Garante per la Protezione dei dati personali, Cloud computing: indicazioni per l’utilizzo consapevole dei servizi
di Calogero Di Liberto
Il Garante per la privacy ha pubblicato un documento contenente importanti informazioni per l’utilizzo dei dati informatici, il cosiddetto “Cloud computing”.
Secondo la definizione data dall’Autorità, il Cloud computing (letteralmente “nuvola informatica”) è un insieme di modelli relativi all’archiviazione e alla fruizione di dati che si sta diffondendo con grande rapidità tra le imprese e le P.A.
Per quanto riguarda la gestione informatica molto spesso le P.A. si avvalgono di fornitori esterni i quali mettono a disposizione infrastrutture di loro proprietà per l’elaborazione e l’archiviazione dati (il caso delle cosiddette “public cloud”).
La fruizione di tali servizi avviene tramite internet e implica il trasferimento da parte dell’Amministrazione dei dati o dell’elaborazione presso i sistemi del fornitore del servizio, il quale assume un ruolo importate per garantire la protezione dei dati che gli sono stati affidati.
Per l’Amministrazione appaltare all’esterno i servizi informatici per la gestione dei dati significa acquisire presso un fornitore esterno risorse, quali server virtuali o spazio disco, oppure applicazioni, come la posta elettronica e strumenti per l’ufficio.
L’opportunità di esternalizzare la gestione dei dati informatici deve essere valutata, tenendo conto di alcuni fattori che spesso sono sottovalutati dall’Amministrazione al momento dell’acquisizione del servizio:
a) i dati non risiedono più su server fisici dell’Ente, ma sono allocati su sistemi del fornitore;
b) il sistema del fornitore e la sua infrastruttura sono condivise tra molti utenti, perciò assume un ruolo rilevante il grado di sicurezza garantito;
c) l’utilizzo del servizio avviene via web tramite internet che diventa determinante per la qualità dei servizi;
d) esternalizzare i dati in remoto comporta alcune controindicazioni conseguenti al fatto che i dati non sono fisicamente archiviati nei propri sistemi.
Come già evidenziato, i servizi cloud comportano il trasferimento di dati dai sistemi locali, sotto il diretto controllo dell’utente, ai sistemi remoti del fornitore.
L’Autorità ha precisato che l’adozione di servizi esternalizzati non esime le Amministrazioni pubbliche che se ne avvalgono dalle responsabilità loro attribuite in materia di protezione dei dati personali.
Secondo l’Autorità “vanno tenute in debito conto le particolari caratteristiche delle nuove tecnologie, allo scopo di governare i potenziali pericoli che possono derivare da utilizzi scarsamente consapevoli e da modelli innovativi adottati con metodi, prassi e processi non ancora sufficientemente consolidati e in grado di mitigare le eventuali criticità”.
Questo trasferimento dei dati dai computer locali verso sistemi remoti di proprietà di un terzo fornitore, presenta alcune criticità che l’Autorità ha evidenziato.
L’utente, affidando i dati ai sistemi di un fornitore remoto, ne perde il controllo diretto ed esclusivo la riservatezza e la disponibilità delle informazioni trasferite dipendono dai meccanismi di sicurezza adottati dal soggetto terzo.
Inoltre, il servizio prescelto potrebbe essere il risultato finale di una catena di trasformazione di servizi acquisiti presso altri fornitori, diversi da quello con cui l’Amministrazione ha stipulato il contratto e non sempre potrebbe essere possibile conoscere quanti, tra i vari gestori dei servizi intermedi, abbiano accesso ai dati.
In assenza di adeguate garanzie in merito alla qualità della connettività di rete, la fruizione del servizio virtuale potrebbe essere soggetta a temporanee interruzioni e a difficoltà di accesso, ad esempio in caso di elevati picchi di traffico o a causa di guasti.
Infine, secondo il Garante per la privacy molto spesso la conservazione dei dati avviene in luoghi geografici differenti e questo rileva in caso di contenzioso tra le parti, per l’individuazione della normativa applicabile.
Il fornitore si assume la responsabilità di garantire la riservatezza, l’integrità o la disponibilità dei dati, pertanto, l’utente al momento della stipula dei contratti di servizio dovrà prendere gli accorgimenti previsti per garantire il corretto trattamento dei dati immessi nel sistema.
L’Autorità raccomanda che “prima di adottare un sistema basato nel cloud computing è necessario, quindi, valutare attentamente il rapporto tra rischi e benefici derivante dall’utilizzo del predetto servizio virtuale, minimizzando i primi attraverso una attenta verifica dell’affidabilità del fornitore di servizi al quale ci si intende affidare”.
In tal senso, il Garante ha fornito alcune indicazioni per un utilizzo consapevole dei servizi cloud da parte dell’utente, il quale dovrà:
a) verificare la quantità e la natura dei dati che intende esternalizzare, valutandone gli eventuali rischi, in modo da evidenziare l’opportunità o meno di ricorrere alla gestione esterna dei dati informatici;
b) accertare l’affidabilità del fornitore, valutandone la stabilità societaria, le referenze e le garanzie offerte in ordine ai profili di confidenzialità dei dati e delle misure adottate per garantire la continuità operativa in caso di imprevisti malfunzionamenti;
c) assicurarsi di mantenere una copia dei dati formalmente trasferiti, in modo da garantire comunque l’accesso a tali dati, specialmente quando dal contratto di fornitura non derivino particolari stringenti misure cautelari che tutelano l’Ente utente;
d) effettuare una selezione dei dati che si intende destinare ai servizi di fornitura, distinguendo quelle informazioni che per loro natura richiedono particolari misure di sicurezza (ad esempio dati sanitari, genetici, reddituali, etc;
e) verificare lo Stato nel quale risiedono fisicamente i server sui quali verranno archiviati i dati, in modo da poter individuare la specifica giurisdizione e la legge applicabile nel caso sorgessero controversie tra l’utente e il fornitore del servizio;
f) valutare il contenuto di tutte le clausole contrattuali, in modo da verificarne la rispondenza alle specifiche esigenze dell’Amministrazione contraente, in particolare con riferimento ad i casi di smarrimento dei dati inseriti nel sistema; per questi ultimi casi l’Autorità raccomanda di privilegiare la previsione di garanzie di qualità chiare, corredate da penali che pongano a carico del fornitore eventuali inadempienze;
g) approfondire le politiche adottate dal fornitore in ordine ai tempi di persistenza dei dati nella nuvola e accertare il termine ultimo oltre il quale il fornitore cancella definitivamente i dati che gli sono stati affidati; oltretutto dovrà essere valutata anche l’adeguatezza delle garanzie fornite riguardo al fatto che i dati non vengano conservati oltre i termini stabiliti;
h) richiedere l’adozione di opportune cautele per tutelare la confidenzialità dei propri dati da parte del fornitore. L’Autorità raccomanda di fare in modo che siano adottate valide misure di sicurezza da parte del fornitore per l’allocazione dei dati nel sistema (cloud), facendo in modo che l’accesso agli stessi sia subordinato alla previa verifica dell’autorizzazione (attraverso username e password, di adeguata lunghezza e complessità a seconda della natura dei dati);
i) verificare l’adeguatezza della formazione del personale preposto alla gestione ed al trattamento dei dati attraverso i servizi di cloud computing.