Gdpr e cloud: cosa cambia con la nuova normativa

Il GDPR ha avuto un impatto molto forte sull’organizzazione delle aziende per quanto concerne il discorso della privacy e dell’utilizzo dei dati personali degli utenti.

Il regolamento entrato in vigore il 25 Maggio 2018, almeno in una fase iniziale, ha creato molti allarmismi soprattutto per quelle imprese che, in passato, non erano state molto attente al processo di acquisizione, gestione ed archiviazione dei dati delle persone.

La digitalizzazione dei processi aziendali, del resto, ha posto al centro dei riflettori la protezione e la sicurezza dei dati ed è, dunque, importante considerare lo sforzo posto in essere dall’Unione Europea per cercare di armonizzare ed uniformare le disposizioni normative vigenti nei diversi paesi.

Pensare che sia possibile ignorare quanto previsto dal Gdpr è errato e controproducente. Le sanzioni per chi viola la legge sono molto più pesanti rispetto al passato. Inoltre, vanno considerati anche i possibili danni di reputazione derivabili da un comportamento discutibile in merito al trattamento dei dati degli utenti.

Anche tutte le aziende che operano nell’ambito del cloud computing sono interessate dalla nuova legge. E’ bene, però, guardare al GDPR con occhio critico ed analizzare non soltanto i limiti che esso impone ma anche le opportunità che si aprono sia per i provider di servizi cloud che per gli utenti finali.

Cosa cambia per le aziende di cloud computing

Sono molte le domande che il tema del cloud computing ha sollevato in seguito all’approvazione del GDPR. Un servizio di cloud computing, in termini prettamente tecnici, può essere definito come un contratto di elaborazione dei dati. Di conseguenza, l’utente che aderisce ad un servizio cloud dovrebbe essere sempre consapevole del modo in cui i suoi dati vengono trattati.

Le sfide poste in essere dal cloud computing coinvolgono, in ogni caso, sia i fornitori di servizi cloud che le aziende che decidono di usufruire del servizio. Per entrambi, sussiste l’obbligo di soddisfare i requisiti normativi minimi che regolano l’utilizzo di qualunque tipologia di servizio cloud nell’ambito del GDPR.

Da un lato, dunque, le aziende sono chiamate a scegliere fornitori di servizi cloud affidabili e dalla reputazione ineccepibile. Dall’altro lato, è bene che le imprese stesse siano consapevoli delle misure tecniche ed organizzative da adottare al fine di non agire in contrasto con quanto previsto dal General Data Protection Regulation.

Le sfide del cloud computing

Una prima sfida riguarda la conservazione dei dati nel cloud. In generale, infatti, il GDPR impone che i dati personali debbano essere archiviati per lo scopo predefinito e per l’arco di tempo considerato necessario. Di conseguenza, è necessario implementare i servizi cloud in maniera tale da interrompere la raccolta di dati qualora il periodo di raccolta e conservazione degli stessi sia scaduto.

Lo stesso discorso si applica anche alla cancellazione dei dati. È fondamentale comprendere in che modo i fornitori di servizi cloud gestiscono l’eliminazione dei dati in rapporto al possibile utilizzo di sistemi di backup.

Il problema è che i dati possono essere archiviati in più sedi dai fornitori di servizi cloud e, dunque, coinvolgere potenzialmente anche più giurisdizioni. Diventa, dunque, importante identificare e gestire in maniera corretta l’utilizzo dei dati in un ambiente che potrebbe essere definito multi-giurisdizionale, specie se il trattamento avviene al di fuori dello Spazio Economico Europeo.

Un’altra sfida concerne la proprietà dei dati. È importante che nei contratti tra le aziende ed i fornitori sia fatto un accenno chiaro alle modalità che rendono salvo il diritto dell’azienda al controllo e alla proprietà dei dati.

Occhio anche al discorso legato al risk management. Un’azienda che si affida ad un fornitore di servizi cloud dovrebbe avere l’opportunità di eseguire una valutazione dell’impatto sulla protezione dei dati (DPIA) nonché una valutazione in merito alla sicurezza dei dati stessi. Chiaramente, il diritto che regola il monitoraggio da parte delle aziende dell’operato dei fornitori cloud deve essere messo per iscritto sempre all’interno degli accordi. In particolare, è necessario che vengano definite con precisione le misure per il controllo della privacy, magari inserite all’interno di un completo ed esaustivo piano di audit.

In che modo i fornitori di servizi cloud possono dimostrare di aver attivato procedure conformi al GDPR? Attraverso i risultati che emergono dalla DPIA oppure tramite le certificazioni. Il certificato ISO 27001 dimostra che il fornitore è dotato di un adeguato sistema di gestione della sicurezza delle informazioni.

La certificazione ISO 27018 rappresenta, invece, un codice di condotta per la protezione delle Personally Identifiable Information (PII) nei servizi di public cloud. Questa certificazione consente ai fornitori di servizi cloud di dimostrare di aver attivato una corretta politica di protezione dei dati.