Il Cloud è un servizio in Out Sourcing con riflessi sulla gestione del rischio delle risorse tecnologiche che richiedono notevoli risorse economiche: osserva la dottrina che, con l’adozione dei servizi in cloud e l’esternalizzazione di alcune attività di prevenzione (es. disaster recovery), vengono trasferiti al fornitore outsourcee parecchi oneri per la manutenzione di elevati di integrità e disponibilità dei sistemi informativi.
La diffusione del Cloud è influenzata dalle ridotte e non esaustive informazioni in possesso degli utenti e dalla disciplina giuridica per il trattamento dei dati per i servizi in cloud.
Con i servizi in Cloud i dati vengono affidati ad un fornitore esterno, l’allocazione dei dati è quasi sempre ignota per il titolare, il fornitore del servizio di Cloud può, per esigenze logistiche, trasferire i dati da un data center ad un altro.
Ai fini della data protection il titolare del trattamento che affida i dati sul Cloud perde di fatto il controllo dei propri dati.
La Privacy Impact Assessment contempla il rischio legato al controllo sui dati affidati al fornitore di servizi in Cloud. I Garanti Europei per la Privacy hanno individuato nella perdita del controllo “loss of controll” il principale fattore per la diffusione su larga scala dei servizi in cloud.
Di recente il Regolamento UE 679 richiede al titolare al trattamento: “La capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento” (art. 32, comma 1, lettera b).
L’Autorità Garante Italiana ha ribadito, in relazioni ai servizi in cloud:
che: “l’adozione di servizi esternalizzati non esime le imprese e le amministrazioni pubbliche che se ne avvalgono per la gestione del proprio patrimonio informativo dalle responsabilità che vengono loro attribuite, in particolare, dalla disciplina in materia di protezione dei dati personali.”;
che: “Alcune informazioni che si intende inserire sui sistemi del fornitore di servizio, per loro intrinseca natura, quali ad esempio i dati sanitari, genetici, reddituali, biometrici o quelli coperti da segreto industriale, possono esigere particolari misure di sicurezza. In tali casi, poiché dal relativo inserimento nella cloud consegue comunque una attenuazione, seppur parziale, della capacità di controllo esercitabile dall’utente, ed una esposizione di tali informazioni a rischi non sempre prevedibili di potenziale perdita o di accesso non consentito, l’utente medesimo dovrebbe valutare con responsabile attenzione se ricorrere al servizio di cloud computing oppure mantenere in house il trattamento di tali tipi di dati”;
che: “Una corretta e oculata gestione contrattuale può supportare sia l’utente, sia il fornitore nella definizione delle modalità operative e dei parametri di valutazione del servizio, oltre a individuare i parametri di sicurezza necessari per la tipologia di attività gestita. In ogni caso, è importante valutare l’idoneità delle condizioni contrattuali per l’erogazione del servizio di cloud con riferimento ad obblighi e responsabilità in caso di perdita, smarrimento dei dati custoditi nella nuvola e di conseguenze in caso di decisione di passaggio ad altro fornitore. Costituiscono elementi da privilegiare la previsione di garanzie di qualità chiare, corredate da penali che pongano a carico del fornitore eventuali inadempienze o le conseguenze di determinati eventi (es. accesso non consentito, perdita dei dati, indisponibilità per malfunzionamenti, ecc.). Si suggerisce, inoltre, di verificare eventuali soggetti terzi delegati alla fornitura di servizi intermedi e che concorrono all’erogazione del servizio finale rivolto all’utente, ovvero la preventiva identificazione dei diversi fornitori successivamente coinvolti nel trattamento. Si raccomanda, infine, di accertare quale sia la quantità di traffico dati prevista dal contratto oltre la quale vengono addebitati oneri economici supplementari”.
Il trasferimento dei dati all’estero, distinto in Ue o Extra UE, è stato disciplinato, in successione, da diverse norme oggi non ultima la Privacy Shield l’accordo fra Ue e USA che impone alle imprese americane obblighi più stringenti di tutela dei dati personali degli europei. E’ in linea con quanto chiesto dalla Corte di giustizia dell’Ue, che aveva invalidato il precedente accordo detto «Safe Harbor», ossia «Porto sicuro». Il Privacy Shield prevede che le autorità americane vigilino e assicurino con più forza sul rispetto dell’accordo e che collaborino in misura maggiore con le Autorità europee per la protezione dei dati. L’accordo contiene - ed è la prima volta - dichiarazioni e impegni assunti formalmente per quanto riguarda l’accesso ai dati da parte di soggetti dell’Amministrazione americana.
Le imprese americane
Autocertificheranno su base annuale il rispetto degli obblighi;
Dovranno pubblicare una privacy policy (informativa privacy) sul loro sito;
Dovranno rispondere tempestivamente ai reclami;
Dovranno collaborare con le Autorità Europee per la protezione dei dati e dare seguito alle loro richieste (se trattano dati relativi al personale/alle risorse umane).
Gli interessati in Europa
Godranno di più trasparenza rispetto ai trasferimenti di dati personali negli USA e di una tutela rafforzata per questi dati;
Avranno a disposizione strumenti di tutela giuridica più facili da utilizzare e meno costosi in caso di reclami, che potranno gestire da soli oppure con l’aiuto dell’Autorità nazionale di protezione dei dati.3
