Oggi il cloud è una realtà e in molti casi una necessità, diversi fattori hanno spinto in questa direzione, tra questi: l’esigenza di molte aziende ed enti di non farsi carico dell’acquisto di hardware, talvolta molto costoso, e dei conseguenti costi per porre in sicurezza tanto gli strumenti quanto i dati che su di essi vengono elaborati.
Ne è risultata una spinta quasi “retrò” verso i cosiddetti “terminali stupidi” che un tempo facevano riferimento al mainframe e oggi si connettono alla “nuvola”.
Come spesso accade la semplificazione ha avuto la meglio su molte valutazioni di sicurezza che eravamo ormai soliti operare per porre in essere le misure che il quadro normativo vigente oppure le best practice, impongono.
Tuttavia, in molti si è fatta largo l’idea che l’affidamento di un servizio cloud, implicasse l’esternalizzazione delle problematiche di “sicurezza”, ribaltandole esclusivamente sui “cloud provider”, quali principali soggetti cui è demandato l’onere di proteggere e fornire un servizio “necessariamente” compliant. In realtà, osservando il fenomeno in termini legali, le ricadute sono molteplici.
Come considerazione di carattere generale, appare evidente che i servizi che oggi vengono forniti in cloud sopperiscono a esigenze pre-esistenti l’introduzione del cloud stesso, dunque permangono analoghe problematiche legali da affrontare, a cui se ne vanno ad aggiungere di nuove.
Limitando lo spettro delle osservazioni all’ambito IT, dal punto di vista di tutela dei dati personali occorrerà, per esempio, stabilire in quale posizione della “piramide” dei soggetti privacy, deve essere individuato il provider e questa operazione non potrà basarsi solo su convenienze di tipo pratico.
Altra necessità indifferibile è quella di verificare, ben prima di addivenire alla firma di un contratto, l’esistenza e la collocazione di una server farm e delle misure adottate a tutela dei dati in essa custoditi o, comunque, trattati.
Si pensi infatti che non sempre il provider in questione ha notorietà planetaria per cui, cercando tariffe e prestazioni competitive, non di rado si rischia di incappare in provider economici ma inadeguati al rispetto delle tutele imposte dal quadro normativo e dal livello di rischio che l’eventuale compromissione (intesa come perdita, furto, indisponibilità dei dati) delle informazioni potrebbe comportare.
Ecco allora che sorge un profilo estremamente importante, costituito dalla necessità di valutare con attenzione il cloud provider e creare i presupposti per poter effettuare delle verifiche periodiche sugli strumenti utilizzati e sulle misure adottate a protezione delle informazioni che vengono collocate sulla “nuvola” o che vengono trattate da soggetti terzi non individuati direttamente dal “titolare del trattamento”.
Naturalmente da questi elementi fondamentali ne discendono a cascata molti altri, partendo dalla “catena dei fornitori” via via fino all’imposizione di clausole standard a tutela dei dati e all’adozione di analisi di impatto rispetto al trattamento dei dati in paesi “extra UE”.
Infine, in riferimento agli accordi con i cloud provider, si rilevano aspetti legati alla vessatorietà di alcune clausole, alla tutela dei dati business sensitive (dunque non solo o non tanto “personali”) e alla business continuity nel caso in cui gli effetti del contratto vengano a cessare oppure l’azienda/ente fruitore del servizio intenda rivolgersi altrove.
