Come anticipato, la seconda scheda informativa allegata al Rapporto Annuale del Garante per la protezione dei dati personali riguarda il sistema di cloud computing. Ne diamo qui un breve riassunto a beneficio di quanti nutrono perplessità circa la sicurezza e la riservatezza dei propri dati caricati “sulla nuvola”.
La scheda si presenta come una “serie di cautele” orientate a promuovere un utilizzo corretto delle modalità di erogazione dei servizi informatici e, data la crescente offerta dei servizi, in grado di favorirne l’uso consapevole e responsabile.
La “nuvola informatica” è un insieme di servizi le cui risorse sono facilmente configurabili ed accessibili via rete. L’utilizzatore, una volta collegato ad un cloud provider, può svolgere alcune attività come utilizzare software remoti non direttamente installati sul proprio computer o salvare dati su memorie di massa on-line.
È opportuno distinguere tra private e public cloud. In entrambi i casi i dati non risiedono più su server “fisici” dell’utente ma, mentre nel primo si tratta di un sistema chiuso dedicato alle esigenze di una singola organizzazione ed affidata in gestione a un terzo (facilmente controllabile); nel secondo, invece, l’infrastruttura è di proprietà di un fornitore, e la fruizione avviene via web.
Nel public cloud, la riservatezza e la disponibilità delle informazioni vengono affidate ai meccanismi di sicurezza adottati dal service provider, ed il fruitore che cede i dati perde una parte importante del controllo esercitabile su di essi.
Il Garante mette in luce una serie di aspetti che necessitano particolare attenzione: se il servizio prescelto, ad esempio, è il risultato di una catena di trasformazione di servizi presso altri service provider, diversi dal fornitore con cui l’utente stipula il contratto di servizio, l’utente potrebbe non essere in grado di sapere quale dei vari gestori dei servizi intermedi può accedere a determinati dati; inoltre, in assenza di adeguate garanzie sulla qualità della connettività di rete, potrebbero verificarsi problemi di accessibilità temporanea dei dati dovuta a guasti o picchi di traffico; in altri casi, la portabilità e l’interoperabilità potrebbero essere messe a rischio dalla transizione di dati e documenti da un sistema cloud a un altro, o dallo scambio di informazioni con utenti che utilizzano cloud differenti.
Esternalizzare i dati in remoto non equivale ad averli sui propri sistemi: esistono vantaggi e controindicazioni che bisogna conoscere. A fronte di ciò, il Garante ha stilato una serie di azioni da ritenere fondamentali per un oculato e consapevole utilizzo dei servizi cloud:
– Ponderare prioritariamente rischi e benefici dei servizi offerti.
– Privilegiare i servizi che favoriscono la portabilità dei dati.
– Assicurarsi la disponibilità dei dati in caso di necessità.
– Selezionare i dati da inserire nella cloud.
– Non perdere di vista i dati.
– Informarsi su dove risiederanno, concretamente, i dati.
– Fare attenzione alle clausole contrattuali.
– Verificare le politiche di persistenza dei dati legate alla loro conservazione.
– Esigere opportune cautele per tutelare la confidenzialità dei dati.
– Formare adeguatamente il personale.
Il Garante ricorda che l’adozione di servizi esternalizzati non esime le imprese e le amministrazioni pubbliche che se ne avvalgono dalle responsabilità loro attribuite in materia di protezione dei dati personali. Perciò anche nel caso cloud computing è opportuno “razionalizzarne le peculiarità al fine di individuare i potenziali rischi insiti in tali servizi e quindi poter adottare efficaci e specifiche misure di protezione”.
Aggiungi commento