Privacy in Cloud Computing: pro e contro
Non vi è dubbio sul fatto che il cloud computing rappresenti una delle tecnologie di maggior successo degli ultimi anni. Sempre più spesso, sia le aziende che i privati ricorrono al cloud per archiviare i propri dati, conservare le e-mail, ascoltare musica, utilizzare applicazioni software etc. Strumenti come Dropbox, Spotify, Facebook, Google Drive, Amazon, Google Document etc. fatto tutti ricorso al cloud computing.
I vantaggi del cloud sono innegabili. I dati contenuti sulla nuvola sono sempre a disposizione ovunque ci si trovi e sono accessibili da ogni dispositivo. Non c’è bisogno di acquistare costosi server, né di mantenerli in sicurezza. Se ci si affida a cloud seri, il rischio di perdere i dati a causa di virus, guasti o cancellazioni accidentali viene ridotto al minimo.
In particolare per le aziende, il cloud computing rappresenta una forma di out-sourcing estremamente conveniente. Permette infatti di limitare i costi necessari ad implementare e mantenere funzionante e sicuro un sistema informatico interno e di esternalizzare la gestione dei dati ad un soggetto che lo fa di professione.
Ma se questi sono i pro, quali sono i contro per la privacy nel cloud computing? Affidare i propri dati al cloud significa perderne il controllo, senza però liberarsi dalla responsabilità. Sbaglia dunque il titolare del trattamento dati che crede di poter andare esente da responsabilità per il solo fatto di essersi affidato ad un soggetto esterno. Diventa dunque indispensabile rivolgersi ad un cloud provider che sia compliant con le norme sulla privacy ed, in particolare con il nuovo regolamento Europeo 2016/679: il GDPR.
Cos’è il Cloud Computing
Con il termine cloud computing ci si riferisce ad un insieme di tecnologie che permette di utilizzare un software o di archiviare dati tramite internet. Ad esempio, un software gestionale per aziende a cui si può accedere tramite un browser e che non è fisicamente installato sui computer degli operatori è fornito in cloud computing. Ciò significa che non soltanto l’applicativo ma anche tutti dati che lo stesso gestisce si trovano fisicamente da un’altra parte: sulla nuvola.
Le categorie di Cloud Computing
E’ possibile innanzi tutto distinguere due macro-categorie: il Private Cloud Computing ed il Public Cloud Computing.
Nel primo caso siamo davanti ad una infrastruttura informatica dedicata ad una singola azienda (o ad un gruppo ristretto). I server nei quali sono contenuti i dati ed a cui si può accedere in remoto sono di proprietà dell’azienda e sono contenuti al suo interno. In questo modo il titolare mantiene il pieno controllo sui dati. In alcuni casi, i server di proprietà dell’azienda vengono ospitati presso un soggetto terzo mediante un contratto di housing.
Nel Public Cloud Computing, invece, i dati vengono ospitati su server di proprietà del Cloud Provider o di terzi fornitori mediante contratti di hosting. Quest’ultima categoria di cloud computing comporta maggiori problematiche per la privacy.
Possono distinguersi inoltre diverse tipologie di cloud computing, di cui queste sono le più importanti:
- Infrastructure as a Service (IaaS): con questo servizio, il Cloud Provider mette a disposizione una infrastruttura informatica, di cui gli sviluppatori di software possono usufruire accedendovi in remoto. Ciò permette di limitare l’investimento necessario a dotarsi di infrastrutture IT estremamente costose.
- Platform as a Service (PaaS): il Cloud Provider fornisce oltre all’infrastruttura anche una piattaforma che consente di sviluppare e gestire in remoto le applicazioni aziendali.
- Software as a Service (SaaS): con questo servizio, l’utente può utilizzare un software direttamente tramite internet, senza dover effettuare il download sul proprio computer (ad esempio un programma gestionale per aziende oppure un semplice servizio di posta elettronica come Gmail).
I ruoli privacy nel Cloud Computing
I ruoli principali nella privacy sono quello di titolare (Controller) e di responsabile (Processor) del trattamento dati. Il titolare è la persona fisica o giuridica che decide le finalità e le modalità del trattamento dei dati. Il responsabile è invece la persona fisica o giuridica che tratta i dati per conto del titolare, seguendo le sue istruzioni.
Ad esempio, l’azienda che ha un sito di e-commerce sarà titolare del trattamento dei dati raccolti fra i suoi utenti. Invece, l’hosting provider del sito web, che di fatto conserva i dati, sarà invece un responsabile del trattamento. Con l’avvento del GDPR, il titolare dovrà designare per iscritto con un apposito contratto il responsabile del trattamento (art. 28 Reg. 2016/679).
Qual’è dunque il ruolo privacy del Cloud Provider? La risposta a questa domanda è stata a lungo dibattuta. Poiché il Cloud Provider è il soggetto che di fatto prende le decisioni riguardanti la sicurezza dei dati, alcuni lo ritengono contitolare del trattamento. In particolar modo con l’avvento del GDPR, per rispondere a questa domanda occorre porsene un’altra: per quali finalità il Cloud Provider sta trattando i dati? Se si limita a fornire il servizio in cloud ed a trattare i dati per le finalità ad esso legate, secondo le istruzioni fornite nel contratto dal titolare, allora il Cloud Provider sarà mero responsabile del trattamento. Se invece acquisisce i dati e li tratta per propri fini, ne diviene titolare.
Mettere in sicurezza l’intera filiera del trattamento dati
Non sempre il Cloud Provider è anche proprietario dei server sui quali vengono fisicamente ospitati dati. Molto più spesso, esso si rivolge a data center esterni, che gli forniscono un servizio di hosting.
L’Hosting Provider che ospita i dati comunicati dal Cloud Provider per conto del titolare, assume il ruolo privacy di sub-responsabile del trattamento.
Ai sensi dell’art. 28 Reg. 2016/679, il Cloud Provider dovrà ottenere dal titolare il consenso ad avvalersi di un sub-responsabile. Inoltre, dovrà designare con un contratto scritto il sub-responsabile, ribaltando su di esso le istruzioni fornite dal titolare mediante il contratto di designazione del responsabile[1].
In pratica, il titolare del trattamento deve sempre mantenere il controllo dei propri dati. Per farlo deve conoscere l’intera filiera del trattamento e garantire per la sua sicurezza.
Attenzione al trasferimento dei dati fuori dall’Unione Europea
Il Titolare, quando affida i dati ad un servizio di cloud computing, deve conoscere la loro ubicazione fisica, ovvero dove si trovano i server che li ospitano.
Se i dati si trovano all’interno dell’Unione Europea, non sorgono particolari problemi. In questo caso non sarà neppure necessario informare il soggetto interessato sull’ubicazione dei dati.
Se i dati vengono spostati al di fuori dell’Unione Europea, occorre invece prendere particolari precauzioni. La Commissione Europea ha individuato una serie di paesi, quali il Canada o la Svizzera, che assicurano ai dati personali un livello di protezione pari a quello europeo. Il trasferimento dei dati in questi paesi è lecito, ma l’interessato deve esserne informato.
Trasferire i dati in paesi che non assicurano livelli adeguati di protezione è invece in linea di principio vietato. Diviene lecito soltanto in presenza di alcuni requisiti, quali: l’adozione di particolari condizioni contrattuali imposte al destinatario (standard model clauses); all’interno di gruppi societari che abbiano adottato binding corporate rules; oppure con il consenso espresso dell’interessato, che però deve rappresentare l’ultima ratio.
Negli Stati Uniti, i dati possono essere lecitamente trasferiti soltanto verso società che si siano rese conformi al Privacy Shield. Quest’ultimo è un accordo fra la Commissione Europea ed il Governo degli Stati Uniti, nel quale si indicano una serie di requisiti necessari a certificare il rispetto di un adeguato livello di protezione dei dati. Soltanto le imprese statunitensi che rispettino questi requisiti potranno dirsi conformi al Privacy Shield e consentire il trasferimento dei dati dall’Europa agli Stati Uniti.
Conclusioni
Quanto sopra è soltanto un riassunto di tutte le accortezze necessarie a rendere conforme l’utilizzo del cloud computing alle norme sulla privacy. Per le aziende che gestiscono dati in cloud computing, in particolare ove si tratti di dati sensibili, è indispensabile rivolgersi ad un professionista per verificare il rispetto delle norme in materia di privacy. Le aziende che si avvalgono di un DPO dovranno invece rivolgersi a quest’ultimo.
Se ci si affida a soggetti qualificati e privacy compliance, il cloud computing può essere una risorsa fondamentale, soprattutto per le PMI, per gestire in sicurezza i dati e mantenere limitate le spese. L’imprenditore non deve però mai fare l’errore di disinteressasi dei dati e degli adempimenti privacy, né credere di essere esente da responsabilità per il solo fatto di essersi rivolto ad un soggetto esterno. Il titolare resta sempre responsabile dei dati che tratta e, se sceglie male i soggetti a cui li affida, diviene responsabile per culpa in eligendo.
Allo stesso modo, in particolare modo con l’avvento del GDPR, le aziende che forniscono servizi in cloud computing sono obbligate a rendersi conformi alle normative, diversamente verranno per forza di cose escluse dal mercato.
[1] Si veda Titolare, Responsabile, Incaricato del Trattamento sul sito dell’Autorità Garante per la privacy.
Quest’opera è distribuita con Licenza Creative Commons Attribuzione 3.0 Italia.