L’utilizzo dei servizi in cloud comporta numerosi vantaggi per le imprese, i professionisti e la Pubblica Amministrazione, soprattutto in ragione dell’abbattimento della spesa di tipo informatico. A questo, si aggiungono i vantaggi derivanti dalla comodità di avere a disposizione le proprie informazioni e i propri dati praticamente in ogni luogo e in ogni momento, semplicemente tramite una connessione internet. L’utilizzo di tali infrastrutture non esula però da alcune importanti problematiche inerenti per lo più alla riservatezza dei dati caricati sulla “nuvola”, alla sicurezza degli stessi, alla dipendenza da uno specifico fornitore, all’individuazione della legge applicabile e alla disciplina sull’accesso ai dati.
Una delle maggiori problematiche relative alla riservatezza è rappresentata dal fenomeno del loss of control, ossia dal rischio per l’utente di perdere il controllo sui dati immessi nella “nuvola”. A tal proposito, il General Data Protection Regulation (GDPR), riconosce la responsabilità (accountability) in capo al titolare del trattamento, il quale, insieme al responsabile del trattamento, deve mettere in atto, ai sensi dell’art. 32, comma 1, lett. b), misure tecniche ed organizzative idonee a garantire un livello di sicurezza adeguato al rischio.
Tali misure comprendono, tra le altre, “la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento”. Il Garante per la Protezione dei Dati Personali ha infatti sottolineato che: “l’adozione di servizi esternalizzati non esime le imprse e le amministrazioni pubbliche, che se ne avvalgono per la gestione del proprio patrimonio informativo, dalla responsabilità che vengono loro attribuite, in particolare, dalla disciplina in materia di protezione dei dati personali”. Al problema della perdita di controllo dei dati è strettamente connesso il rischio che il Cloud Provider (CP) trasferisca i dati caricati sulla “nuvola” in Paesi terzi rispetto all’Unione Europea. Il CP ha infatti la possibilità di modificare il data center su cui vengono archiviate le informazioni, a volte anche senza che l’utente finale abbia la possibilità di venirlo a sapere.
Il problema descritto non si pone quando il trasferimento avviene all’interno dei confini dell’Unione europea, in quanto l’art. 1, par. 3, GDPR prevede espressamente che “la libera circolazione dei dati personali nell’Unione non può essere limitata né vietata per motivi attinenti alla protezione delle persone fisiche con riguardo al trattamento dei dati personali”. Per essere GDPR compliant, ossia essere conformi al Regolamento europeo per la protezione dei dati, bisogna prestare attenzione, nel momento della scelta del CP, ai documenti contrattuali, ai Service Level Agreement (SLA), e a tutta la documentazione esistente anche in materia di privacy, valutando accuratamente anche l’impatto che possibili minacce e vulnerabilità possono avere sui dati personali trattati.
A cura di Valentina Apicella e Roberto Zarrelli