Privacy e Cloud, il Garante “guida” le utenze

L’argomento cloud computing, oggigiorno, è sulla bocca di tutti, e in termini generalmente entusiastici. Ma davvero il cloud rappresenta la soluzione più adatta e sicura per la gestione dei dati di enti pubblici e aziende? In pochi sinora hanno saputo fornire una risposta a questa domanda. A smorzare l’ottimismo generale è intervenuto nei giorni scorsi il Garante della Privacy, rivolgendo un invito alla massima attenzione: a giudizio dell’autorità le “nuvole digitali” offrono sì concrete opportunità in termini di efficienza e risparmio, ma possono anche originare criticità e costi aggiuntivi. Per chiarire le idee a tutti i soggetti interessati (imprenditori, figure istituzionali, ma anche semplici curiosi), il Garante ha deciso di predisporre un agile prontuario, dal titolo “Cloud Computing – Proteggere i dati per non cadere dalle nuvole“. Una guida teorica e nel contempo pratica, utile strumento per prendere coscienza dei rischi legati al cloud, e così preparare i soggetti a una decisione consapevole per il trasferimento dei dati in possesso. Sfogliando le pagine si entra nel merito di ogni aspetto legato alla dimensione cloud: principali tipologie, modalità d’utilizzo, riferimenti normativi, criteri per la valutazione di costi-benefici, tutorial su casi concreti.

Leggi inadeguate, in arrivo nuovi pacchetti

Ma un vademecum non può bastare. Ci vuole dell’altro. Alla base di una generale confusione si evidenzia la lentezza degli adeguamenti legislativi. Di fatto, al momento manca un quadro documentale aggiornato, una lacuna che si fa sentire soprattutto in materia di protezione dei dati. La normativa europea è datata 1995, la direttiva sulla privacy elettronica risale al 2002. Fortunatamente, uno spiraglio di luce arriva dal “Pacchetto Telecom”, in fase di recepimento presso gli stati membri dell’UE. Sulla base del nuovo provvedimento le società telefoniche e gli Internet provider dovranno notificare alle autorità nazionali e, in alcune situazioni agli utenti, tutte le violazioni di sicurezza che comportino la distruzione, la perdita o la diffusione indebita di dati personali trattati nell’ambito della fornitura del servizio. Un ulteriore step in avanti per il cloud – e in genere per il settore delle telecomunicazioni – è programmato per il 2014, quando diverrà operativo il nuovo Regolamento generale sulla protezione dei dati proposto dalla Commissione Europea. La riforma riguarderà l’estensione dell’obbligo di notifica delle irregolari procedure a tutti i titolari del trattamento dati: banche, assicurazioni, enti locali, Asl. Le persone interessate verranno così informate senza ritardo della perdita o del furto dei loro dati.

Massima accortezza nei trasferimenti

In questa fase di passaggio il Garante suggerisce particolare attenzione. Come? Invitando a contrattare adeguate condizioni per la gestione dei dati trasferiti, in modo che siano sempre accessibili e riservati. L’interessato ha diritto di conoscere quali siano i dati che lo riguardano in possesso a terzi, per quale motivo siano stati raccolti e come siano stati gestiti.
Può richiedere una copia delle info personali che lo riguardano, il loro aggiornamento, la rettifica o l’integrazione. In caso di violazione di legge, può esigere anche il blocco, la cancellazione o la trasformazione in forma anonima di queste informazioni. Per soddisfare queste richieste, il cliente del servizio cloud deve poter mantenere un sicuro controllo non solo sulle attività del fornitore, ma anche su quelle degli eventuali sub fornitori dei quali il cloud provider potrebbe avvalersi.