Il Cloud e la PA: quali garanzie per i dati gestiti sulle “nuvole”

Come sfruttare allora al meglio i vantaggi offerti dal cloud, senza compromettere la sicurezza delle informazioni

Sono molteplici le amministrazioni, centrali e locali, che negli ultimi anni hanno deciso di avvalersi di servizi in cloud computing, scegliendo tra i diversi modelli che consentono di utilizzare in modo virtualizzato applicativi (Software as a Service o SaaS), infrastrutture (Infrastructure as a Service o IaaS) o piattaforme (Platform as a Service o PaaS).

I servizi in cloud offrono sicuramente un’importante opportunità per le PA, in quanto si presentano come uno dei mezzi più economici per assicurare ad una gran parte dei servizi di eGovernment quelle caratteristiche di efficacia, efficienza, trasparenza, partecipazione, condivisione, cooperazione, interoperabilità e sicurezza previste dal Codice dell’Amministrazione Digitale.[1]

Ma gli enti che intendono avvalersi di tali servizi devono tener conto anche delle criticità e dei rischi legati al loro utilizzo, avendo particolare riguardo anche ai profili relativi alla protezione dei dati personali che decidono di gestire in cloud.

Infatti, come anche rilevato nel Parere del Gruppo di lavoro Articolo 29 sul cloud computing 5/2012, “affidando dati personali a sistemi gestiti da un fornitore di servizi cloud, i clienti rischiano di perdere il controllo esclusivo dei dati e di non poter prendere le misure tecniche e organizzative necessarie per garantire la disponibilità, l’integrità, la riservatezza, la trasparenza, l’isolamento, la portabilità dei dati e la possibilità di intervento sugli stessi”.

Come sfruttare allora al meglio i vantaggi offerti dal cloud, senza per ciò compromettere la sicurezza delle informazioni e/o operare in contrasto con le regole definite dalla normativa in materia di protezione dei dati personali[2]?

Le Pubbliche Amministrazioni, prima di aderire ai servizi in cloud di interesse, dovranno verificare, attraverso il coinvolgimento del Responsabile della protezione dei dati (o Data Protection Officer)[3], le garanzie offerte dal fornitore del servizio, valutando, a tal fine, la sua eventuale adesione a certificazioni[4] o codici di condotta[5] ed esaminando gli impegni contrattuali assunti in ordine alle modalità di gestione dei dati (luogo deputato al trattamento, misure di sicurezza tecniche e organizzative adottate, disponibilità delle informazioni in caso di necessità e loro portabilità nell’ipotesi di recesso dal servizio, politiche sui tempi di conservazione dei dati, procedure di notifica di eventuali violazioni …).

Ovviamente la scelta di avvalersi di un fornitore dotato di certificazione o che si impegni contrattualmente ad operare nel rispetto della normativa in materia di protezione dei dati personali non è da sola idonea ad escludere eventuali responsabilità poste a carico del titolare nel caso di violazione della normativa di settore, ma assume rilievo in relazione al principio dell’accountability introdotto dal Regolamento UE 2016/679, in base al quale si richiede al titolare, in un’ottica di “responsabilizzazione”, di adottare comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione della disciplina.

Note

[1] Cfr. DigitPA, “Raccomandazioni e proposte sull’utilizzo del cloud computing nella Pubblica Amministrazione”, raggiungibile attraverso il seguente link: http://www.agid.gov.it/sites/default/files/documenti_indirizzo/raccomandazioni_cloud_e_pa_-_2.0_0.pdf

[2] Il riferimento è al D. Lgs. 196/2003 e al Regolamento UE 2016/679 che troverà applicazione dal 25 maggio 2018

[3] Si tratta di figura che deve essere individuata obbligatoriamente dalle PA, così come prescritto dall’art. 37, paragrafo 1, lett. a) del Regolamento UE 2016/679

[4] Si pensi alla ISO270018 – standard elaborato specificamente per i fornitori di servizi cloud – oppure al programma di certificazione STAR – basato sull’utilizzo di un framework di requisiti di sicurezza applicati al cloud, mappati sui principali standard e regolamenti riconosciuti a livello mondiale

[5]  Il riferimento è al Codice di condotta presentato dal CISPE (Cloud Infrastructure Services Providers in Europe), in linea con i principi contenuti nel Regolamento UE 2016/679

Roberta Rapicavoli

Scrivi un commento

Accedi per poter inserire un commento