CivileDiritto della privacy

Il cloud computing come opportunità consapevole anche per gli avvocati

Diminuisce i costi, è flessibile e accessibile ovunque: è la rete internet e può offrire anche servizi per l’utilizzazione di software (SaaS), lo sfruttamento di piattaforme (PaaS) e lo sviluppo di infrastrutture (IaaS) sia in modalità pubblica che privata, in due parole è il cloud computing.

Tramite il cloud, “nuvola” in italiano, possiamo quindi gestire on line applicazioni e attività nonché memorizzare i dati on line anziché sul PC con l’indubbio vantaggio di potervi accedere in ogni luogo tramite una connessione internet.

I termini però non devono confondere: anche se la “nuvola” ci appare come a una sorta di gigantesco etere nel cielo, altro non è che uno spazio fisico (i dati e servizi dipendono sempre da un server) lontano dalla nostra casa, azienda o ufficio e gestito tramite la rete web.

Nelle discussioni sul cloud, gli scettici e i meno informati tendono a ridurre la questione in termini di minor sicurezza del cloud rispetto al classico server fisico ubicato all’interno dell’azienda o dell’ufficio.

In realtà, quando si parla di cloud, ragionare esclusivamente in termini di sicurezza non è corretto.

Ci sono altre questioni da tenere in considerazione, mentre la sicurezza dei dati allocati sul server, che sia ubicato nella nostra azienda o altrove, risponde sempre a ben definiti criteri di policy e protocolli di emergenza che possono essere assicurati a prescindere dall’esternalizzazione del servizio.

Ormai la maggior parte di noi si trova ad utilizzare il cloud in azienda, per lavoro o nel privato: lo utilizziamo quando consultiamo la posta elettronica via web oppure sfruttiamo software direttamente via internet o, ancora, quando salviamo i nostri file su spazi virtuali che ne permettono anche la condivisione.

Il problema è che il cloud viene utilizzato nella maggior parte dei casi senza la consapevolezza di quali siano le conseguenze di questo utilizzo e questo può significare solo una cosa: che così non potrà mai essere ritenuto affidabile dall’utente meno informato (o meno informatico) e ciò a prescindere dagli sforzi che sta facendo l’Europa, insieme a diversi fornitori cloud importanti, per assicurare qualche minima garanzia in materia (si veda in proposito la campagna Trusted Cloud Europe che si pone come obiettivi la diffusione di una cultura del cloud basata su regole europee finalizzate alla massima diffusione delle best practices in ambito contrattuale/normativo, tecnico e operativo).

L’approccio al sistema non cambia nemmeno quando si decide di trasferire sul cloud l’intero pacchetto dati professionale o aziendale e ciò è dimostrato dall’elevato numero di fornitori di servizi cloud che fanno stipulare ai propri clienti contratti basati su formulari essenzialmente poco adattabili al caso specifico.

Tuttavia, la promozione di un utilizzo consapevole del cloud ha enormi benefici sull’intero sistema e oggi più che mai, prima di affidare dati o servizi al cloud, si devono tenere in considerazione almeno i seguenti fattori: localizzazione dei server cloud, livelli garantiti di servizio (SLA), proprietà dei dati e dei contenuti, responsabilità del fornitore del servizio e, infine, cosa accade nel momento in cui non si vuole più usufruire di quel fornitore o semplicemente quest’ultimo non è più in grado di offrire il servizio.

Indipendentemente dal cloud che utilizziamo, quando questo comporta un trasferimento di dati in ambito professionale o di impresa si devono valutare i risvolti sulla privacy e ciò in stretta relazione a dove il nostro fornitore di cloud ha ubicato i server necessari allo storage. Nessuna questione se i dati rimangono in Europa data la presenza di una normativa che non impedisce la libera circolazione dei dati intra UE, anche se ciò dovrà essere esplicitato in un’eventuale informativa dovuta al cliente e dovremmo valutare i costi e i tempi di un’eventuale azione giudiziaria all’estero. Molti saranno invece i problemi, se i server sono dislocati extra UE. A norma del nostro Codice Privacy (art. 45 D.Lgs. 196/2003), infatti, tale trasferimento è vietato, salvo ovviamente consenso, eccezioni o autorizzazioni specifiche (tutte caratterizzate dalla necessità del trattamento), a meno che il Paese di destinazione non assicuri un livello di tutela adeguato perché magari è firmatario di trattati internazionali in materia di protezione dei dati personali (ad esempio il noto accordo Safe Harbor tra Stati Uniti ed Unione Europea che permette alle aziende americane che hanno aderito al Safe Harbor di essere considerate sicure nel trasferimento dei dati sotto il profilo della normativa comunitaria – l’ elenco completo può essere ricercato tramite questo link).

E infatti il punto di forza del cloud è che risulta indifferente la localizzazione del server rispetto al dato che potrà essere anche replicato in diversi Paesi per aumentarne l’accessibilità e la sicurezza. Ricordiamoci inoltre che opportune tecniche di ottimizzazione dei dati come la deduplicazione (che identifica dati ripetuti o ridondanti) potranno permettere di risparmiare sui costi connessi allo spazio su disco.

Diventa quindi fondamentale la possibilità di scelta del server che il nostro fornitore di servizi cloud ci può offrire.

Oltre a questo, si deve valutare che i profili di sicurezza e riservatezza offerti dal fornitore siano al pari di quelli che vorremmo o ci è normativamente imposto per il nostro settore completi di disponibilità di controllo degli accessi (in caso di licenziamento si deve tempestivamente poter bloccare l’accesso ai dati a quel dipendente). L’integrità e la disponibilità del dato ci dev’essere assicurata anche in termini di disaster recovery (non vorremmo certo stare senza dati per giorni, settimane o mesi) e i certificati di cifratura non dovrebbero essere esclusivamente nella disponibilità del fornitore del servizio come spesso oggi accade.

Occorre inoltre capire chi è il proprietario del dato una volta che viene trasferito sul servizio cloud perché i più comuni software rivolti prevalentemente ai consumer si riservano non pochi diritti su quanto trasferito. Ciò sarà poi strettamente legato alla regolamentazione dello scioglimento del rapporto con la restituzione di tutti i dati e la conseguente cancellazione di ogni traccia in merito.

Che cosa accade infine nel caso di perdita del dato, Il nostro fornitore, il nostro unico interlocutore o si avvale a sua volta di servizi di outsourcing? Potrà cedere i nostri dati personali?

Molte sono le domande che può comportare l’utilizzo consapevole del cloud e chi lo utilizza deve imparare a chiedere per poter eventualmente adeguarsi al servizio scelto: una piattaforma che non assicura la disponibilità del dato la potrà certo scegliere ma non per fare il backup di tutti i dati! E i fornitori di cloud devono abituarsi a rispondere, eventualmente modulando i contratti in maniera tale che possano essere garantiti diversi livelli di personalizzazione.

Infine, e ciò vale in ogni contesto, nella rete abituiamoci a utilizzare un minimo di precauzione per la protezione dei nostri dati e di quelli degli altri di cui abbiamo la disponibilità.

Oltre alla scelta di password poco scontate e abbastanza lunghe (ad oggi sembrano necessari almeno 13 caratteri composti da numeri, lettere maiuscole, minuscole e simboli) e ad impegnarci ad un cambio frequente delle stesse nonché ad una modalità sicura per la loro conservazione, abituiamoci a non trasferire dati appoggiandoci a reti wifi non sicure o aperte.

Un piccolo ulteriore accorgimento può essere quello di privilegiare i servizi che offrono metodi di strong autentication (almeno nelle versioni like) basati sull’associazione di almeno due fattori.

Ci sono servizi basati sul riconoscimento a mezzo tecnologia CNS (Carta Nazionale dei Servizi) che però ancora non possono essere utilizzati in mobilità.

In alternativa, si trovano oggi molti sistemi che si basano sul binomio “qualcosa che hai-qualcosa che sai” affiancando alla password anche un dispositivo che può essere anche un’applicazione che si lega direttamente al dispositivo stesso o utilizzando una tecnologia basata su sistemi di OTP (One Time Password) anche se un po’ meno sicura.

Infine, in attesa che anche in mobilità potremmo autenticarci in maniera univoca e sicura e/o la legislazione in materia di cloud sia più specifica e non solo frutto di accordi contrattuali, almeno cifriamo i dati prima di metterli on line con una chiave che sia solo sotto il nostro controllo: questo è un metodo che permette di superare diverse criticità della rete anche in presenza di mere adesioni contrattuali al cloud contenenti SLA non proprio garantistici. Ci sono anche delle applicazioni che permettono di interagire in tal senso rallentando in maniera insignificante il lavoro sui dati senza sacrificare il lavoro in mobilità.

Rimani sempre aggiornato sui nostri articoli e prodotti
Mostra altro

Valentina Carollo

Avvocato - Componente del Gruppo di Lavoro Fondazione Italiana per l'Innovazione Forense (FIIF) del Consiglio Nazionale Forense, Consigliera e Referente per l'Informatica del Consiglio dell?Ordine degli Avvocati di Rovereto (TN).

Articoli correlati

Lascia un commento

Back to top button