di Leonardo Pietro Cervesato – Dottore in Ingegneria gestionale e redattore Lexacivis
Il mondo che ci circonda ed in cui viviamo, lavoriamo ed interagiamo è, oramai da anni, irreversibilmente legato al nuovo modo con cui la tecnologia ci ha portato a concepire le connessioni. Le nostre vite sono caratterizzate da interazioni che integrano, alle modalità tradizionali, quelle più smart, comode e veloci, che ci vengono offerte dal mondo digitale.
Ogni connessione che noi realizziamo nel mondo virtuale, dalla condivisione di una foto all’invio di un messaggio, dall’acquisto online all’ordinazione di un pasto da asporto, richiede lo scambio di dati, che vengono codificati, inviati, ricevuti e decodificati. Ogni scambio di dati richiede un processo virtuale per gestirlo, che a sua volta richiede un “contenitore” fisico all’interno del quale questi dati possano essere memorizzati ed elaborati: il server.
L’aumento delle connessioni virtuali, quindi, porta con sé una intrinseca necessità di immagazzinare e gestire quantità di dati sempre maggiori, sia per le singole persone sia per le imprese.
In questo contesto, sempre più individui, applicazioni virtuali e aziende ricorrono all’utilizzo di sistemi di cloud, ovvero di infrastrutture di proprietà di terzi che offrono il servizio di archiviare, elaborare e trasmettere i dati. I motivi sono molteplici e riguardano la comodità di utilizzo di questi servizi, la rapidità ed una sensibile ottimizzazione di costi. Dal punto di vista delle prestazioni e delle esigenze dei clienti, dunque, questo nuovo modello di business risulta a tutti gli effetti l’ennesimo paradigma tecnologico pronto a diventare la normalità per il mondo digitale in cui stiamo vivendo e che è in continua espansione.
Un tema importante, quindi, diventa la sicurezza dei dati, che vengono di fatto contenuti e processati all’interno di server di proprietà di terzi, fornitori del servizio. Considerando che molti dei dati gestiti da questi servizi sono personali o sensibili, risulta importante valutare le politiche dei fornitori di cloud, la loro affidabilità e le dinamiche giuridiche alle quali sono soggetti. In questo senso, il GDPR costituisce un importante punto di riferimento normativo per la valutazione e la scelta del provider in termini di compliance, ovvero del suo rispetto delle norme e leggi a tutela dei dati.
Regolamento generale per la protezione dei dati
Il GDPR è il regolamento generale per la protezione dei dati (General Data Protection Regulation), e costituisce la normativa europea in materia di protezione dei dati, emanata nel 2016 ed attuata a partire da maggio 2018. In quanto regolamento, è applicato allo stesso modo in tutti gli Stati dell’Unione Europea, senza necessità di recepimento o margini di libertà nell’adattamento: è stato infatti concepito con l’obiettivo di uniformare, per gli stati dell’Unione, le norme in questione.
Con questo regolamento il legislatore ha voluto allineare la normativa al progresso tecnologico e al suo impatto con la vita di tutti noi, proclamando la tutela del diritto alla protezione dei dati personali come diritto fondamentale delle persone fisiche. Inoltre, con il GDPR, si passa ad una visione di controllo del dato, che ne favorisce la libera circolazione, superando la visione proprietaria, in base alla quale non si poteva trattare il dato senza consenso. Al contempo però vengono rafforzati i diritti dell’interessato, il quale deve poter sapere se e come i suoi dati vengano usati, con l’obiettivo di tutelare lui e l’intera collettività dai rischi insiti nel trattamento dei dati.
Il GDPR si rivolge innanzitutto al titolare dei dati (il proprietario), per cui si definiscono precisi obblighi di diligenza nella scelta dei responsabili del trattamento, e quindi anche degli eventuali cloud provider. Si richiede di considerare nella scelta unicamente fornitori del servizio che offrano garanzie sufficienti per attuare “misure tecniche e organizzative adeguate”, con l’obiettivo di garantire la tutela dei diritti dell’interessato e richiedendo, inoltre, di stipulare con i responsabili del trattamento degli accordi contrattuali che trattino tutti i punti previsti dal regolamento.
Vengono trattate, inoltre, anche le questioni legate ad un eventuale subappalto del servizio, nel caso in cui il cloud provider ritenesse di delegare a sua volta ad un terzo la gestione dei dati. Ogni decisione di subappalto, specifica il regolamento, deve essere formalmente autorizzata dal titolare dei dati, e comunque rispettare gli stessi obblighi in materia di protezione stabiliti nel contratto originale tra titolare e provider, a sua volta redatto sulla base del GDPR.
La responsabilità verso il titolare, in ogni caso, ricade sul responsabile originariamente scelto. In caso di inadempienza degli obblighi da parte del subappaltatore, infatti, a rispondere sarà il fornitore del servizio con cui inizialmente era stato stipulato il contratto. Il fornitore, poi, potrà a sua volta rivalersi sul terzo a cui ha subappaltato, il quale sarà chiamato al risarcimento degli eventuali danni causati agli interessati.
È possibile, inoltre, da parte del fornitore del servizio, aderire al “codice di condotta CISPE”. Il CISPE è un’associazione di cloud providers che si impegnano a rispettare determinati requisiti di protezione dei dati e di trasparenza riguardo il loro trattamento; attualmente è composta da venticinque membri. Ovviamente, i principi e i vincoli di adesione sono orientati al rispetto del GDPR. Si aggiunge, inoltre, la raccomandazione di non accontentarsi di contratti standard da stipulare con i titolari dei dati, ma spingersi verso specifici accordi ad-hoc, specialmente nel caso di big players.
Criteri di scelta del provider
In ogni caso, la scelta del miglior cloud provider a cui affidarsi, sia da parte di privati ma soprattutto per le imprese, deve valutare alcuni aspetti indispensabili.
L’ubicazione geografica dei data center, e quindi dei dati del titolare e del loro backup. La trasparenza in questo senso non è sempre garantita, e a tutela di ciò il GDPR limita la possibilità di trasferire i dati in paesi extra-UE a determinate circostanze, come ad esempio nel caso di “decisioni di adeguatezza” anche di altri paesi, valutate dalla Commissione Europea, o la garanzia che anche nei luoghi extra-UE in questione si utilizzino clausole contrattuali standard stabilite sempre dalla Commissione Europea.
Misure di protezione dei dati. È opportuno verificare la capacità dei cloud provider in questo senso, specialmente se si tratta di dati sensibili. Alcune misure avanzate adottabili sono la crittografia dei dati, la possibilità di renderli anonimi nella fase di test e l’adozione di adeguati processi nella gestione degli incidenti, che essi siano di software o causati da cyber-attacchi.
Misure di protezione fisica e ambientale dei data center. Vi sono alcune certificazioni, che riguardano i cloud provider, che ne misurano gli aspetti di protezione fisica e resilienza delle facilities. Un danno fisico, infatti, potrebbe potenzialmente causare alcune perdite con conseguenze economiche e di sicurezza.
In conclusione, il fatto che sempre più individui, aziende e big-player si affidino ai servizi cloud e a fornitori cloud provider per la gestione dei dati ne prova la grande utilità, comodità ed efficienza, anche e soprattutto in termini di costi. Contenere e gestire dati in strutture fisiche private include rischi intrinsechi: questi sistemi infatti richiedono ambienti a temperatura controllata, periodiche manutenzioni e sistemi di protezione fisica e cyber, oltre che ingenti investimenti per il loro acquisto. Affidarsi quindi a chi, di questi servizi, ne fa il proprio core business è teoricamente in molti casi la scelta migliore. Perché lo sia realmente, però, è necessario attenersi a precisi comportamenti nell’ingaggiare un fornitore del servizio piuttosto che un altro, ricordando che lo stesso regolamento generale per la protezione dei dati richiama il titolare del dato ad una responsabilità di valutazione nella scelta ed a precisi obblighi nello stipulare i contratti con i provider.
Lexacivis 