La privacy e il cloud computing

Oggi giorno le tecnologie informatiche per archiviare e condividere i dati sono molteplici e con costi sempre minori: basti pensare al clou computing.

Quest'ultimo infatti è uno strumento costituito da un'insieme di tecnologie che permettono il trasferimento, l'elaborazione e la fruizione dei dati dai computer degli utenti, ai sistemi del fornitore di tale servizio. Bisogna quindi tenere in considerazione le possibili criticità e rischi per la privacy. 

La tecnologia cloud procede più velocemente rispetto alle attività legislative, infatti, per quanto riguarda le novità introdotte dal clou computing, manca ancora un quadro normativo aggiornato sia in tema di privacy, che in ambito civile e penale. 

Attualmente la normativa europea sulla protezione dei dati risale al 1995. Prossimamente verranno introdotte importanti utili novità per il settore delle telecomunicazioni, che avranno impatto anche sul cloud, dal "pacchetto Telecom" (Direttiva 136 2009). 

Fra le misure che entreranno in vigore, grazie al nuovo quadro giuridico, è previsto anche l'obbligo per le società telefoniche e gli internet provider di notificare alle autorità competenti e agli utenti tutte le violazioni di sicurezza che comportino la distribuzione, la perdita o la diffusione indebita di dati personali trattati nell'ambito della fornitura del servizio cloud. 

Un ulteriore cambiamento per il settore delle comunicazione elettroniche e del cloud computing dovrebbe avvenire entro il 2014 con l'approvazione del nuovo Regolamento Generale sulla protezione dei dati (Com 2012 11 def) proposto dalla commissione europea. Tale modifica introdurrà le medesime regole in tutta Europa, e nei confronti di Stati terzi, riscrivendo quindi anche il codice della privacy italiana. 

In attesa di una normativa internazionale aggiornata, le imprese prestino particolare attenzione ai rischi connessi all'adozione dei servizi di cloud computing. 

E' opportuno scegliere in modo accurato il tipo di cloud, e quindi il miglior servizio, più adatti alle proprie esigenze. 

Il fornitore dispone di sistemi di protezione contro virus e hacker che sono sicuramente più efficaci di quelli che può utilizzare il singolo utente; ad ogni modo è bene informarsi e chiedere quali siano effettivamente le misure adottate dal cloud provider. 

Prima di far riferimento ad un particolare partner cloud il cliente deve tenere in considerazione che, affidandosi ad un fornitore remoto, può perdere il controllo diretto dei proprio dati. 

Un aspetto che potrebbe essere negativo: 

il servizio prescelto potrebbe essere il risultato di una sorta di catena di montaggio di servizi acquistati, dal nostro futuro fornitore, presso altri provider. Nel momento in cui si dovesse sviluppare una filiera complessa, il cliente finale potrebbe non essere messo in grado di sapere chi, tra i vari gestori dei servizi intermedi, potrà effettivamente accedere ai suoi dati. 

Altra questione importante: può accadere che i dati sul clou vengano persi o distrutti?

Calamità naturali o attacchi informatici potrebbero compromettere il corretto funzionamento di alcuni data center, quindi è di fondamentale importanza individuare possibili modalità per il recupero dei dati, nonché quantificare l'impatto economico ed organizzativo dell'eventuale perdita, o cancellazione, di dati. 

I fornitori entrano in possesso di dati, sia di singoli che di organizzazioni, che potrebbero avere interessi ed esigenze contrastanti, a volte in conflitto tra di loro. E' quindi molto importante valutare quali siano le garanzie per quanto riguarda la tutela delle informazioni presenti sul cloud. 

Considerazioni relative allo Stato in cui i dati del cliente verranno custoditi. 

L'identificazione del luogo in cui i dati sono conservati, ha riflessi immediati sia sulla normativa applicabile in caso di contenzioso tra il cliente e il fornitore, sia per quanto riguarda le disposizioni nazionali che disciplinano il trattamento e la sicurezza dei dati. In questo modo verrà instaurato un rapporto più trasparente tra il cliente e il fornitore. 

Ricordiamo inoltre che la normativa sulla privacy consente che i dati possano essere trasferiti in paesi non compresi nell'Unione Europea solo ed esclusivamente in alcuni casi, e solo nel momento in cui venga offerta e garantita una protezione adeguata rispetto a quella prevista dalla legislazione comunitaria. 

Se il fornitore dovesse utilizzare tecnologie proprie, questo potrebbe rendere complessa, per il cliente, la migrazione di dati da cloud all'altro, ponendo quindi a rischio la portabilità dei dati. In questo caso si potrebbe andare in contro alla messa in atto di politiche commerciali poco trasparenti. Il fornitore, infatti, potrebbe, in un primo momenti, presentare al cliente un'offerta di servizi economicamente vantaggiosa e con adeguate garanzie relative alla protezione dei dati. Successivamente potrebbe invece cambiare le condizioni di contratto a proprio vantaggio. Il cliente non avendo la possibilità di recedere dal servizio e quindi trasferire in modo semplice e immediato i propri dati presso un altro fornitore, non potrà far altro che accettare le nuove condizioni poste dal suo fornitore. 

Il nostro consiglio è, quindi, quello di utilizzare il cloud computing per l'archiviazione di dati personali, o aziendali, non sensibili. 

Uno dei principali fornitori di questo servizio può essere identificato in Dropbox, che consente l'archiviazione e lo scambio di dati tra diversi utenti, risultando così quindi molto utile.  

Elena Gavioli e Marco Rossetti