Adobe migra sul Cloud
Posted in
Tecnologia
by: Lucio
il 16.05.2013
Sicurezza nel cloud: come mettere in pratica le indicazioni del Garante
Un caso pratico: come un Internet Service Provider le ha applicate
Nelle scorse settimane, come abbiamo segnalato, il Garante per la protezione dei dati personali, ha diffuso una “Mini guida per imprese e pubblica amministrazione sul cloud computing”, con l’eloquente sottotiolo “Proteggere i dati per non cadere dalle nuvole”.
Obiettivo del Garante è stato quello di offrire alcune indicazioni valide per tutti gli utenti, in particolare imprese e amministrazioni pubbliche, e di far quindi “riflettere su alcuni importanti aspetti giuridici, economici e tecnologici in un settore in velocissima espansione e di promuovere un utilizzo corretto delle nuove modalità di erogazione dei servizi informatici”.
Il Garante è entrato nel merito di alcuni temi di particolare rilevanza,
suggerendo, alle aziende che acquisiscono servizi cloud, lo svolgimento di una serie di verifiche sulla organizzazione dei propri fornitori,
al fine di verificare che gli stessi siano completamente rispettosi della vigente normativa, con ciò evitando rischi legali in capo ai propri clienti.
La Guida è rivolta agli utenti, ma, implicitamente, propone regole di condotta anche per i provider.
Ecco le indicazioni del Garante.
- Titolarità del trattamento dati. L’azienda, “titolare del trattamento” dei dati personali, che trasferisce del tutto o in parte il trattamento di dati personali a un fornitore, deve procedere a designare il fornitore dei servizi cloud “responsabile del trattamento” e quindi anche gli eventuali subappaltatori
- Esercizio del un poter di controllo.Il Codice della privacy prevede che il titolare eserciti un potere di controllo nei confronti del responsabile del trattamento, verificando la corretta esecuzione delle istruzioni impartite in relazione ai dati personali trattati
- Trasferimento dati al di fuori dell’EU. Il Codice della privacy definisce regole precise per il trasferimento dei dati personali fuori dall’Unione europea e vieta, in linea di principio, il trasferimento “anche temporaneo” di dati personali verso uno Stato extraeuropeo, qualora l’ordinamento del Paese di destinazione o di transito dei dati non assicuri un adeguato livello di tutela
- Misure di tutela. Il titolare del trattamento deve assicurarsi che siano adottate misure tecniche e organizzative volte a ridurre al minimo i rischi di distruzione o perdita anche accidentale dei dati, di accesso non autorizzato, di trattamento non consentito o non conforme alle finalità della raccolta, di modifica dei dati in conseguenza di interventi non autorizzati o non conformi alle regole
- Privacy per i servizi cloud. Le imprese che decidono di avvalersi di servizi cloud per gestire i dati personali dei loro utenti o clienti non devono dimenticare che il Codice della privacy attribuisce agli interessati (le persone a cui si riferiscono i dati) precisi diritti
- Consiglio di valutazione preventiva. Il Garante consiglia di fare una valutazione di rischi, costi e benefici preventiva rispetto all’utilizzo di servizi cloud ricordando che quasi tutte le società che offrono servizi e infrastrutture cloud si avvalgono di aziende leader mondiali sottolineando la potenziale riduzione della capacità negoziale di una singola impresa o di una piccola amministrazione pubblica.
Vediamo come, a titolo di esempio, un Internet Service Provider come Enter applica queste indicazioni.
- Enter viene tipicamente nominata dai propri clienti Responsabile del trattamento e, qualora dovesse subappaltare parte dei servizi, fornisce tutte le indicazioni necessarie per il cliente per la nomina diretta del subappaltatore quale Responsabile del trattamento
- Previo preavviso e nei limiti in cui ciò non vada a interferire nell’esecuzione dei servizi, Enter permette ai propri clienti di svolgere i controlli che ritenessero necessari al fine di verificare il rispetto delle norme di legge e delle obbligazioni contrattuali assunte
- Non trasferisce dati fuori dall’Unione Europea, non avendo alcun fornitore coinvolto nella esecuzione dei Servizi fuori UE
- Rispetta tutte le misure di sicurezza previste dall’allegato B al d.lgs 196/03. Inoltre, Enter ha adottato una serie di ulteriori misure di sicurezza, tra cui anche, attualmente in corso, la certificazione ISO 27001 sulla sicurezza dei dati
- Enter garantisce il massimo supporto ai propri clienti, in caso di istanze degli interessati
- Enter non utilizza alcun fornitore che possa in alcun modo limitare la possibilità di avere certezze in merito alla tutela dei dati e al rispetto delle vigenti normative.
Sarebbe interessante capire come altri Provider si sono posti rispetto a queste tematiche.
Suggested Tweets
Altri articoli che potrebbero interessarti
Security report di Cisco: la sicurezza informatica delle aziende e del cloud
Posted in Tecnologia by: Stefano il 28.12.2011
Commenti
by Claudio 248 giorni fa
Praticamente il Garante, non specificando niente, fa si che i servizi cloud (Google per esempio) non possano essere sfruttati!?
Punto 2
Come faccio ad esercitare un potere di controllo su una società come google!?
Punto 3
Essendo i dati in cloud, non so in che paese siano, quindi come posso verificare che il transito di dati abbia un adeguato livello di tutela?
by etcloud 241 giorni fa
Ciao Claudio, ti rispondo per punti.
1. Se i servizi Google non rispettano i dettami normativi italiani, non possono essere sfruttati se non considerando che, potenzialmente, potrei essere sanzionato come fruitore (titolare del trattamento)
2. È esattamente il problema che si pone il Garante e al quale dà la risposta. Se un fornitore non ammette di essere controllato, non si può utilizzarlo in base al diritto italiano (sempre ammesso che in cloud io metta dati personali)
3. Idem come al punto 2: il trasferimento dati all’estero è normato dal d.lgs 196/03. Se un fornitore non è trasparente, non posso sapere se si rispettano le norme e, quindi, come cliente (titolare del trattamento) potrei essere sanzionato.
Lascia un commento