NEWS

Dieci domande (e dieci risposte) da porsi per scegliere un cloud provider

Grazie al cloud computing nell'ultimo biennio (onde limitare la diffusione del virus covid-19) milioni di individui nel mondo hanno potuto/dovuto dare parziale continuità alle attività e alle reciproche interazioni portandole sulla 'nuvola', anche se questa 'traduzione' è stata spesso realizzata al prezzo della assunzione di molteplici rischi, sottovalutati o anche ignorati, sia sotto il profilo della protezione dei dati che della privacy in senso stretto.

Il cloud provider non può essere sempre un responsabile del trattamento


Il fenomeno è esploso, soluzioni sempre più sofisticate e complesse si sono affacciate sui mercati ma è come se - malgrado ciò - alcuni problemi di fondo fossero rimasti impregiudicati, sostanzialmente fermi a 10 anni fa; quando il Gruppo articolo 29, con il parere n. 05/2012 (in alcune parti evidentemente superato, in particolare per l'avvento del Regolamento UE 2016/679 (GDPR), si pensi soltanto alle novità apportate dal suo art. 28) rilevò “come la diffusione su vasta scala dei servizi di cloud computing comporti una serie di rischi per la protezione dei dati, in particolare una mancanza di controllo sui dati personali, nonché informazioni insufficienti in merito alle modalità, al luogo e all’esecutore del trattamento/subtrattamento dei dati”.

Al tempo il suddetto parere considerava come la maggioranza dei rischi connessi al cloud computing fosse da ricondurre a due “ampie categorie”: la mancanza di controllo sui dati e la scarsa o nessuna trasparenza – dunque, carenza di informazioni - sul trattamento dei dati svolto dal cloud provider.

In questa breve nota proviamo a mettere in fila, in una ideale check list, 10 questioni che il titolare del trattamento dovrebbe essersi posto ed avere decisamente risolto, prima di scegliere di affidare un trattamento di dati personali ad un cloud provider. La premessa di questa scelta, già a suo tempo (quello del suddetto parere del Gruppo articolo 29), era che il rapporto tra cliente e fornitore non potesse che iscriversi nel binomio titolare-responsabile. Una premessa che chi scrive ha ritenuto e continua a ritenere – purtroppo – non sempre scontata e/o agevole (cfr. "Quando e perchè il cloud provider non può essere un responsabile del trattamento") ma che, ai fini della presente trattazione, è reputata indiscutibile.

Di seguito le 10 domande da porsi prima di scegliere di affidare un trattamento di dati personali ad un cloud provider, in ordine tendenzialmente logico-cronologico:

1 - Quali trattamenti/banche dati portare sulla nuvola?
La prima riflessione del titolare riguarda proprio la selezione dei trattamenti e/o delle banche dati da portare (in conseguenza delle attività ivi ipotizzate/programmate, evidentemente) sulla 'nuvola', una volta stabilito che sia necessario giovarsi di un servizio che in astratto comporta anche nel migliore dei casi rischi di perdita di controllo dei dati. Ciò che conta è l'impegno del titolare nella impostazione dell'operazione in coerenza con i criteri/principi dell'art. 25 (che naturalmente condizionano l'intero sviluppo del presente argomento).

2 - Quale tipologia di servizio è adeguata all'esigenza dell'organizzazione?
Considerato che il cloud computing può assumere caratteristiche e funzionalità le più varie, la scelta del servizio dovrebbe essere ancorata ad una esigenza comprovata, oggettiva, ad una opzione che migliori sensibilmente efficienza e/o efficacia e sicurezza delle attività, ad un salto di qualità dell'organizzazione. La questione è: scegliere la scarpa giusta per il proprio piede!

3 - Chi è il cloud provider prescelto, dove si trovano il suo stabilmento e i server?
Il titolare deve individuare in modo inequivoco il proprio contraente, il soggetto fornitore del servizio, inquadrando il rapporto nello schema dell'art. 28; e, con ciò, saggiare l'obiettiva solidità, la competenza, la serietà, la puntualità, la compliance, l'affidabilità del cloud provider, oltre che l'effettiva ubicazione dei suoi stabilimenti e dei server, dovendosi se del caso anche impostare l'adempimento delle misure previste per il trasferimento dei dati (ovvero per il mantenimento di un livello adeguato di protezione dei dati, equipollente a quello riconosciuto in ambito UE/SEE).

4 - I trattamenti saranno affidati dal cloud provider a subcontraenti?
Il mantenimento di un effettivo potere di controllo sui dati da parte del titolare è un must incancellabile che impone la preventiva (rispetto alla stipula del contratto di servizio) acquisizione di informazioni e dettagli completi circa la costituzione di una vera e propria catena di fornitura, operativamente presidiata anche da soggetti subcontraenti (i cosiddetti 'subresponsabili'). Insomma, non vi può essere incertezza alcuna sulla identità, affidabilità, ecc. ecc. degli ulteriori responsabili dei trattamenti. Il titolare deve senz'altro ben conoscere ex ante la 'catena' per poi deciderla, approvarla.

5 - Quanto è (ciber)sicuro il servizio offerto?
Quali misure di sicurezza (in particolare, tecniche) sono adottate, implementate nel servizio di cloud computing offerto/in esame? Sono garantite l'integrità, la riservatezza, la disponibilità dei dati, la continuità operativa del servizio?
La raccolta di evidenze atte a comprovare la sussistenza di misure adeguate ai trattamenti da tradurre sulla 'nuvola' è parte imprescindibile dello sforzo (sempre propedeutico alla stipula del contratto) che deve impegnare il titolare.

6 - E' il fornitore del servizio accessibile e trasparente?
Il titolare dovrebbe/deve ottenere precise garanzie dal cloud provider circa la possibilità concreta di contattarlo, raggiungerlo, interpellarlo in ogni momento, ovvero ogni volta che sia da affrontare e da risolvere un qualunque problema, operativo o di altro genere, afferente al servizio. Il titolare deve poter sempre contare sulla effettiva collaborazione del fornitore e sul carattere aperto, mai renitente/reticente ed all'opposto disponibile e trasparente della sua organizzazione.

7 – Quali garanzie sono prestate dal fornitore a scanso di trattamenti abusivi e/o ultronei/successivi?
Tra le problematiche in agenda da sottoporre preliminarmente al fornitore spiccano certamente le seguenti due: 1) il rispetto del principio di finalità, nel senso che la finalità del o dei trattamenti eseguiti dal fornitore per conto del titolare deve essere e dovrà restare quella originaria e contrattualizzata, è il limite/confine invalicabile; 2) al termine del rapporto, il fornitore dovrà procedere alla cancellazione di tutti i dati acquisiti per/nello svolgimento del servizio e comprovarne l'esecuzione al titolare.

8 – È disposta una analisi dei rischi?
L'analisi dei rischi (sottesi e conseguenti alla esternalizzazione del trattamento de quo) si pone come processo intermedio (necessario o perlomeno opportuno) tra la fase di raccolta delle varie evidenze e la redazione e la stipula del contratto di servizio. Solo dopo aver sciolto la riserva sul grado di rischio accettabile effettivamente connesso alla esternalizzazione del trattamento ed associato ad uno specifico servizio di cloud computing, il titolare può/potrà passare con relativa tranquillità dalla fase pre-contrattuale (come è da considerare sin qui) a quella contrattuale.

9 – E' verificata l’idoneità ed esaustività delle condizioni/clausole del contratto di servizio?
Come è noto, il contratto di servizio, in quanto da redigere ai sensi dell'art. 28, deve rispettare i requisiti minimi di contenuto definiti dalla disposizione. Ma è anche evidente che, trattandosi di requisiti minimi, la progettazione e redazione di un contratto che ambisca a disciplinare il rapporto nella sua complessità e interezza, esigeranno assai spesso l'aggiunta di ulteriori contenuti, per formalizzare quelle clausole e garanzie che siano emerse, elaborate e definite come necessarie nel corso della fase pre-contrattuale.

10 – Sono selezionati e formati gli incaricati che gestiranno i trattamenti sulla 'nuvola'?
Il Titolare deve infine programmare ed organizzare l'utilizzo del servizio di cloud computing fornendo agli incaricati tutte le istruzioni necessarie al suo svolgimento in termini di efficienza e di sicurezza. Il contenuto, le modalità di comunicazione e condivisione delle istruzioni varieranno in ragione del grado di novità, di complessità e di rischio sottesi alla tipologia del servizio prescelto.

Il cloud provider non può essere sempre un responsabile del trattamento per essere conforme al GDPR

Si può star certi che quasi chiunque, leggendo il precedente paragrafo, si sarà domandato: è una check list oppure un libro dei sogni? Anche chi scrive si è posto e si pone, con approccio (auto)critico, la domanda.

È esperienza generalizzata quella che oppone al titolare che vorrebbe affidarsi e/o si affida a servizi cloud, quasi sempre: fornitori spiccatamente inaccessibili od opachi, misure di sicurezza dichiarate ma non verificabili, incertezze irrisolte sul rispetto delle finalità dei trattamenti e degli obblighi di cancellazione dei dati, schemi/proposte di contratto del tipo 'prendere o lasciare'.

Davanti a questo scenario s'impone o s'imporrebbe l'audit di seconda parte (prima, durante e alla fine del contratto/rapporto) come modalità operativa centrale (e pur ambiziosa e difficile) per la raccolta di evidenze oggettive a supporto di una decisione responsabile del titolare (Federprivacy potrebbe predisporre una indagine presso i propri numerosi associati, al fine di quantificare la percentuale di ricorso agli audit di seconda parte nei rapporti cliente-titolare/fornitore-responsabile).

A quanto precede si aggiunga la non sufficiente consapevolezza - ove non la netta superficialità - di molti titolari dinanzi al mondo del cloud computing, la scelta di determinati servizi e il rilascio continuo di tantissimi dati senza la minima ponderazione, l'abbraccio senza indugio della convenienza economica e/o 'ergonomicità' di certe soluzioni, l'oblio dei rischi incombenti sui dati e sulle persone stesse dei titolari.

Questa è dunque la distanza siderale che separa ed è destinata a separare, nei fatti, milioni di rapporti di fornitura da quello che qui si è chiamato il 'libro dei sogni'. Attenzione al possibile equivoco, però. Perché il 'libro', in realtà, lungi dall'essere su una nuvola o un sogno, è nello 'scaffale' dell'art. 28.3, lett. h).

Note Autore

Paolo Marini Paolo Marini

Avvocato in Firenze, consulente di imprese e autore di libri, commenti, note a sentenze e altri contributi, impegnato nei settori del diritto e della procedura civile, della normativa in materia di protezione dei dati personali e sulla responsabilità amministrativa degli enti e delle persone giuridiche.

Prev Accesso alla valutazione dei rischi ed al Registro dei trattamenti
Next Le misure tecniche ed organizzative per il controllo degli accessi integrate dai controlli ISO/EC 27001

App di credito sociale e rischi privacy per i cittadini

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy