Link articolo precedente:

Se state valutando di utilizzare o far utilizzare a un Vostro cliente un servizio cloud, occorre che teniate d’occhio alcuni aspetti. Nello scorso numero, abbiamo preso in considerazione le clausole contrattuali. Adesso parliamo di tutela della privacy.

 cloud

La privacy ed alla protezione dei dati conferiti al cloud provider è uno degli argomenti più delicati nella redazione di un contratto per l'erogazione di servizi online. Con la scelta di un servizio cloud i dati (Vostri o dei Vostri clienti) vengono dati in gestione al provider stesso, oltre a essere fisicamente memorizzati nella relativa infrastruttura. E’, dunque, importante che capiate, nella scelta del fornitore del servizio, a quale normativa è soggetto, quali garanzie può o deve darvi, come il provider gestisce i dati di cui entra in possesso, anche sotto il profilo della riservatezza.

In un recente studio condotto da ABI e CIPA “Rilevazione sull’IT nel sistema bancario italiano – Il cloud e le banche. Stato dell’arte e prospettive”, pubblicato a maggio 2016, si rileva che le garanzie di privacy e di sicurezza dei dati sono ritenute – nella scelta del cloud provider – di importanza fondamentale per il 100% dei gruppi partecipanti allo studio (al pari solo dell’esperienza nel settore, e più di ogni altro fattore). Di contro, solo in poco più della metà dei casi gli Istituti bancari hanno trovato una rispondenza alta dai cloud provider alle loro richieste in argomento. Segno che la questione è importante e merita un approfondimento dedicato.

Uno dei maggiori problemi in materia di cloud è proprio l’individuazione del ruolo del provider nel trattamento dei dati conferiti dall’utilizzatore nella nuvola e la garanzia del rispetto da parte sua della normativa privacy. Per quanto ci riguarda, il Garante italiano della Privacy (già in una miniguida del 2012: “Proteggere i dati per non cadere dalle nuvole” reperibile sul sito del Garante privacy) aveva dato indicazioni, tra l’altro, sugli oneri e responsabilità tra le parti del trattamento dei dati (titolare e responsabile), anche rispetto al (divieto, in linea di principio di) trasferimento dei dati extraUE. Usualmente, infatti, il titolare del trattamento dei dati, secondo le definizioni del d.lgs.196/03 italiano, è l’utente del servizio che, nella migliore delle ipotesi, nella sottoscrizione del contratto troverà che il provider è responsabile del trattamento (ovvero, secondo la definizione legislativa, il soggetto “preposto dal titolare al trattamento di dati personali”). Il responsabile, tra l’altro, “effettua il trattamento attenendosi alle istruzioni impartite dal titolare il quale, anche tramite verifiche periodiche, vigila sulla puntuale osservanza delle disposizioni in materia di trattamento e delle proprie istruzioni”. È evidente come sia difficilmente possibile nel contesto del cloud, verificare, vigilare e impartire istruzioni al provider da parte del titolare. Da sottolineare che anche nominando il provider come responsabile del trattamento, il titolare non si libera da eventuali responsabilità per violazione della normativa privacy: in caso di violazioni commesse dal fornitore anche il titolare/utente potrà essere chiamato a rispondere di eventuali illeciti. Dunque, in attesa dell’entrata in vigore della nuova disciplina europea (come si dirà tra poco), prestate sempre attenzione nella scelta del cloud provider, alla localizzazione dei data center (in Europa), alla conformità del trattamento alla normativa di dettaglio in materia di privacy, e, in generale, alla privacy policy adottata dal provider (anche e soprattutto in relazione al rispetto perlomeno delle misure minime di sicurezza previste dal d.lgs.196/03 e, comunque, di un livello di sicurezza tecnico e organizzativo adeguato, alla tempestiva notificazione di eventuali accessi abusivi, alle garanzie patrimoniali fornite per il caso di diffusione illecita o di perdita dei dati).

Da segnalare che lo scorso maggio, è stato pubblicato il nuovo Regolamento europeo sulla privacy (in generale definita Data Protection), proprio per l’adeguamento alle normative europea e nazionali. Di seguito alcune novità che potranno avere rilievo significativo rispetto ai servizi cloud.

Il Regolamento, innanzitutto - che sarà immediatamente esecutivo negli Stati membri dal 2018 - contiene una disciplina unitaria, in sostituzione delle normative nazionali, risolvendo il problema della normativa applicabile nel caso di servizi cloud caratterizzati dall’internazionalità dei soggetti/luoghi. Il Regolamento sarà applicabile anche alle Imprese extraUE che offrono servizi nell’Unione, seguendo il criterio del data subject: è evidente che è una garanzia a favore dell’utilizzatore dei servizi cloud la previsione dell’assoggettamento alla nuova normativa europea della Privacy anche per i Provider stranieri che forniscono servizi a clienti europei.


Particolarmente utile in riferimento all’argomento della responsabilità dei cloud provider rispetto alla tutela della privacy, è anche, la previsione delle figure dei Joint controllers (titolari congiunti). Nell’ambito del medesimo trattamento di dati, ci potranno essere due titolari o co-titolari (l’utente e il provider) che si spartiranno le responsabilità in materia, in un accordo definito e che sarà di riferimento per il caso di controlli, di violazioni, di contenzioso.

Ancora potranno avere rilievo il diritto riconosciuto dal Regolamento alla portabilità dei dati, in caso di cambio del fornitore dei servizi; il principio di accountability, ossia l’obbligo per il titolare di dimostrare l’adeguatezza e l’efficacia nei fatti delle misure di sicurezza adottate per la tutela della privacy in conformità al regolamento; gli obblighi previsti di data breaches notification, ovvero di tempestiva segnalazione alle autorità e all’interessato di trattamenti non corretti o errati o l’obbligo di rispetto di predefiniti principi già nella fase di ideazione di nuovi prodotti o servizi (privacy by design). Vedremo con il tempo come il nuovo Regolamento appena approvato influirà concretamente sul cloud.


Si segnala, da ultimo, che nell’agosto 2014 l’Ente di certificazione internazionale ISO ha pubblicato la normativa ISO/IEC 27018:2014: un insieme di regole e principi internazionali, uno standard specificamente elaborato per i fornitori di servizi di cloud, costruito su standard precedenti (ISO 27001 e 27002), verificabili da Organismi terzi, che garantiscono che i providers di servizi cloud che ne siano dotati rispettano la normativa europea in materia di privacy. Dunque, nella individuazione del provider, può essere utile capire se è dotato degli standard ISO.

Altri aspetti legati ai servizi cloud sono quelli della sicurezza e segretezza dei dati, in relazione, non solo alla tutela della privacy, ma a contenuti aziendali riservati e a proprietà industriali da tutelare, di cui parleremo nella prossima rubrica.

 

L'autore

Veronica Morlacchi

Laureata a pieni voti, è iscritta all’Albo degli Avvocati di Busto Arsizio dal 12.11.2004. Si occupa principalmente, nell’interesse di Privati, Professionisti e Aziende, di diritto civile, in particolare responsabilità civile (anche nell’ambito delle nuove tecnologie), persone e famiglia, contratti e immobili. Ha maturato consolidata esperienza in tali materie, in cui ha conseguito master e corsi di perfezionamento. Pubblica mensilmente un Magazine di aggiornamento giurisprudenziale sul suo sito www.studioavvmorlacchi.it e da giugno 2016 collabora con Guru Advisor.

banner5

fb icon evo twitter icon evo

Parola del giorno

Il termine Data Breach indica tutte quelle situazioni in cui si verifica una fuoriuscita (o compromissione) di dati da una infrastruttura...

>

Il termine Hop Count indica il numero totale di "salti", intesi come dispositivi di rete, che un pacchetto di dati deve...

>

Il termine Base URL nel cotesto delle applicazioni Web, indica la posizione "base" da cui considerare i percorsi relativi ai contenuti...

>

Il termine Object Storage indica quelle architetture di storage che, a differenza del classico approccio gerarchico dei file system tradizionali...

>

L'acronimo HVM with PV drivers indica una tecnica di virtualizzazione ibrida che sfrutta la virtualizzazione assistita dall’hardware (le istruzioni intel VT-x...

>
Leggi anche le altre...

Download del giorno

DiskMon

DiskMon è un utile strumento per monitorare e registrare tutte le attività di I/O sul disco di sistemi Windows...

>

Disk2vhd

Disk2vhd è una utiliy gratuita per la migrazione P2V (phisical to virtual) in ambiente virtuale Hyper-V. Permette di convertire...

>

CurrPorts

CurrPorts è un'utility in grado di mostrare in tempo reale tutte le porte TCP/UDP aperte sulla macchina dove...

>

MailPass View

Lo strumento MailPass View di Nirsoft permette di recuperare e mostrare le password salvate nei principali client di...

>

WebBrowserPass Tool

Lo strumento WebBrowserPass Tool di Nirsoft è un semplice software in grado di mostrare in chiaro le password...

>
Tutti i Download del giorno...

Archivio numeri

  • GURU advisor: numero 15 - luglio 2017

    GURU advisor: numero 15 - luglio 2017

  • GURU advisor: numero 14 - maggio 2017

    GURU advisor: numero 14 - maggio 2017

  • GURU advisor: numero 13 -  marzo 2017

    GURU advisor: numero 13 - marzo 2017

  • GURU advisor: numero 12 -  gennaio 2017

    GURU advisor: numero 12 - gennaio 2017

  • GURU advisor: numero 11 -  ottobre 2016

    GURU advisor: numero 11 - ottobre 2016

  • GURU advisor: numero 10 - 8 agosto 2016

    GURU advisor: numero 10 - 8 agosto 2016

  • GURU advisor: numero 9 - 29 Giugno 2016

    GURU advisor: numero 9 - 29 Giugno 2016

  • GURU advisor: numero 8 - Maggio 2016

    GURU advisor: numero 8 - Maggio 2016

  • 1
  • 2
  • Teslacrypt: rilasciata la chiave

    Gli sviluppatori del temuto ransomware TeslaCrypt hanno deciso di terminare il progetto di diffusione e sviluppo e consegnare al pubblico la chiave universale per decifrare i file. Read More
  • Proxmox 4.1 sfida vSphere

    Proxmox VE (da qui in avanti semplicemente Proxmox) è basato sul sistema operativo Debian e porta con sé vantaggi e svantaggi di questa nota distribuzione Linux: un sistema operativo stabile, sicuro, diffuso e ben collaudato. Read More
  • Malware: risvolti legali

    tutti i virus e in particolare i più recenti Ransomware, che rubano i vostri dati e vi chiedono un riscatto, violano la legge. Vediamo insieme come comportarsi, per capire anche se e quando bisogna sporgere denuncia. Read More
  • 1