Come promesso al ForumPA il Garante della privacy (Francesco Pizzetti) indica alcuni punti di attenzione per non avere sorprese quando si sceglie di andare verso il cloud computing.
'Cloud computing : indicazioni per l’utilizzo consapevole dei servizi'.
E' questo il titolo dell'allegato alla relazione del Garante che ha voluto fornire alcune indicazioni per l'uso consapevole del cloud computing.
1) Ponderare prioritariamente rischi e benefici dei servizi offerti
Prima di optare per l'adozione di servizi di cloud computing, è opportuno che l'utente verifichi la quantità e la tipologia di dati che intende esternalizzare (es. dati personali identificativi o meno, dati sensibili oppure particolarmente delicati come quelli genetici o biometrici, dati critici per la propria attività come ad esempio progetti
riservati). E’ necessario innanzitutto valutare gli eventuali rischi e le possibili conseguenze derivanti da tale scelta sotto il profilo della riservatezza e della loro rilevanza nel normale svolgimento della propria attività. Tale analisi valutativa dovrà evidenziare
l’opportunità o meno di ricorrere a servizi cloud (limitandone l’uso ad esempio a determinati tipi di dati), nonché l'impatto sull'utente in termini economici e organizzativi, l’indisponibilità, pur se parziale o per periodi limitati, dei dati esternalizzati o, peggio, la loro perdita o cancellazione.
2) Effettuare una verifica in ordine all’affidabilità del fornitore
Gli utenti dovrebbero ragionevolmente accertare l'affidabilità del fornitore prima di migrare sui sistemi virtuali i propri dati più importanti, tenendo in considerazione le proprie esigenze istituzionali o imprenditoriali, la quantità e la tipologia delle
informazioni che intendono allocare nella cloud, i rischi e le misure di sicurezza. In funzione della tipologia di servizio che necessitano, oltre che della criticità dei dati, è opportuno che valutino la stabilità societaria del fornitore, le referenze,
le garanzi offerte in ordine alla confidenzialità dei dati e alle misure adottate per garantire la continuità operativa a fronte di eventuali e imprevisti malfunzionamenti. Gli utenti dovrebbero valutare, inoltre, le caratteristiche qualitative dei servizi di connettività di cui si avvale il fornitore in termini di capacità e affidabilità. Ulteriori criteri in base ai quali è possibile valutare l’affidabilità di un fornitore emergono dall’impiego di personale qualificato, dall’adeguatezza delle infrastrutture informatiche e di comunicazione, dalla disponibilità ad assumersi responsabilità, esplicitamente previste dal contratto di servizio, derivanti da eventuali falle nel sistema di sicurezza o a seguito di interruzioni di servizio.
3) Privilegiare i servizi che favoriscono la portabilità dei dati
E’ consigliabile ricorrere a servizi di cloud computing nelle modalità SaaS, PaaS o IaaS in un'ottica lungimirante, vale a dire privilegiando servizi basati su formati e standard aperti, che facilitino la transizione da un sistema cloud ad un altro, anche
se gestiti da fornitori diversi. Ciò al fine di scongiurare il rischio che eventuali modifiche unilaterali dei contratti di servizio da parte di uno qualunque degli operatori che intervengono nella catena di fornitura si traducano in condizioni peggiorative vincolanti o, comunque, per facilitare eventuali successivi passaggi da un fornitore all’altro.
4) Assicurarsi la disponibilità dei dati in caso di necessità
Nell'utilizzo dei servizi di cloud computing, in assenza di stringenti vincoli sulla qualità formalizzati attraverso il contratto con il fornitore, si raccomanda di mantenere una copia di quei dati (anche se non personali) dalla cui perdita o indisponibilità potrebbero conseguire danni economici, per l’immagine o in generale relativi alla missione e alle finalità perseguite dall’utente. Ciò specie quando ci si affidi a servizi gratuiti o a basso costo quali, ad esempio, a servizi di hard disk remoto, mail, soluzione per la conservazione documentale e così via, che potrebbero non presentare adeguate garanzie di disponibilità e prestazioni tipiche, invece, dei servizi professionali. Certamente, nel caso in cui i dati trattati non siano i propri, come avviene per aziende e pubbliche amministrazioni che raccolgono e detengono informazioni di terzi, l’adozione di servizi che non offrono adeguate garanzie di
riservatezza e di continuità operativa può avere rilevanti ripercussioni nel patrimonio informativo dei soggetti cui i dati si riferiscono. In tal senso, il titolare del trattamento dei dati a fronte del contenimento di costi dovrà comunque provvedere al salvataggio (backup) dei dati allocati nella cloud, ad esempio creandone una copia locale (eventualmente sotto forma di archivio compresso), allo scopo
di gestire gli eventuali rischi insiti nell’acquisizione di servizi che, pur con i vantaggi dell’economicità, potrebbero tuttavia non offrire sufficienti garanzie di affidabilità e di disponibilità.
5) Selezionare i dati da inserire nella cloud
Alcune informazioni che si intende inserire sui sistemi del fornitore di servizio, perì loro intrinseca natura, quali ad esempio i dati sanitari, genetici, reddituali, biometrici o quelli coperti da segreto industriale, possono esigere particolari misure di sicurezza.
In tali casi, poiché dal relativo inserimento nella cloud consegue comunque una attenuazione, seppur parziale, della capacità di controllo esercitabile dall’utente, ed una esposizione di tali informazioni a rischi non sempre prevedibili di potenziale perdita o di accesso non consentito, l’utente medesimo dovrebbe valutare con responsabile attenzione se ricorrere al servizio di cloud computing oppure mantenere in house il trattamento di tali tipi di dati.
6) Non perdere di vista i dati
E’ sempre opportuno che l'utente valuti accuratamente il tipo di servizio offerto anche verificando se i dati rimarranno nella disponibilità fisica dell'operatore proponente, oppure se questi svolga un ruolo di intermediario, ovvero offra un servizio progettato sulla base delle tecnologie messe a disposizione da un operatore terzo. Si pensi ad esempio a un applicativo in modalità cloud nel quale il fornitore del servizio finale (Software as a Service) offerto all’utente si avvalga di un servizio di stoccaggio dati acquisito da un terzo. In tal caso, saranno i sistemi fisici di quest’ultimo operatore che concretamente ospiteranno i dati immessi nella cloud
dall’utente.
7) Informarsi su dove risiederanno, concretamente, i dati
Sapere in quale Stato risiedono fisicamente i server sui quali vengono allocati i dati, è determinate per stabilire la giurisdizione e la legge applicabile nel caso di Cloud computing : indicazioni per l’uso consapevole 16 dei servizi controversie tra l’utente e il fornitore del servizio. La presenza fisica dei server in uno Stato comporterà per l'autorità giudiziaria nazionale, infatti, la possibilità di dare
esecuzione ad ordini di esibizione, di accesso o di sequestro, ove sussistano i presupposti giuridici in base al singolo ordinamento nazionale. Non è, quindi, indifferente per l’utente sapere se i propri dati si trovino in un server in Italia, in Europa o in un imprecisato Paese extraeuropeo. In ogni caso, l’utente, prima di inserire i dati nella nuvola informatica, dovrebbe assicurarsi che il trasferimento tra i diversi paesi in cui risiedono le cloud avvenga nel rispetto delle cautele previste a livello di Unione europea in materia di protezione dei dati personali, che esigono particolari garanzie in ordine all’adeguatezza del livello di tutela previsto dagli ordinamenti nazionali per tale tipo di informazioni.
8) Attenzione alle clausole contrattuali
Una corretta e oculata gestione contrattuale può supportare sia l’utente, sia il fornitore nella definizione delle modalità operative e dei parametri di valutazione del servizio, oltre a individuare i parametri di sicurezza necessari per la tipologia di attività gestita. In ogni caso, è importante valutare l’idoneità delle condizioni contrattuali per l’erogazione del servizio di cloud con riferimento ad obblighi e responsabilità in caso di perdita, smarrimento dei dati custoditi nella nuvola e di conseguenze in caso di decisione di passaggio ad altro fornitore. Costituiscono elementi da privilegiare la previsione di garanzie di qualità chiare, corredate da penali che pongano a carico del fornitore eventuali inadempienze o le conseguenze di determinati eventi (es. accesso non consentito, perdita dei dati, indisponibilità per malfunzionamenti, ecc.). Si suggerisce, inoltre, di verificare eventuali soggetti terzi delegati alla
fornitura di servizi intermedi e che concorrono all’erogazione del servizio finale rivolto all’utente, ovvero la preventiva identificazione dei diversi fornitori successivamente coinvolti nel trattamento. Si raccomanda, infine, di accertare quale sia la quantità di traffico dati prevista dal contratto oltre la quale vengono addebitati oneri economici supplementari.
9) Verificare le politiche di persistenza dei dati legate alla loro conservazione
In fase di acquisizione del servizio cloud è opportuno approfondire le politiche adottate dal fornitore, che si dovrebbero poter evincere dal contratto, relative ai tempi di persistenza dei dati nella nuvola. Da una parte l’utente dovrebbe accertare il termine
ultimo, successivo alla scadenza del contratto, oltre il quale il fornitore cancella definitivamente i dati che gli sono stati affidati. Dall’altra, il fornitore dovrà presentare adeguate garanzie, assicurando che i dati non saranno conservati oltre i suddetti termini o comunque al di fuori di quanto esplicitamente stabilito con l’utente stesso. In ogni caso, i dati dovranno essere sempre conservati nel rispetto delle finalità e delle modalità concordate, escludendo duplicazioni e comunicazioni a terzi.
10) Esigere e adottare opportune cautele per tutelare la confidenzialità dei dati
Nell'ottica di proteggere la confidenzialità dei propri dati, l'utente dovrebbe valutare anche le misure di sicurezza utilizzate dal fornitore per consentire l’allocazione dei dati nella cloud. In generale si raccomanda di privilegiare i fornitori che utilizzano a tal fine
tecniche di trasmissione sicure, tramite connessioni cifrate (specie quando i dati trattati sono informazioni personali o comunque dati che devono restare riservati), coadiuvate da meccanismi di identificazione dei soggetti autorizzati all'accesso, la cui complessità sia commisurata alla criticità dei dati stessi. Nella maggior parte dei casi risulta adeguato l'utilizzo di semplici meccanismi di identificazione, basati su username e password, purché le password non siano banali e vengano scelte di lunghezza adeguata. Nell’ipotesi in cui il trattamento riguardi particolari tipologie di dati - quali quelli sanitari, genetici, reddituali e biometrici o, più in generale, dati la cui riservatezza possa considerarsi “critica” - si raccomanda oltre all'utilizzo di protocolli sicuri nella fase di trasmissione, anche la conservazione in forma cifrata sui sistemi del fornitore di servizio.
11) Formare adeguatamente il personale
Il personale preposto al trattamento di dati attraverso i servizi di cloud computing dovrebbe essere sottoposto a specifici interventi formativi, che evidenzino adeguatamente le modalità più idonee per l’acquisizione e l’inserimento dei dati nella cloud, la consultazione e in generale l’utilizzo dei nuovi servizi esternalizzati e delle indicazioni sin qui illustrate, allo scopo di mitigare rischi per la protezione dei dati derivanti non solo da eventuali comportamenti sleali o fraudolenti, ma anche causati da errori materiali, leggerezza o negligenza: circostanze queste che potrebbero dare luogo ad accessi illeciti, perdita di dati o, più in generale, trattamenti non consentiti.
