Un decalogo e uno standard ISO per la migrazione sul cloud

Un decalogo e uno standard ISO per la migrazione sul cloud

Con il Clusit approfondiamo gli aspetti di normativa legale che permettono di compiere una scelta consapevole al momento della valutazione di un fornitore di servizio di cloud computing

di Andrea Bai pubblicato il nel canale Server e Workstation
 

Un ulteriore quadro di riferimento, l'Art. 29 WP

Sempre nel 2012, questa volta a livello Comunitario, il Gruppo di Lavoro per la tutela dei dati personali (Article 29 Working Party, di seguito Art. 29 WP), organismo consultivo ed indipendente composto da un rappresentante delle autorità di protezione dei dati personali designate da ciascuno Stato membro dell'Unione, dal Garante Europeo della protezione dei dati e da un rappresentante della Commissione, ha pubblicato una serie di osservazioni sulla adeguata condotta per prevenire i rischi associati all'adozione delle tecnologie cloud, ponendo attenzione su vari aspetti e con riferimento agli obblighi di protezione dati nel rapporto tra cliente e fornitore.

L'Art. 29 WP osserva anzitutto che la trasparenza è uno dei principi fondamentali per garantire equità e legittimità del trattamento dei dati. La trasparenza deve essere intesa da due punti di vista: del cliente che usa il servizio cloud verso eventuali altre terze parti interessate (che hanno il diritto a conoscere l'identità del titolare, le finalità del trattamento e gli incaricati al trattamento) e del fornitore verso il cliente. In quest'ultimo caso il provider dovrà mettere a disposizione una informativa completa e quanto più dettagliata possibile che comprenda i responsabili del trattamento, l'ubicazione in cui risiedono i dati e le informazioni e le procedure di comunicazione dei dati a terzi e del trasferimento al di fuori dell'unione europea.

E' inoltre opportuno che vengano delineate la finalità del trattamento e la limitazione. Dovrà infatti essere nota a priori la finalità per la quale i dati personali vengono raccolti, i quali dovranno essere conseguentemente trattati in maniera limitata e volta a giungere alle finalità comunicate.

L'Art. 29 WP pone inoltre attenzione sulla conservazione e cancellazione dei dati personali. Questi ultimi dovranno essere conservati affinché sia possibile la loro identificazione da parte delgi interessati per un periodo di tempo non superiore a quello strettanemnte necessario per giungere alle finalità per cui sono stati raccolti. Quando i dati personali non sono più necessari dovranno essere cancellati o resi anonimi oppure ancora, nel caso in cui vi siano altre normative legali che ne impediscano la cancellazione, dovrà essere bloccato l'accesso. Il cliente ha però la responsabilità di garantire ai soggetti interessati la cancellazione (o comunque l'anonimizzazione o l'interdizione all'accesso) da parte del fornitore del servizio e degli altri responsabili e il contratto tra fornitore e cliente dovrà includere meccanismi adeguati per la cancellazione o per misure compatibili.

Vi sono poi una serie di tutele contrattuali nel rapporto tra titolare e responsabile del trattamento che dovranno essere disciplinati al minimo negli accordi predisposti dal cloud provider. Per esempio: Service Level Agreement oggettivi e misurabili con le relative sanzioni; portata, modalità, finalità e periodo di tempo del trattamento; obbligo di riservatezza; obbligo (del fornitore) di esplicitare tutti i subcontraenti autorizzati al trattamento e l'ubicazione dei dati con la garanzia che gli accordi di subfornitura siano coerenti con il contratto sottoscritto con il cliente; obbligo del fornitore di comunicare eventuali violazioni che possano costituire un rischio per i dati del cliente.

Opportuna è poi l'adozione di adeguate misure tecniche e organizzative. In questo caso l'Art. 29 WP osserva come è il cliente cloud, essendo il titolare del trattamento, ad avere la piena responsabilità nella scelta di fornitori che adottino misure adeguate per la protezione dei dati personali. Ad esempio misure che garantiscano la disponibilità del dato, la sua integrità, la sua riservatezza, il suo isolamento e la portabilità. Infine la legittimità e sicurezza dei trasferimenti oltre frontiera. Anche in questo caso la verifica ricade sul cliente del servizio cloud, in quanto titolare del trattamento.

Una tale complessità suggerisce come una certificazione condotta ad opera di una realtà indipendente affidabile possa rappresentare uno strumento particolarmente valido sia per il fornitore del servizio cloud, che ha così modo di dimostrare la conformità di quanto offre agli obblighi normativi, sia per l'utente, che può quindi meglio orientarsi tra quanto offerto dal mercato comparando le caratteristiche dei vari servizi.

 
^