISCHI,DEI COSTI E DEI BENEFICI

IL DECALOGO PER UNASCELTA CONSAPEVOLE

8

12

18

24

Page 3: Cloud computing: Proteggere i dati per non cadere dalle nuvole

Ogni imprenditore, ma anche ogni attento amministratorepubblico, si adopera per offrire, rispettivamente ai propri clientie ai cittadini, servizi migliori a minor costo. Le tecnologie infor-matiche, in particolare quelle del cloud computing, garanti-scono oggi soluzioni innovative per gestire molteplici attivitàcon efficienza e possibili risparmi. Ma presentano criticità erischi per la privacy di cui è bene tenere conto. Prima di ester-nalizzare la gestione di dati e documenti o adottare nuovimodelli organizzativi è necessario porsi alcune domande,scegliendo con cura la soluzione più sicura per le attività isti-tuzionali o per il proprio business. Con questo vademecum, ilGarante per la protezione dei dati personali intende offrirealcune indicazioni valide per tutti gli utenti, in particolareimprese e amministrazioni pubbliche. L’obiettivo è quello di farriflettere su alcuni importanti aspetti giuridici, economici etecnologici in un settore in velocissima espansione e dipromuovere un utilizzo corretto delle nuove modalità di eroga-zione dei servizi informatici.

CLOUD COMPUTINGPROTEGGERE I DATI PER NON CADERE DALLE NUVOLE

Page 4: Cloud computing: Proteggere i dati per non cadere dalle nuvole

44

COS’È IL CLOUD.COMPUTING.

Page 5: Cloud computing: Proteggere i dati per non cadere dalle nuvole

5

Con il termine cloud computing, o semplicemente cloud, ci si riferisce a un insieme di tecnologie e di modalitàdi fruizione di servizi informatici che favoriscono l’utilizzo e l’erogazionedi software, la possibilità di conservare e di elaborare grandi quantità di informazioni via Internet. Il cloud offre, a seconda dei casi, il trasferimento della conservazione o dell’elaborazione dei dati dai computerdegli utenti ai sistemi del fornitore. Il cloud consente, inoltre, di usufruire di servizi complessi senza doversinecessariamente dotare né di computere altri hardware avanzati, né dipersonale in grado di programmare o gestire il sistema.

Tutto può essere demandato all’esterno,in outsourcing, e a un costopotenzialmente limitato, in quanto le risorse informatiche necessarie per i servizi richiesti possono esserecondivise con altri soggetti che hanno le stesse esigenze.

Page 6: Cloud computing: Proteggere i dati per non cadere dalle nuvole

6

L’AUTOMOBILE “INFORMATICA” E IL CLOUD PER PROFANI

Opzione 1 – tutto in casa: se una persona o una società ha bisogno di un’automobile puòprogettarla, acquistarne le singolecomponenti e assemblarle, nonchéattrezzare all’interno della propriacasa o della propria sede un’officinacon personale specializzato per le riparazioni e la manutenzione.

Opzione 2 – intervento esterno: si può decidere di acquistarel’automobile e di portarla in caso di necessità da un meccanico di fiducia, di affittarla, di prenderla in leasing, di chiamare un taxi onoleggiare una vettura con autista.La scelta tra queste opzioni èdeterminata dal tipo di utilizzo che si vuole fare dell’autoveicolo, dallafrequenza con cui se ne fruisce,dalle prestazioni che eventualmentesi desiderano e, comunque, dallerisorse economiche a disposizione.

Page 7: Cloud computing: Proteggere i dati per non cadere dalle nuvole

7

Spesso utilizziamo tecnologie cloudsenza neppure saperlo. Alcuni dei piùdiffusi servizi di posta elettronica o dielaborazione testi sono “sulle nuvole”.Anche molte delle funzioni offerte dai cellulari di nuova generazione (i cosiddetti smartphone) sono basate sul cloud: ad esempio quelle che sfruttano la geolocalizzazioneconsigliandoci i locali o gli esercizicommerciali più vicini, che consentonodi ascoltare musica o di accedere a giochi on line, nonché tante altrefunzioni e “app”(applicazioni).

Con il cloud computing ci troviamoin questa seconda opzione. Non parliamo di automobili o altrimezzi di trasporto ma di serviziinformatici. Le soluzioni offerte dalcloud generalmente possono esserepiù flessibili, efficienti, adattabili ed economiche di quelle sviluppate in-house (in casa propria). Ma possono comportare il rischio di una potenziale perdita di controllosui propri dati.

Page 8: Cloud computing: Proteggere i dati per non cadere dalle nuvole

NUVOLE DIVERSE.PER ESIGENZE.DIVERSE.

Page 9: Cloud computing: Proteggere i dati per non cadere dalle nuvole

9

Esistono vari tipi di cloud computing,classificati sia in base all’architetturadella “nuvola” e alla gestione interna o esterna del trattamento dati, sia inrelazione al modello di servizio offerto al cliente. Ogni tipo di cloud ha le suecaratteristiche peculiari che dovrannoessere ben valutate dalle società e dalle pubbliche amministrazioni che intendono servirsi delle “nuvole”.

TIPI DI CLOUD

Private CloudLa “nuvola privata” è una infrastrutturainformatica (rete di computer collegatiper offrire servizi) per lo più dedicataalle esigenze di una singolaorganizzazione, ubicata nei suoi locali o affidata in gestione ad un terzo (nellatradizionale forma dell’hosting deiserver), nei confronti del quale il titolaredei dati può esercitare un controllo

puntuale. Le “nuvole private” possonoessere paragonate ai tradizionali “datacenter” nei quali, però, sono usati degliaccorgimenti tecnologici che permettonodi ottimizzare l’utilizzo delle risorsedisponibili e di potenziarle agevolmentein caso di necessità.

Public CloudNel caso della “nuvola pubblica”,l’infrastruttura è di proprietà di unfornitore specializzato nell’erogazione di servizi che mette a disposizione di utenti, aziende o amministrazioni ipropri sistemi attraverso la condivisionee l’erogazione via Internet di applicazioniinformatiche, di capacità elaborativa e di “stoccaggio” dati. La fruizione di tali

Page 10: Cloud computing: Proteggere i dati per non cadere dalle nuvole

10

accanto a servizi acquisiti da cloudpubblici - e i cloud di gruppo (communitycloud), in cui l’infrastruttura è condivisada diverse organizzazioni a beneficio di una specifica comunità di utenti.

TRE MODELLI DI SERVIZI CLOUD

Cloud Infrastructure as a Service - IaaS(infrastruttura cloud resa disponibilecome servizio)Il fornitore del servizio cloud offre,secondo un modello “a consumo”, glistrumenti hardware e software di base

servizi avviene tramite la rete Internet e implica il trasferimento dei soli dati oanche dell’attività di elaborazione pressoi sistemi del fornitore del servizio, ilquale assume un ruolo importante inordine all’efficacia delle misure adottateper garantire la protezione delleinformazioni che gli sono state affidate.Con il cloud pubblico l’utente insieme ai dati, infatti, cede una parte importantedel controllo esercitabile su di essi.

Altre “nuvole”Esistono altri tipi di nuvole concaratteristiche miste, quali i cloud ibridi (hybrid cloud) - caratterizzati dasoluzioni che prevedono l’utilizzo diservizi erogati da infrastrutture private

Page 11: Cloud computing: Proteggere i dati per non cadere dalle nuvole

11

per l’accesso informatico ai documenti,la rubrica dei contatti e i calendaricondivisi, ma anche ai più avanzatiservizi di posta elettronica.

Cloud Platform as a Service - PaaS(piattaforme software fornite via Internet come servizio)Il fornitore offre soluzioni evolute di sviluppo software che rispondono alle specifiche esigenze del cliente. In genere questo tipo di servizi è rivolto aoperatori di mercato che li utilizzano persviluppare e ospitare soluzioni applicativeproprie (ad esempio applicativi per lagestione finanziaria, della contabilità o della logistica), allo scopo di assolvere a esigenze interne, oppure per fornire a loro volta servizi a terzi. Anche nel casodei PaaS, il servizio erogato dal fornitorelimita la necessità per il fruitore didoversi dotare internamente di strumentihardware o software specifici o aggiuntivi.

(spazi di memoria, sistemi operativi,programmi di virtualizzazione…), cioè server virtuali remoti che l’utentefinale può utilizzare in sostituzione o inaffiancamento ai sistemi già presenti neilocali dell’azienda o dell’amministrazione.Tali fornitori sono in genere operatori di mercato specializzati, che dispongono di un’infrastruttura tecnologica,complessa e spesso distribuita in aree geografiche diverse.

Cloud Software as a Service - SaaS(software erogato come servizio del cloud) Il fornitore eroga via Internet una serie di servizi applicativi ponendoli a disposizione degli utenti finali. Si pensi, ad esempio, ad applicazionicomunemente usate negli uffici erogatein modalità web quali l’elaborazione di fogli di calcolo o di testi, la gestione del protocollo e delle regole

Page 12: Cloud computing: Proteggere i dati per non cadere dalle nuvole

IL QUADRO.GIURIDICO.

Page 13: Cloud computing: Proteggere i dati per non cadere dalle nuvole

13

LA SFIDA INTERNAZIONALE

La tecnologia cloud procede molto piùvelocemente dell’attività del legislatore,non solo in Italia ma in tutto il mondo.Manca ancora un quadro normativoaggiornato – in tema di privacy, maanche in ambito civile e penale - chetenga conto di tutte le novità introdottedal cloud computing e sia in grado di offrire adeguate tutele nei riguardidelle fattispecie giuridiche connesseall’adozione di servizi distribuiti di elaborazione e di conservazione dati.Basti pensare, ad esempio, che la normativa europea sulla protezione dei dati risale al 1995. Alcune utili novità per il settore delletelecomunicazioni, che avranno unindubbio impatto anche sul cloud, sono state introdotte dal cosiddetto“pacchetto Telecom”: in particolare dalladirettiva 136/2009 - attualmente in corso

di recepimento da parte degli Statimembri dell’Ue – che modifica ladirettiva sulla privacy nellecomunicazioni elettroniche del 2002. Fra le misure che entreranno in vigorecon il nuovo quadro giuridico è previstoanche l’obbligo per le società telefonichee gli Internet provider di notificare alle competenti Autorità nazionali e, in determinati casi, agli utenti, tutte le violazioni di sicurezza che comportino la distruzione, la perdita o la diffusioneindebita di dati personali trattatinell’ambito della fornitura del servizio.Un ulteriore importante cambiamentoper tutto il settore delle comunicazionielettroniche, e del cloud computing inparticolare, dovrebbe avvenire entro il 2014, con l’approvazione del nuovoRegolamento generale sulla protezionedei dati (Com 2012 11 def) proposto

Page 14: Cloud computing: Proteggere i dati per non cadere dalle nuvole

14

dalla Commissione Europea. Il nuovo Regolamento introdurràidentiche regole in Europa e neiconfronti di Stati terzi (riscrivendo quindianche il Codice della privacy italiano), e in questo senso dovrebbe contribuire a rendere meno complesso e rischiosol’utilizzo di servizi cloud. Una delleimportanti innovazioni di questa riformariguarderà l’estensione dell’obbligo dinotifica delle violazioni di sicurezza cheriguardino dati personali a tutti i titolaridel trattamento dati come, ad esempio,banche, assicurazioni, Asl, enti locali. Quando previsto, le persone interessatesaranno quindi informate senza ritardodella perdita o del furto dei loro dati.

NORMATIVA PRIVACY NELLENUVOLE – SPUNTI DI RIFLESSIONE

In attesa di una normativa nazionale e internazionale aggiornata e uniforme,

che permetta di governare il fenomenosenza rischiare di penalizzarel’innovazione e le potenzialità di sviluppodelle “nuvole” informatiche, è necessarioche le imprese e la pubblicaamministrazione, incluse tra l’altro le cosiddette “centrali di committenza”(soggetti che effettuano acquisti per unapluralità di pubbliche amministrazioni),prestino particolare attenzione ai rischiconnessi all’adozione dei servizi di cloudcomputing, anche in relazione agliaspetti di protezione dei dati personali.

Il titolare e il responsabile del trattamentoLa pubblica amministrazione o l’azienda,“titolare del trattamento” dei datipersonali, che trasferisce del tutto o in parte il trattamento sulle “nuvole”,deve procedere a designare il fornitore dei servizi cloud“responsabile del trattamento”.

Page 15: Cloud computing: Proteggere i dati per non cadere dalle nuvole

15

Questo significa che il cliente dovràsempre prestare molta attenzione acome saranno utilizzati e conservati i datipersonali caricati sulla “nuvola”: in casodi violazioni commesse dal fornitore,anche il titolare sarà chiamato arispondere dell’eventuale illecito. Il cliente di ridotte dimensioni, come una piccola impresa o un ente locale,potrebbe tuttavia incontrare difficoltà nel contrattare adeguate condizioni per la gestione dei dati spostati “sullanuvola”. Anche in questo caso, non saràperò sufficiente, per giustificare unaeventuale violazione, affermare di nonavere avuto possibilità di negoziareclausole contrattuali o modalità di controllo più stringenti. Il cliente di servizi cloud, infatti, può semprerivolgersi ad altri fornitori che offronomaggiori garanzie, in particolare per ilrispetto della normativa sulla protezionedei dati. Il Codice della privacy prevede,

tra l’altro, che il titolare eserciti unpotere di controllo nei confronti delresponsabile del trattamento (in questocaso il cloud provider), verificando la corretta esecuzione delle istruzioniimpartite in relazione ai dati personalitrattati.

Trasferimento dei dati fuori dell’Unione EuropeaIl Codice della privacy definisce regoleprecise per il trasferimento dei datipersonali fuori dall’Unione europea e vieta, in linea di principio, il trasferimento “anche temporaneo” di dati personali verso uno Stato

Page 16: Cloud computing: Proteggere i dati per non cadere dalle nuvole

16

extraeuropeo, qualora l’ordinamento del Paese di destinazione o di transitodei dati non assicuri un adeguato livellodi tutela. Questa evenienza puòverificarsi frequentemente nel caso in cuisi decida di usufruire di servizi di publiccloud invece che di modalità private oibride. Per le sue valutazioni il titolaredel trattamento (in genere chi acquistaservizi cloud) dovrà quindi tenere in debito conto anche il luogo dove vengono conservati i dati e quali sono i trattamenti previsti all’estero. Il trasferimento di dati verso gli StatiUniti, ad esempio, può essere facilitatonel caso in cui il cloud provider aderiscaa programmi di protezione dati come il cosiddetto Safe Harbor (letteralmente“porto sicuro”), un accordo bilaterale Ue-Usa che definisce regole sicure e condivise per il trasferimento dei dati personali effettuato verso aziendepresenti sul territorio americano.

Le limitazioni per il trasferimento dati all’estero incidono anche suglispostamenti “infragruppo” di unamultinazionale. In questo caso, la presenza di forti“norme vincolanti d’impresa” (bindingcorporate rules) a tutela dei datipersonali può consentire l’eventualetrasferimento dei dati nel rispetto della privacy degli interessati.

Sicurezza dei datiIl titolare del trattamento deveassicurarsi che siano adottate misure

Page 17: Cloud computing: Proteggere i dati per non cadere dalle nuvole

17

tecniche e organizzative volte a ridurre al minimo i rischi di distruzione o perditaanche accidentale dei dati, di accessonon autorizzato, di trattamento nonconsentito o non conforme alle finalitàdella raccolta, di modifica dei dati inconseguenza di interventi non autorizzatio non conformi alle regole. Il clientedovrebbe, ad esempio, accertarsi che i dati siano sempre “disponibili” (che sipossa cioè sempre accedere ai dati) e “riservati” (che l’accesso cioè siaconsentito solo a chi ne ha diritto). Per garantire che i dati siano al sicuro, non sono importanti solo le modalità con cui sono conservati, ma anche quelle con cui sono trasmessi (ad esempioutilizzando tecniche di cifratura).

I diritti dell’interessatoI soggetti pubblici e le imprese chedecidono di avvalersi di servizi cloud pergestire i dati personali dei loro utenti

o clienti non devono dimenticare che il Codice della privacy attribuisce agliinteressati (le persone a cui si riferisconoi dati) precisi diritti. Ad esempio,l’interessato ha diritto di conoscere qualisiano i dati che lo riguardano in possessodell’amministrazione pubblica o dell’impresa, per quale motivo siano stati raccolti e come siano elaborati. Può richiedere una copia intelligibile dei dati personali che lo riguardano, il loro aggiornamento, la rettifica ol’integrazione. In caso di violazione dilegge, può esigere anche il blocco, lacancellazione o la trasformazione informa anonima di queste informazioni. Il cliente del servizio cloud, in qualità di titolare del trattamento dati, persoddisfare queste richieste, deve potermantenere un adeguato controllo nonsolo sulle attività del fornitore, ma anchesu quelle degli eventuali sub fornitori deiquali il cloud provider potrebbe avvalersi.

Page 18: Cloud computing: Proteggere i dati per non cadere dalle nuvole

VALUTAZIONE DEI RISCHI,.DEI COSTI E DEI BENEFICI.

Page 19: Cloud computing: Proteggere i dati per non cadere dalle nuvole

19

È opportuno scegliere bene il tipo di cloud e il modello di servizio più adattoalle proprie esigenze. In particolare se si decide di adottare il public cloud, dovequasi tutto il processo vieneesternalizzato e i “nostri” dati più preziosisono dislocati “lontano” dal nostrocontrollo diretto. Il concetto di cloud puòapparire evanescente, “virtuale”. In realtà, con le sue tecnologie si possonogestire servizi estremamente concreti,quali la distribuzione dei prodotti diun’azienda, i servizi dell’anagrafe di unComune, le prenotazioni e le analisimediche, il conto bancario on line e tantoaltro. Nessuno lascerebbe in deposito ilproprio portafoglio con i documenti e lostipendio alla prima persona incontrata almercato. Né affiderebbe il proprio libromastro o i contratti stipulati con clienti efornitori a un commercialista sconosciutoche gli promette di risparmiare, senzaprima essersi accertato su come saranno

conservati o utilizzati documenti cosìpreziosi. La voce “risparmio” non devequindi essere l’unico fattore di scelta.I grandi fornitori globali di cloudcomputing si contano sulle dita di unamano. Quasi tutte le altre società cheoffrono servizi e infrastrutture tra le“nuvole” si avvalgono infatti delle aziendeleader mondiali. Questa situazione riducedi molto la capacità negoziale di unasingola impresa o di una piccolaamministrazione pubblica, rendendodifficile trasformare la flessibilitàtecnologica in flessibilità contrattuale. In questi casi la scelta di consorziarsi con altri soggetti pubblici o imprese chehanno le medesime esigenze (ad esempiotramite le associazioni di categoria)potrebbe garantire una capacitàcontrattuale maggiore. Prima di optare per un certo tipo di“nuvola”, è comunque opportuno chel’utente verifichi la quantità e la tipologia

Page 20: Cloud computing: Proteggere i dati per non cadere dalle nuvole

20

di dati che intende esternalizzare (ad esempio dati personali, in particolarequelli sensibili, oppure dati critici per la propria attività, come progetti riservati o coperti da brevetto o segretoindustriale), valutando gli eventuali rischie le possibili conseguenze derivanti da tale scelta. È vero che il cliente spessonon ha capacità di negoziare unariformulazione dei “term of use” propostida chi offre i servizi: può però sceglieretra differenti provider. Anche i fornitoricloud, comunque, potrebbero trarrenuove opportunità dalla definizione diclausole “pro-privacy” o da una eventualepreventiva certificazione indipendente sulrispetto della normativa europea sullaprotezione dei dati personali per i servizida loro offerti. La risposta ad alcunedomande può aiutare a sviluppare una corretta analisi dell’impattoeconomico e organizzativo di questetecnologie all’interno di un’impresa o di una pubblica amministrazione.

SICUREZZA

Quali sono le misure di sicurezzaadottate dal fornitore per proteggere i dati? Il fornitore di servizi cloud spessodispone di sistemi di protezione controvirus, attacchi hacker o altri pericoliinformatici più efficaci rispetto a quelliche potrebbe permettersi il singoloutente. È comunque necessarioinformarsi bene su quali siano le misureadottate dal cloud provider. Prima discegliere il partner cloud il cliente devesempre considerare che, affidandosi a unfornitore remoto, può perdere il controllodiretto ed esclusivo sui propri dati.

RUOLI E RESPONSABILITÀ

Chi è il reale fornitore del servizio che si sta acquisendo? Si tratta di unasingola società o di un consorzio diimprese? Il servizio prescelto potrebbeessere il risultato finale di una “catena di

Page 21: Cloud computing: Proteggere i dati per non cadere dalle nuvole

21

trasformazione” di servizi acquisiti pressoaltri service provider, diversi dal fornitorecon cui l’utente stipula il contratto di servizio. L’utente, a fronte di filiere di responsabilità complesse, potrebbenon essere messo in grado di sapere chi, tra i vari gestori dei servizi intermedi, può accedere a determinati dati.

DISPONIBILITÀ DEL SERVIZIO E PIANO DI EMERGENZA

In caso di problemi al collegamentoInternet, è comunque possibilecontinuare a usufruire dei servizi senzal’accesso al cloud? In quanto tempo puòessere ripristinato il sistema? Esistonopiani di emergenza per i serviziessenziali? Il servizio virtuale, in assenzadi adeguate garanzie in merito allaqualità della connettività di rete, potrebbeoccasionalmente risultare degradato inpresenza di attacchi informatici, di elevatipicchi di traffico o addirittura

indisponibile laddove si verifichino eventi anomali o guasti che impediscanol’accessibilità temporanea ai dati. È quindi necessario valutare bene le conseguenze sulla propria società o ente dell’eventuale interruzione, più o meno prolungata, del servizio,considerare i costi diretti e indirettidell’inaccessibilità ai dati, e definire in anticipo con il fornitore cloud uneventuale piano di emergenza.

RECUPERO DEI DATI

È possibile che i dati sul cloud possanoessere persi o distrutti? Calamitànaturali o attacchi informatici potrebberocompromettere il funzionamento di alcuni data center. È particolarmenteimportante individuare possibiliprocedure di recupero dei dati

Page 22: Cloud computing: Proteggere i dati per non cadere dalle nuvole

22

e quantificare l’impatto economico e organizzativo dell’eventuale perdita o cancellazione di dati presenti solo sul cloud.

CONFIDENZIALITÀ

Esistono garanzie di riservatezza per inostri dati nel caso in cui un concorrentecondivida gli stessi servizi cloud?I fornitori custodiscono dati di singoli e di organizzazioni che potrebbero avereinteressi ed esigenze differenti o persinoobiettivi contrastanti e in concorrenza. È quindi opportuno valutare le garanzieofferte a tutela della confidenzialità delle informazioni trasferite sul cloud.

COLLOCAZIONE DEI SERVER

In quale Stato sono conservati i daticaricati sulla “nuvola”? È possibilescegliere di usufruire di server collocatisolo in territorio nazionale o in Paesi

dell’Unione europea? L’identificazionedel luogo in cui i dati sono conservati o elaborati ha riflessi immediati sia sulla normativa applicabile in caso dicontenzioso tra il cliente e il fornitore, siain relazione alle disposizioni nazionali chedisciplinano il trattamento, l’archiviazionee la sicurezza dei dati. La conoscenza di questi elementigarantirà un rapporto più trasparente trail cliente e il fornitore di cloud computing.È poi necessario non dimenticare che lanormativa sulla privacy, al fine di tutelarele persone interessate, prevede che i datipossano essere “esportati” in Paesi fuoridall’Unione europea solo in precisi casi e quando sia offerta una protezioneadeguata rispetto a quella prevista dallalegislazione comunitaria. Un serviziocloud potrebbe quindi celare dei costiextra imprevisti, determinati dalla ridottacapacità di controllo sui propri dati o da più probabili contenziosi legalinazionali e internazionali.

Page 23: Cloud computing: Proteggere i dati per non cadere dalle nuvole

23

MIGRAZIONE

La tecnologia utilizzata dal fornitore di cloud è di tipo “proprietario”? I datipossono essere esportati facilmente?L’adozione da parte del fornitore delservizio di tecnologie proprie può, intaluni casi, rendere complessa perl’utente la migrazione di dati edocumenti da un sistema cloud ad unaltro o lo scambio di informazioni consoggetti che utilizzino servizi cloud difornitori differenti, ponendo quindi arischio la portabilità o l’interoperabilitàdei dati. Questa evenienza potrebbe dareluogo a politiche commerciali pocotrasparenti. In un primo momento, il fornitore potrebbe ad esempiopresentare al cliente un’offerta di servizicloud economicamente vantaggiosa econ adeguate garanzie a protezione deidati. In un secondo momento, una voltaacquisito il cliente, potrebbe invececambiare le condizioni del contratto

a proprio vantaggio con la certezza che il cliente - considerata l’impossibilitàpratica di trasferire agevolmente i dati presso un altro fornitore e di recedere dal servizio - non potrà far altro che accettarle.

ASSICURAZIONE SUL DANNO

Nel caso in cui si accerti una violazione o la perdita dei dati, il fornitoregarantisce un pronto risarcimento del danno? Le attuali incertezzenormative possono rendere difficile e oneroso riuscire a ottenere unadeguato risarcimento per i danni subitiin seguito a violazioni, a perdita di dati, a interruzione anche temporanea del servizio cloud. La presenza di un’assicurazione o diprocedure semplificate per la risoluzionedi controversie, anche internazionali, puòsicuramente essere un valore aggiunto per utenti di piccole dimensioni.

Page 24: Cloud computing: Proteggere i dati per non cadere dalle nuvole

IL DECALOGO.PER UNA SCELTA.CONSAPEVOLE.

Page 25: Cloud computing: Proteggere i dati per non cadere dalle nuvole

25

EFFETTUARE UNA VERIFICA SULL’AFFIDABILITÀ DEL FORNITORE Gli utenti dovrebbero accertarel’esperienza, la capacità e l’affidabilitàdel fornitore prima di trasferire suisistemi cloud i propri dati più preziosi,tenendo in considerazione le proprieesigenze istituzionali o imprenditoriali, laquantità e la tipologia delle informazioniche intendono allocare, i rischi e le misure di sicurezza adottate. Anche in funzione della tipologia di serviziodesiderato, oltre che della criticità deidati, è opportuno che gli utenti valutino:la struttura societaria del fornitore, le referenze, le garanzie di legge offerte in ordine alla confidenzialità dei dati e alle misure adottate per assicurare lacontinuità operativa a fronte di eventualie imprevisti malfunzionamenti. Gli utenti dovrebbero valutare, inoltre,

1 le caratteristiche qualitative dei servizi di connettività di cui si avvale il fornitorein termini di capacità e affidabilità. Sarà utile considerare anche l’impiego da parte del fornitore di personalequalificato, l’adeguatezza delle sueinfrastrutture informatiche e dicomunicazione, la disponibilità adassumersi una responsabilità risarcitoria(che dovrebbe essere esplicitamenteprevista dal contratto di servizio) in casodi eventuali falle nel sistema di sicurezzao di interruzioni del servizio.

PRIVILEGIARE I SERVIZI CHE FAVORISCONO LA PORTABILITÀ DEI DATIÈ consigliabile ricorrere a servizi di cloudcomputing privilegiando quelli basati suformati e standard aperti, che facilitino la transizione da un sistema cloud ad unaltro, anche se gestiti da fornitori diversi.

2

Page 26: Cloud computing: Proteggere i dati per non cadere dalle nuvole

26

La portabilità dei dati consente di recedere dal servizio senza incorrerein spese e disagi difficilmente prevedibili.Tale opzione limita anche il rischio che i fornitori, sfruttando la loroposizione di forza negoziale, adottinoeventuali modifiche unilaterali e peggiorative dei contratti di serviziocloud instaurati con il cliente.

ASSICURARSI LA DISPONIBILITÀ DEI DATI IN CASO DI NECESSITÀÈ opportuno chiedere che nel contrattocon il fornitore siano ben specificate

3

adeguate garanzie sulla disponibilità e sulle prestazioni dei servizi cloud.L’adozione di servizi che non offronoadeguate garanzie di riservatezza e di continuità operativa può comportarerilevanti ripercussioni non solo sulcliente del servizio cloud, ma anche sui soggetti a cui si riferiscono i datipersonali trattati, come avviene per le pubbliche amministrazioni e perle società che offrono servizi a terzi. In tal senso, a fronte del contenimento dei costi, il titolare del trattamento (ingenere chi acquista servizi cloud) dovràcomunque prevedere la possibilità diconservare una copia dei dati allocati sul cloud, in particolare di quelli la cuiperdita o indisponibilità potrebbe causaregravissimi danni, non solo economici o di immagine: si pensi a datiparticolarmente delicati come quelli di tipo sanitario o giudiziario, o di carattere fiscale e patrimoniale.

Page 27: Cloud computing: Proteggere i dati per non cadere dalle nuvole

27

NON PERDERE DI VISTA I DATIÈ sempre opportuno che l’utente valutiaccuratamente il tipo di servizio offerto,anche verificando se i dati rimarrannonella disponibilità fisica dell’operatorecon cui è stato stipulato il contrattooppure se questi svolga un ruolo diintermediario, ovvero offra un serviziobasato sulle tecnologie messe adisposizione da un operatore terzo. Si pensi, ad esempio, a un applicativo in modalità cloud nel quale il fornitore

5SELEZIONARE I DATI DA INSERIRE NELLA NUVOLAAlcune informazioni, come quellecoperte da segreto industriale e tutti i dati sensibili (ad esempio quelli relativi alla salute, all’etnia, alle opinioni politiche o alle iscrizioni a sindacati), richiedono, per lorointrinseca natura, particolari misure di sicurezza. In tali casi, poiché dall’inserimento deidati nel cloud consegue comunque unainferiore capacità di controllo diretto da parte dell’utente e un’esposizione a rischi non sempre prevedibili di perdita o di accesso abusivo, è bene valutare con responsabile attenzione se ricorrereai servizi di cloud computing (in particolare di tipo “pubblico”), oppure se utilizzare altre forme dioutsourcing, ovvero mantenere “in sede” il trattamento di tali dati.

4

Page 28: Cloud computing: Proteggere i dati per non cadere dalle nuvole

28

del servizio finale di elaborazione dati si avvalga di un servizio di “stoccaggio”acquisito da un terzo. In tal caso,saranno i sistemi fisici di quest’ultimooperatore che concretamenteospiteranno i dati immessi nel clouddall’utente. Per valutare la qualità del cloud è quindi necessario informarsisulle prestazioni offerte da tutti i soggetticoinvolti nella fornitura del servizio.

INFORMARSI SU DOVE RISIEDERANNO,CONCRETAMENTE, I DATIÈ importante per l’utente sapere se i propri dati vengono trasferiti edelaborati da server in Italia, in Europa o in un Paese extraeuropeo. Taleinformazione può essere determinanteper stabilire la giurisdizione e la leggeapplicabile nel caso di controversie tra l’utente e il fornitore del servizio,

6

ma soprattutto per verificare il livello di protezione assicurato ai dati. Il trasferimento di dati in Paesi che nonoffrono adeguate garanzie di sicurezza e confidenzialità potrebbe comportare un illecito trattamento dei dati personali,oltre a eventuali danni irreparabili per le attività istituzionali dei soggetti pubblici o per il business delle imprese. In ogni caso, l’utente, prima di caricare i dati “sulla nuvola” e di consentire il loroeventuale trasferimento in Paesi fuoridall’Unione europea, deve accertarsi chequesto spostamento avvenga nel rispettodelle garanzie previste dalla normativaitaliana e comunitaria in tema di protezione dei dati personali. Se l’azienda, ad esempio, è statunitense è bene verificare che abbia aderitoall’accordo Safe Harbor che definisceregole condivise con le istituzioni europeeper il trattamento dei dati personali. Così come è utile controllare che

Page 29: Cloud computing: Proteggere i dati per non cadere dalle nuvole

29

le aziende al di fuori dell’Ue coinvolte nel cloud abbiano sottoposto le proprieprocedure di sicurezza e di trattamentodei dati a specifici percorsi dicertificazione, come quelli regolati dagli standard ISO per la gestione della sicurezza. Oppure se nei contratti di outsourcing proposti al cliente siano state inserite le specifiche “clausolecontrattuali tipo” approvate dallaCommissione europea per i trasferimentidi dati personali verso Paesi terzi.

ATTENZIONE ALLE CLAUSOLECONTRATTUALI È importante valutare l’idoneità dellecondizioni contrattuali per l’erogazionedel servizio di cloud con particolareriferimento agli obblighi e alleresponsabilità in caso di perdita e di illecita diffusione dei dati custoditinella “nuvola”, nonché alle eventuali

7

modalità per il recesso dal servizio e il passaggio ad altro fornitore. Un elemento da privilegiare è senz’altrola previsione di garanzie di qualità chiare, corredate da penali, che pongano a carico del fornitore le eventualiinadempienze o le conseguenze dideterminati eventi (ad es. accesso nonconsentito, perdita dei dati, indisponibilità per malfunzionamenti ecc.). Si suggerisce di verificare anchel’eventuale partecipazione di ulteriorisoggetti che concorrano comesubfornitori all’erogazione del serviziocloud e all’eventuale trattamento dei dati.

VERIFICARE TEMPI E MODALITÀ DI CONSERVAZIONE DEI DATI In fase di acquisizione del servizio cloud è opportuno approfondire eprevedere nel contratto le politicheadottate dal fornitore riguardo ai tempi

8

Page 30: Cloud computing: Proteggere i dati per non cadere dalle nuvole

30

di conservazione dei dati nella nuvola. Ove non sia già prevista per leggel’immediata cancellazione dei dati deltitolare allo scadere del contratto cloud, è necessario accertare il termine ultimooltre il quale il fornitore (responsabile del trattamento) debba cancellaredefinitivamente i dati a lui affidati. Il fornitore dovrà quindi assicurare che i dati non saranno conservati oltre i suddetti termini o comunque al di fuori di quanto esplicitamente stabilito con l’utente stesso. In ogni caso, i dati dovranno essere sempre conservati solo nel rispetto delle finalità e delle modalità concordate.

ESIGERE ADEGUATE MISURE DI SICUREZZANell’ottica di proteggere laconfidenzialità dei dati, occorre valutarecon attenzione anche le misure di sicurezza utilizzate dal fornitore delservizio cloud. In generale si raccomandadi privilegiare i fornitori che utilizzinomodalità di archiviazione e trasmissionesicure, mediante tecniche crittografiche(specialmente quando i dati trattati sonoparticolarmente delicati), accompagnateda robusti meccanismi di identificazionedei soggetti autorizzati all’accesso.

FORMARE ADEGUATAMENTE IL PERSONALEIl personale, sia quello del cliente che quello del fornitore, incaricato deltrattamento dei dati mediante servizi di cloud computing dovrebbe essere

10

9

Page 31: Cloud computing: Proteggere i dati per non cadere dalle nuvole

31

appositamente formato, al fine di limitare rischi di accesso illecito, di perdita di dati o, più in generale, di trattamento non consentito. L’attività di formazione dovrebberiguardare sia gli elementi tecnici che consentono una scelta consapevole delle tecnologie cloud adottate, sia le fasioperative del trattamento, comel’inserimento dei dati sulla “nuvola” e laloro elaborazione. La protezione dei datipuò infatti essere messa a repentaglionon solo da eventuali comportamentisleali o fraudolenti, ma anche da errorimateriali, leggerezza o negligenza del personale.

UNA PRECAUZIONE EXTRA PER GLI UTENTI PRIVATILe disposizioni previste dal Codice della privacy non si applicano a singolepersone che trattano i dati per scopi

personali, senza diffonderli magari su Internet e senza effettuarecomunicazioni sistematiche di tali dati a più individui. È comunque opportunoricordare che anche le cosiddette“persone fisiche” sono tenute aconservare con cura i dati affinché laloro eventuale perdita non possa causaredanni ad altre persone. L’adozione dinuove tecnologie per la mobilità, comesmartphone e tablet, dotati di grandiquantità di memoria, spesso connessi a servizi cloud non protetti checonsentono di sfruttare lo stessostrumento per attività private eprofessionali, ha però aumentato il rischio di perdita di controllo dei dati personali. Si consiglia quindi di conservare con cura gli strumentitecnologici utilizzati per scopi personali,e di adottare tutte le cautele al fine di impedire accessi anche accidentali, da parte di terzi, ai dati personali.

Page 32: Cloud computing: Proteggere i dati per non cadere dalle nuvole

3232

Piazza di Monte Citorio, 12100186 Romatel. 06 696771 fax 06 696773785

Per informazioni presso l’Autorità:Ufficio per le relazioni con il pubblicoLunedì - Venerdì ore 10.00 - 13.00tel. 06 696772917/9e-mail: [email protected]: [email protected]

A cura del Servizio relazioni con i mezzi di informazione S

tampa: IAG M

engarelli - m

aggio 2012

www.garanteprivacy.it