di LUCA PROTETTI –

Dalla fine di giugno è in distribuzione una guida dedicata alle imprese e alla pubblica amministrazione dal titolo: “Cloud Computing – Proteggere i dati per non cadere dalle nuvole”, pensata e realizzata dal Garante per la protezione dei dati personali, non solo per gli esperti del settore, ma anche per coloro che sono interessati alla comprensione e alla potenziale adozione di queste nuove tecnologie (scheda informativa al seguente link). La “nuvola” rappresenta sicuramente una rivoluzione tecnologica che offre molte opportunità in termini di efficienza e risparmio, ma presenta anche delle criticità e dei rischi per la privacy di cui bisogna tener conto. Il vademecum dall’Autorità offre esempi concreti e un decalogo con spunti operativi e di riflessione. Imprese e Pa potranno utilizzare questo strumento per cominciare ad approfondire i potenziali rischi del cloud, decidere quali tipi di dati – anche personali o addirittura sensibili – trasferire e per quali scopi. L’obiettivo è quello di mettere in luce gli aspetti più importanti a livello giuridico, economico e tecnologico per guidare l’utente ad una scelta consapevole prima di esternalizzare la gestione di dati e documenti o adottare nuovi modelli organizzativi, scegliendo con cura la soluzione più sicura per le attività istituzionali o per il proprio business.
La mini guida è suddivisa in cinque capitoli: “Cos’è il cloud computing”; “Nuvole diverse per esigenze diverse”; “Il quadro giuridico”; “Valutazione dei rischi, dei costi e dei benefici”; “Il decalogo per una scelta consapevole”. Nei primi due capitoli si approfondiscono i principali tipi di “nuvole” e le modalità di utilizzo. Il terzo offre una panoramica dei principali riferimenti normativi del settore, con particolare riguardo alla protezione dei dati. Gli ultimi due capitoli propongono i principali criteri per valutare costi e benefici dell’adozione del cloud e una serie di consigli concreti per effettuare le scelte più opportune. L’opuscolo in formato cartaceo può essere richiesto all’Ufficio stampa (ufficiostampa@garanteprivacy.it)  oppure scaricato direttamente dal sito Internet.
“Le nuove tecnologie cloud offrono opportunità in termini di efficienza e risparmio, ma presentano criticità legate alla protezione dei dati personali che troppo spesso non vengono messe nel dovuto rilievo e che invece è bene conoscere al momento di decidere se andare o meno sulla nuvola”, spiega a Media Duemila Baldo Meo, Responsabile stampa e comunicazione del Garante per la protezione dei dati personali. “C’è troppo spesso quella che potremmo chiamare una vera e propria asimmetria tra fornitori di servizio e utenti, siano questi imprese o pubbliche amministrazioni. L’obiettivo del vademecum del Garante è proprio quello di aiutare chi intende utilizzare questi nuovi servizi  informatici a scegliere in maniera consapevole, conoscendone benefici ma anche i rischi. Occorre sapere innanzitutto dove i dati sono conservati, quali misure di sicurezza sono state adottate per proteggerli, che garanzie sono state previste per evitare una, anche seppur temporanea, indisponibilità dei dati.  Non bisogna mai dimenticare che l’adozione di sistemi cloud ha come prima conseguenza quella di esporre un’azienda, una Asl, un ente locale alla perdita di un controllo diretto sui propri dati”.

Attualmente quale i principali strumenti di tutela  per le aziende?

“Nel caso del cloud, lo schema “titolare-responsabile” risulta comunque applicabile e assicura una serie di garanzie. L’azienda o la pubblica amministrazione che si avvale di servizi cloud   è normalmente nei confronti dei clienti o dei cittadini il “titolare del trattamento dei dati”. Il fornitore cloud è il “responsabile del trattamento dei dati” e si deve attenere scrupolosamente alle indicazioni del titolare. Ciò consente di individuare una catena di responsabilità e di innalzare il livello di tutela”.

Considerata l’attuale normativa  sulla privacy  quali gli ambiti con maggiori lacune in cui dovrebbe intervenire il legislatore?

“Di recente l’Italia ha recepito una serie di norme contenute nelle direttive europee del cosiddetto “Pacchetto Telecom” che prevedono  l’obbligo per i fornitori di servizi telefonici e ISP  di notifica degli incidenti di sicurezza, i cosiddetti “data breaches”. Sarebbe opportuno introdurre lo stesso obbligo anche per i fornitori di servizi cloud. Costituirebbe un buon deterrente nei confronti di una mancata adozione di opportuni strumenti per garantire un maggior livello di sicurezza e di fiducia in rete. Il nuovo Regolamento europeo in materia di privacy, proposto a gennaio dalla Commissione europea, prevede quest’obbligo , ma dovrà ancora essere approvato in sede europea e ci vorranno anni. Occorrerebbe anche fare chiarezza sulla possibilità di disciplinare i flussi transnazionali di dati personali, magari con strumenti più flessibili, anche di natura contrattuale, indicando le necessarie garanzie per tutte le parti coinvolte”.

Quali le criticità più evidenti nell’attuale sistema dei servizi Cloud?

“Oltre all’asimmetria tra fornitore e utente, che spesso non è in grado di scegliere in modo oculato per mancanza di conoscenze e consapevolezza  e rischia di non avere una vera e propria capacità negoziale, va sottolineata  la mancanza di standard di interoperabilità tra le soluzioni tecnologiche adottate dai diversi fornitori: l’utente una volta entrato nel mondo della “nuvola informatica” può incontrare grandi difficoltà a cambiare provider o portare via con sé i dati. Quello della “portabilità dei dati” è un aspetto fondamentale, tanto che la Vice presidente della Commissione europea Vivianne Reding  ne ha parlato come di un vero e proprio “diritto”.

La tutela dei dati cloud a livello europeo ed internazionale?

“Il quadro normativo di riferimento in Europa sulla protezione dei dati, costruito 15 anni fa, necessita di adeguamenti rispetto alle sfide tecnologiche che dobbiamo affrontare. Restano fermi i capisaldi della privacy, compreso l’obbligo di adottare alti standard di sicurezza, ma è indispensabile raggiungere sulle regole di protezione dati un livello di accordo sovranazionale e oltre lo spazio Ue (dove peraltro non è stabilita la maggior parte dei grandi fornitori cloud) tra tutte le parti coinvolte, utenti –  cloud provider – Stati nazionali”.


Cloud un’opportunità per aziende e Pa ma anche una sfida impegnativa per i governi?

“Il cloud non è solamente un’occasione per ridurre i costi all’interno di un’azienda o una pubblica amministrazione. E’ piuttosto un nuovo modo di “usare” i servizi IT che richiederà nuove competenze di diversa natura: giuridica, per la compliance con le leggi nazionali e quelle dell’Unione Europea; amministrativa, per la predisposizione di contratti con clausole sempre più complesse; tecnologica, per la precisa individuazione del tipo di “nuvola” da utilizzare in funzione delle esigenze dell’azienda o della pubblica amministrazione e l’attenta valutazione dei rischi. La Commissione Europea sta sviluppando una politica Europea per il cloud rivolta agli Stati dell’Unione Europea in cui tutti questi punti saranno affrontati. Il primo punto già affrontato nell’agenda riguarda proprio, non a caso, le policy di acquisto dei servizi cloud, che costituiscono il primo passo verso l’adozione di queste nuove tecnologie”.

Luca Protettì

media2000@tin.it