Mancano pochi mesi al termine del periodo di grazia richiesto al Garante della Privacy per controlli e verifiche sulla conformità al GDPR delle Aziende, PMI e Hotel compresi. L’utilizzo dei servizi Cloud è utile, comodo e sempre più diffuso, tuttavia è necessario preoccuparsi della loro conformità al Regolamento UE 679/2016 (GDPR) questione spesso trascurata. UNI l’Ente Italiano di Normazione ha emanato nel 2018 delle linee guida in particolare anche sull’argomento dei servizi Cloud, che riportiamo in sintesi:
…
23.3 CLOUD
Il cloud computing è oggi ritenuto una metodologia moderna e sufficientemente flessibile per supportare la quasi totalità dei fabbisogni in ambito ICT …
Vista la complessità e le molteplici offerte tecniche di infrastruttura cloud, questa scelta dovrebbe essere preceduta sempre da una attenta analisi dei requisiti e dall’individuazione degli obblighi e degli adempimenti previsti dal GDPR per una data attività.
Ai fini della progettazione di un servizio digitale conforme alle normative di cui al GDPR si dovrebbe porre, inoltre, particolare attenzione anche alla ripartizione dei ruoli e responsabilità tra i diversi attori quali: il titolare, il responsabile e l’interessato, in quanto affidando i dati personali a sistemi gestiti da un fornitore di servizi cloud i clienti rischiano di perdere il controllo esclusivo dei dati e di non poter adottare le misure tecniche e organizzative necessarie per garantire: la disponibilità, l’integrità, l’autenticità, la riservatezza, la portabilità e l’isolamento dei propri dati da quelli di altri clienti.
23.4 ATTIVITÀ DI VIGILANZA
Nella relazione tra cliente e fornitore di un servizio cloud è necessaria una stipula di un contratto al fine di regolare compiti e responsabilità in riferimento almeno agli adempimenti legati al GDPR o almeno la verifica di conformità dei contratti posti in essere dal fornitore …
Il contratto di servizi cloud può essere considerato affine a un contratto di outsourcing riguardo a esternalizzazione, centralità, qualità, costi, efficienza e complessità del contratto del servizio …
… in sostanza è il fornitore del servizio di cloud a dettare modalità di erogazione e policies del servizio.
Porre quindi molta attenzione nella scelta di una soluzione cloud se dopo l’analisi dei requisiti di cui al GDPR per la nostra attività si configurano particolari obblighi e responsabilità per la protezione dei dati.
Vale la pena ricordare in conclusione che il GDPR vieta, in linea di principio, il trasferimento “anche temporaneo” di dati personali verso uno Stato extraeuropeo, qualora l’ordinamento del Paese di destinazione o di transito dei dati non assicuri un adeguato livello di tutela, il titolare del trattamento dovrà quindi tenere in debito conto anche il luogo dove vengono conservati i dati e quali sono i trattamenti previsti all’estero