Logo Tom's Hardware

Alcune indicazioni del Garante

Prosegue la breve analisi dedicata al tema della sicurezza cloud con una focalizzazione sul Public cloud e su alcuni aspetti normativi

Avatar di Riccardo Florio

a cura di Riccardo Florio

Alcune indicazioni del Garante della Privacy

Il Garante della Privacy ha affrontato il tema della riservatezza e confidenzialità delle infrormazioni collocate in ambiente publi cloud e ha messo in evidenza alcuni aspetti che vanno considerati per un utilizzo consapevole, che si possono riassumere in questi punti:

  • verifica dell’affidabilità e competenze del fornitore;
  • attenta selezione dei dati gestiti in modalità cloud;
  • controllo dell’effettiva allocazione fisica dei dati;
  • utilizzo di servizi che favoriscono la portabilità dei dati e la loro disponibilità in caso di necessità;
  • esigere dal fornitore opportune garanzie in merito alla sicurezza dei dati e delle tecniche di trasmissione oltre alla gestione di situazioni critiche che possono comprometterne la corretta conservazione;
  • stabilire in fase contrattuale i Service Level Agreement a cui  riferirsi, le penali previste e i tempi di conservazione dei dati dopo la scadenza del contratto.

Per quanto riguarda la scelta del fornitore è bene, innanzitutto, effettuare delle verifiche sulle certificazioni che possiede, oltre che sui servizi offerti e sulla qualità della sua infrastruttura, sull’idoneità della piattaforma tecnologica, sulle competenze del personale e sulle misure di sicurezza che garantisce in caso si verifichino situazioni di criticità.

Se il fornitore non fa parte dell’Unione Europea è meglio verificare che sia possibile effettuare il trasferimento dei dati personali verso il Paese in questione (consentito nei casi previsti dal D.lg. 196/2003) e che ci sia una legislazione che garantisca un adeguato livello di protezione della Privacy. Altrimenti è opportuno sottoscrivere dei modelli di contratto che siano stati approvati dalla Commissione Europea e dal Garante della Privacy.

Se, invece, il fornitore svolge un ruolo da intermediario appoggiandosi a un terzo soggetto, è opportuno non perdere di vista l’allocazione fisica dei server.

L’azienda deve sapere con certezza sotto quale giurisdizione risiedono i dati per conoscere la legge applicabile nel caso di controversie tra l’utente e il fornitore del servizio o in cui l’autorità giudiziaria debba eseguire ordini di perquisizioni, sequestro e così via.

Leggi altri articoli