Cloud Computing nella PA: la guida del Garante della Privacy

di Teresa Barone

scritto il

Come proteggere i dati e garantire la privacy nel Cloud Computing? Risponde il Garante della Privacy con una guida che illustra le regole fondamentali per usare le nuvole in sicurezza.

Sfruttare le potenzialità del Cloud Computing anche nella Pubblica Amministrazione senza correre rischi per la privacy, tutelando i dati personali e la sicurezza: questo il fine della guida pubblicata dal Garante della Privacy, una sorta di vademecum rivolto sia alle aziende sia agli enti pubblici per offrire informazioni e supporto.

La guida ideata dal Garante della Privacy si chiama “Cloud Computing. Proteggere i dati per non cadere dalle nuvole?, un prontuario diviso in 5 capitoli che affronta in modo dettagliato le principali tematiche legate alla tecnologia Cloud, dalla sua stessa definizione fino all?illustrazione delle varie tipologie di “nuvole? e alla valutazione dei rischi e dei costi.

«Prima di esternalizzare la gestione di dati e documenti o adottare nuovi modelli organizzativi è necessario porsi alcune domande, scegliendo con cura la soluzione più sicura per le attività istituzionali o per il proprio business.»

Entrando più nel dettaglio della guida, il Garante consiglia come primo approccio la verifica precisa dell?affidabilità del provider al quale ci si rivolge per il servizio Cloud, che deve essere sicuro in materia di virus, hacker e altri rischi di natura informatica, nonché dell?esistenza di una responsabilità risarcitoria in caso di problemi legati sia alla fuoriuscita dei dati sia a eventuali disservizi.

«Gli utenti dovrebbero accertare l’esperienza, la capacità e l’affidabilità del fornitore prima di trasferire sui sistemi cloud i propri dati più preziosi, la struttura societaria del fornitore, le referenze, le garanzie di legge offerte in ordine alla confidenzialità dei dati e alle misure adottate per assicurare la continuità operativa a fronte di eventuali e imprevisti malfunzionamenti».

Altri punti chiave del vademecum sono la necessità di garantire la portabilità dei dati, in modo tale da avere sempre a disposizione il backup delle informazioni e poter richiamare i dati archiviati in qualsiasi momento, anche in caso di recessione dal servizio. Sempre in materia di archiviazione, è fondamentale valutare bene l?opportunità che i dati siano archiviati fori sede, e in tal caso accertarsi riguardo il paese di residenza del server al fine di determinante la giurisdizione e le normative applicabili in caso di controversie.

Quando si stipula il contratto, invece, è buona norma analizzare in modo dettagliato tutte le clausole contrattuali, soprattutto quelle relative alla responsabilità in caso di perdita dei dati o di diffusione illecita, come anche riguardo il recesso dal servizio. Molto importante, inoltre, è verificare la normativa relativa alla conservazione dei dati nella nuvola, accertandosi di tutte le scadenze e della possibilità di utilizzare tecniche crittografiche per proteggere le informazioni da terzi.

Per quanto riguarda il personale addetto alla gestione dei dati, è assolutamente necessario provvedere a una formazione completa e dettagliata al fine di evitare rischi e perdite di informazioni causate non dall?intervento di terzi ma da errori interni. Il Garante, infine, si rivolge anche ai privati, invitandoli a prestare attenzione al modo in cui proteggono i propri dati soprattutto utilizzando strumenti di comunicazione che, a loro volta, sono collegati a servizi cloud per archiviare le informazioni e non sempre in modo protetto.

«L’adozione di nuove tecnologie per la mobilità, come smartphone e tablet, dotati di grandi quantità di memoria, spesso connessi a servizi cloud non protetti che consentono di sfruttare lo stesso strumento per attività private e professionali, ha però aumentato il rischio di perdita di controllo dei dati personali. Si consiglia quindi di conservare con cura gli strumenti tecnologici utilizzati per scopi personali, e di adottare tutte le cautele al fine di impedire accessi anche accidentali, da parte di terzi, ai dati personali».