Cloud computing e normativa sulla Privacy

La guida del Garante della Privacy per imprese e pubblica amministrazione "CLOUD COMPUTING - Proteggere i dati per non cadere dalle nuvole" (già segnalata su questo sito alcuni giorni fa), identifica alcuni aspetti che, in relazione alla normativa sulla privacy, devono essere attentamente considerati prima di esternalizzare la gestione di dati e documenti.

In particolare, rinviando al documento per gli approfondimenti necessari, il Garante sottolinea l'importanza di:

1. accertare l'esperienza, la capacità e l'affidabilità del fornitore prima di trasferire sui sistemi cloud i propri dati;
2. valutare le caratteristiche qualitative dei servizi di connettività di cui si avvale il fornitore in termini di capacità e affidabilità;
3. ricorrere a servizi di cloud computing privilegiando quelli basati su formati e standard aperti, che facilitino la transizione da un sistema cloud ad un altro, anche se gestiti da fornitori diversi;
4. prevedere la possibilità di conservare una copia dei dati allocati sul cloud, in particolare di quelli la cui perdita o indisponibilità potrebbe causare gravissimi danni, non solo economici o di immagine;
5. valutare con responsabile attenzione se ricorrere - per alcune informazioni, come quelle coperte da segreto industriale, e tutti i dati sensibili - ai servizi di cloud computing (in particolare di tipo "pubblico"), oppure se utilizzare altre forme di outsourcing, ovvero mantenere "in sede" il trattamento di tali dati;
6. verificare se i dati rimarranno nella disponibilità fisica dell'operatore con cui è stato stipulato il contratto oppure se questi svolga un ruolo di intermediario;
7. sapere se i propri dati vengono trasferiti ed elaborati da server in Italia, in Europa o in un Paese extraeuropeo (il trasferimento di dati in Paesi che non offrono adeguate garanzie di sicurezzae confidenzialità potrebbe comportare un illecito trattamento dei dati personali);
8. valutare l'idoneità delle condizioni contrattuali per l'erogazione del servizio di cloud con particolare riferimento agli obblighi e alle responsabilità in caso di perdita e di illecita diffusione dei dati custoditi, nonché alle eventuali modalità per il recesso dal servizio e il passaggio ad altro fornitore;
9. prevedere nel contratto le politiche adottate dal fornitore riguardo ai tempi di conservazione dei dati;
10. valutare con attenzione le misure di sicurezza utilizzate dal fornitore del servizio di cloud;
11. formare adeguatamente il personale incaricato del trattamento dei dati mediante servizi di cloud computing, al fine di limitare i rischi di trattamento non consentito.