Dal Garante per la Privacy, il decalogo di prevenzione per non cadere dalle nuvole

di Maria Letizia Bixio Puntuali ed efficaci le indicazioni impartite dal Garante per la privacy nel vademecum di recente pubblicazione dal titolo Cloud computing – Proteggere i dati per non cadere dalle nuvole. La guida si prefigge di offrire ai cittadini, alle imprese ed alle pubbliche amministrazioni, quelle indicazioni indispensabili per comprendere importanti aspetti giuridici, economici e tecnologici di un settore in continuo sviluppo, quale quello informatico. A fronte della sempre crescente domanda sociale di servizi efficienti a costi contenuti, soccorrono le nuove tecnologie informatiche offrendo soluzioni innovative in grado di gestire molteplici attività. Una fra queste, di più recenti natali, è il cosiddetto cloud computing. Il termine indica l’insieme di tecnologie in grado di supportare sistemi di fruizione, utilizzo, erogazione di software e servizi informatici, che consentono di memorizzare, elaborare e conservare grandi quantità di informazioni via Internet sulle piattaforme del fornitore di servizi. In sostanza il cloud è uno strumento che permette all’utente della società dell’informazione di svolgere operazioni piuttosto complesse, senza doversi dotare di computer e hardware evoluti, poiché l’amministrazione e la gestione dei dati è demandata all’esterno. Del cloud esistono varie forme, in relazione alla metodologia gestionale adottata, ed ai servizi offerti. Il Private Cloud, o nuvola privata, assume i connotati di una sorta di infrastruttura informatica (rete di computer collegati o data center), ubicata nei propri spazi, o affidata in gestione ad un terzo direttamente gestito dal titolare, nella tradizionale forma dell’hosting dei server. Il Public Cloud, invece, rappresenta un’infrastruttura di proprietà di un fornitore specializzato nell’erogazione di servizi, che mette a disposizione di utenti, aziende o amministrazioni, i propri sistemi attraverso la condivisione e l’erogazione via Internet di applicazioni informatiche, di capacità elaborativa e di “stoccaggio” dati. Con il cloud pubblico si configura da parte dell’utente, una significativa cessione di dati e del relativo controllo esercitabile sugli stessi, laddove, l’elaborazione presso i sistemi del fornitore del servizio, lascia che esso assuma un ruolo importante in ordine all’efficacia delle misure adottate per garantire la protezione delle informazioni che gli sono state affidate. Esistono, inoltre, altri tipi di nuvole con caratteristiche miste, quali ad esempio i cloud ibridi (hybrid cloud). Questi ultimi sono caratterizzati da soluzioni che prevedono l’utilizzo di servizi erogati da infrastrutture private, accanto a servizi acquisiti da cloud pubblici. I cloud di gruppo (community cloud), vedono invece, un’infrastruttura in condivisione tra più organi a beneficio di una specifica comunità di utenti. Tra le varie tipologie sono da menzionare il Cloud Infrastructure as a Service – IaaS, o infrastruttura cloud resa disponibile come servizio, il Cloud Software as a Service – Saas o software erogato come servizi del cloud e il Cloud Platform as a Service – PaaS o piattaforme software fornite via Internet come servizio. Nel primo caso, Il fornitore del servizio cloud offre, secondo un modello “a consumo”, gli strumenti hardware e software di base, che l’utente finale può utilizzare in sostituzione o in affiancamento ai sistemi già presenti nei propri locali. Nel secondo caso, Il fornitore eroga via Internet una serie di servizi applicativi ponendoli a disposizione degli utenti finali. Nel terzo caso, infine, il fornitore offre soluzioni di sviluppo software che rispondono alle specifiche esigenze del cliente. Di fondamentale importanza, a detta dell’Autorità, la scelta del tipo di cloud e del modello di servizio per le proprie esigenze. Al fine di promuovere un utilizzo corretto delle nuove modalità di erogazione dei servizi informatici, occorre dunque soffermarsi sugli strumenti e le cautele da adottare per attenuare i rischi, specie per la privacy, che tali nuovi sistemi ingenerano per loro stessa natura. Anzitutto, a detta dell’Autorità garante nelle indicazioni proposte, bisogna essere sicuri che il cloud provider (fornitore di servizi) sia affidabile e sicuro. Esso dovrà essere protetto da virus, attacchi hacker e altri rischi informatici. A riguardo, il Garante invita a sincerarsi che vi sia “una responsabilità risarcitoria (che dovrebbe essere esplicitamente prevista dal contratto di servizio) in caso di eventuali falle nel sistema di sicurezza o di interruzioni del servizio”. Al punto n. 2 del decalogo, un invito a privilegiare servizi che consentano la portabilità dei dati, nonché la possibilità di recedere dal servizio senza incorrere in spese e disagi e che impediscano ai provider di adottare eventuali modifiche unilaterali e peggiorative dei contratti, in quanto, i dati dell’utente devono essere disponibili sempre. La cloud deve rappresentare una forma di backup al servizio dell’utente. Al punto 3, si suggerisce di esigere adeguate garanzie di disponibilità dei dati in caso di occorrenza. Altrettanto importante, risulta essere la selezione dei dati per la cloud. Infatti, se i dati da archiviare sono particolarmente sensibili, occorre che l’ufficio valuti bene se l’archiviazione in uno spazio dove il controllo del gestore è comunque non più diretto sia effettivamente un beneficio, o se sia più opportuno mantenerli in sede. Ove sia favorita la prima opzione, bisogna verificare se i dati rimarranno nella disponibilità fisica del provider o se questi svolge un ruolo di intermediario sulla base di tecnologie messe a disposizione da un operatore terzo. Al punto 6 l’attenzione va al paese di residenza del server, fattore questo determinante per stabilire il foro competente e la legge applicabile nel caso di controversie tra l’utente e il fornitore del servizio, nonché per verificare il livello di protezione assicurato ai dati. Trattandosi di una forma contrattuale, l’adesione ad una tipologia di cloud, implica l’analisi preliminare delle condizioni contrattuali del servizio, con particolare riferimento agli obblighi e alle responsabilità in caso di perdita o di illecita diffusione dei dati custoditi e a quelle per il recesso dal servizio e il passaggio ad altro fornitore. Tra gli altri aspetti delicati, evidenziati negli ultimi tre punti del decalogo, quello relativo ai tempi di conservazione dei dati nella nuvola. Sarà il fornitore a dover indicare il termine ultimo oltre il quale cancellerà definitivamente i dati a lui affidati. I dati dovranno essere protetti in modo sicuro, pertanto, l’utente dovrà individuare e prediligere i provider che utilizzino modalità di archiviazione e trasmissione sicure, mediante tecniche crittografiche. In ultimo, dopo aver raccomandato l’adeguata formazione del personale delle aziende, il Garante si raccomanda con i privati nell’utilizzo delle quotidiane nuove tecnologie per la mobilità, come smartphone e tablet, sistemi spesso connessi a servizi cloud non protetti, che consentono di sfruttare lo stesso strumento per attività private e professionali, che minano inevitabilmente il controllo e la tutela dei dati personali.