Alcune indicazioni del Garante della Privacy
Il Garante della Privacy ha affrontato il tema della riservatezza e confidenzialità delle infrormazioni collocate in ambiente publi cloud e ha messo in evidenza alcuni aspetti che vanno considerati per un utilizzo consapevole, che si possono riassumere in questi punti:
- verifica dell’affidabilità e competenze del fornitore;
- attenta selezione dei dati gestiti in modalità cloud;
- controllo dell’effettiva allocazione fisica dei dati;
- utilizzo di servizi che favoriscono la portabilità dei dati e la loro disponibilità in caso di necessità;
- esigere dal fornitore opportune garanzie in merito alla sicurezza dei dati e delle tecniche di trasmissione oltre alla gestione di situazioni critiche che possono comprometterne la corretta conservazione;
- stabilire in fase contrattuale i Service Level Agreement a cui riferirsi, le penali previste e i tempi di conservazione dei dati dopo la scadenza del contratto.
Per quanto riguarda la scelta del fornitore è bene, innanzitutto, effettuare delle verifiche sulle certificazioni che possiede, oltre che sui servizi offerti e sulla qualità della sua infrastruttura, sull’idoneità della piattaforma tecnologica, sulle competenze del personale e sulle misure di sicurezza che garantisce in caso si verifichino situazioni di criticità.
Se il fornitore non fa parte dell’Unione Europea è meglio verificare che sia possibile effettuare il trasferimento dei dati personali verso il Paese in questione (consentito nei casi previsti dal D.lg. 196/2003) e che ci sia una legislazione che garantisca un adeguato livello di protezione della Privacy. Altrimenti è opportuno sottoscrivere dei modelli di contratto che siano stati approvati dalla Commissione Europea e dal Garante della Privacy.
Se, invece, il fornitore svolge un ruolo da intermediario appoggiandosi a un terzo soggetto, è opportuno non perdere di vista l’allocazione fisica dei server.
L’azienda deve sapere con certezza sotto quale giurisdizione risiedono i dati per conoscere la legge applicabile nel caso di controversie tra l’utente e il fornitore del servizio o in cui l’autorità giudiziaria debba eseguire ordini di perquisizioni, sequestro e così via.