Il cloud che vorrei

La sentenza Schrems II del 16 luglio 2020 che ha invalidato il Privacy Shield, ha aperto una voragine sulle Aziende che del trasferimento di dati extra-UE ne fanno il loro core business.
Colossi come Google, Microsoft o Amazon, per non parlare dei social network più famosi, si sono ritrovati da un giorno all’altro in una posizione di illiceità nel trattamento di dati personali, poiché il castello di carte che reggeva la decisione di adeguatezza 1250/2016 è crollato mettendo a nudo l’invasività dell’intelligence americana verso i database archiviati negli Stati Uniti.
Problema che ha investito anche le società europee che si affidavano a questi servizi di storage in outsourcing.

Come uscire quindi da questa situazione di stallo in attesa che a livello governativo rivedano tutta la parte normativa?

La soluzione perfetta sarebbe un Cloud comunitario a prova di GDPR che ospiti i dati sul territorio, progetto a cui stanno lavorando alcuni Stati membri (Francia e Germania in pole) che al momento prende il nome di Gaia X.
L’Italia si sta muovendo in modo autonomo, cosciente del fatto che l’emergenza Covid-19 ha messo in luce l’arretratezza delle infrastrutture tecnologiche nazionali e spinto il Governo a dare un’accelerata al rinnovamento digitale.
La nota positiva è che piattaforme Cloud made in Italy sono già comunque realtà per molte Aziende che hanno optato per una gestione interna dell’archiviazione dati.

A cosa bisogna far attenzione nella scelta di un fornitore Cloud?

Abbiamo posto la domanda a Luca Ercoli, Responsabile R&S di Sielco, azienda che affonda le sue radici nell’informatica e che è specializzata in progetti di trasferimento in Cloud di sistemi aziendali.

“La scelta del Cloud più adatto per un’Azienda parte da un’analisi della realtà stessa. Prodotti differenti possono risultare più o meno validi a seconda del contesto. Gli aspetti a cui fare certamente attenzione sono:

• L’affidabilità del fornitore
• La presenza di eventuali certificazioni che qualifichino il fornitore
• Le misure di sicurezza a protezione garantite
• La tecnologia presente e i piani di aggiornamento della stessa
• La disponibilità di piani di Disaster Recovery e gli SLA garantiti
• Le procedure previsto per il ripristino dei sistemi in caso di evento negativo
• La validità dei back up proposti
• La presenza o meno di una assicurazione che copra eventuali danni in caso di evento negativo
• E… non ultimo per importanza… la collocazione dei Server che diventa fondamentale soprattutto in ottica GDPR.

Gli aspetti sono davvero tanti e l’errore da non commettere è quello di pensare che la “gestione documentale” sia solo uno spostamento di dati e che non servano grosse valutazioni sugli strumenti da scegliere. È un’operazione che richiede competenze e conoscenze precise. Sbagliare può significare perdere molto denaro, avere dei fermi aziendali importanti e magari incorrere anche in sanzioni perché abbiamo messo a rischio dati che non sono nostri ma che noi siamo obbligati a tutelare. Soprattutto nel Cloud, il concetto di Privacy By Design è fondamentale. Bisogna pensarci prima per evitare di pentirsene poi….

Cosa bisogna tener presente nella scelta del servizio Cloud per essere GDPR compliant?

Un ulteriore aiuto ci arriva dal Garante privacy che nel documento relativo al Cloud computing spiega che parametri individuare per mettersi in sicurezza da eventuali rischi.

Innanzitutto, a livello aziendale, si dovrebbe evitare di utilizzare versioni gratuite che, in cambio della fruizione del servizio, spostano i database da un luogo all’altro per esigenze organizzative, tecniche o economiche difficilmente determinabili e gestibili a priori.  Meglio quindi affidarsi a fornitori contrattualizzati con canoni o abbonamenti che ci diano la possibilità di scegliere dove allocare i server.

Gestire un cloud comporta la migrazione di dati dai sistemi locali sotto il diretto controllo dell’utente a quelli remoti del fornitore, che assume un ruolo centrale in ordine alla sicurezza dei dati e, quindi, all’adozione delle misure necessarie a garantirla. Pertanto, vanno tenute in debito conto le particolari caratteristiche della piattaforma in merito a riservatezza, integrità, disponibilità dei dati e resilienza dei supporti.

In qualità di Titolare del trattamento, l’impresa è tenuta inoltre a:

• verificare che tutti i soggetti che interagiscono nel progetto abbiano le dovute garanzie in caso di problemi di connessione o inaccessibilità ai dati;
• appurare l’eventuale uso di subfornitori;
• ponderare preventivamente rischi e benefici dei servizi offerti limitandone l’uso, ad esempio, a determinati tipi di dati o a crittografare le categorie particolari per aumentarne la sicurezza;
• privilegiare i servizi che favoriscono la portabilità da un supporto all’altro;
• accertare il termine ultimo, successivo alla scadenza del contratto, oltre il quale il fornitore cancella definitivamente i dati che gli sono stati affidati.

Dall’altra parte, il fornitore dovrà presentare adeguate garanzie, assicurando che i dati non saranno conservati oltre i suddetti termini o comunque al di fuori di quanto esplicitamente stabilito con l’utente stesso. In ogni caso, i dati dovranno essere sempre conservati nel rispetto delle finalità e delle modalità concordate, escludendo duplicazioni e comunicazioni a terzi.

In ultimo, ma di fondamentale importanza, subentra un’adeguata formazione del personale che infonda consapevolezza e responsabilizzazione allo scopo di mitigare i rischi per la protezione dei dati derivanti non solo da eventuali comportamenti sleali o fraudolenti, ma anche causati da errori materiali, leggerezza o negligenza: circostanze queste che potrebbero dare luogo ad accessi illeciti, perdita di dati o, più in generale, trattamenti non consentiti.