E’ permesso utilizzare servizi Cloud?

Come evidenziato nell’incontro dal tema “Cloud computing, privacy e banche: le regole italiane – Senato” tenutosi il 22 aprile 2015 a Roma alla presenza del Garante della Privacy, i temi sulle garanzia delle misure minime e dei provvedimenti del Garante Italiano, adottabili ed adottati da Società che offrono Cloud a livello internazionale è molto discusso anche all’interno degli uffici del Garante.

Non essendo infatti possibile agire in maniera normativa, attraverso le leggi italiane, sulla politica internazionale delle società che offrono servizi e strumenti Cloud anche in paesi extracomunitari ed asiatici, l’unica soluzione adottabile a garanzia degli adeguamenti sono le regole contrattuali.

Risulta comunque difficile stabilire anche l’adattabilità di queste regole, in quanto si dovrebbe prevedere una gerarchia di deleghe contrattuali che permetta di risalire dal Cliente, che deve essere tutelato rispetto le leggi nazionali italiane, su su fino al fornitore ultimo degli strumenti e dei server. Tutto questo passando attraverso i fornitori dei servizi, quali Dropbox, Amazon, Google, etc.

In pratica l’utente dovrebbe firmare accordi che permettano a queste società di servizi, di contrattare a suo nome e per suo conto le regole con i fornitori dell’hardware e dei server.

L’utente finale italiano deve infatti rendere conto dell’utilizzo del Cloud per la memorizzazione dei dati personali e sensibili, davanti allo Stato Italiano, nel rispetto delle sue leggi.

Le leggi in questione permettono la memorizzazione dei dati personali solo su sistemi che adottino le misure minime di sicurezza previste dall’allegato tecnico B., qualora non siano necessarie misure idonee più severe, ed il rispetto dei provvedimenti emanati in questi anni dal Garante della Privacy come ad esempio: individuazione ed elenco degli amministratori di sistema, nomina a responsabili esterni per la fornitura in outsourcing di servizi informatici, log e conservazione dei log degli amministratori di sistema, verifiche periodiche del rispetto delle misure minime, divieto di memorizzazione di dati sanitari su dispositivi situati al di fuori del territorio nazionale, etc…

Resta quindi che mentre una persona fisica, utente ordinario, può usare strumenti come Dropbox o i servizi di storage di Amazon e Google, a cuor leggero, per chi invece memorizzi su questi dispositivi dati personali o sensibili, e quindi probabilmente ogni professionista o persona giuridica, deve riuscire ad ottenere l’opportuna gerarchia di garanzie contrattuali o probabilmente scegliere una soluzione italiana che rispetti l’adeguamento alla normativa nazionale sulla Privacy.

Chiaro che chi memorizzi dati personali o peggio sensibili, su dispositivi hardware o server, localizzati fuori dal territorio nazionale o addirittura in paesi asiatici, non richiedendo le opportune garanzie di adeguamento, dovrà rispondere penalmente alla magistratura italiana e ad aggravare le cose potrà rispondere in sede civile, dovendo risarcire le persone i cui dati non sono stati tutelati da misure minime od idonee, non potendo dimostrare l’effettiva adozione delle tutele.

Nell’incontro dal tema “Cloud computing, privacy e banche: le regole italiane – Senato” si è discusso riguardo:
“L’adozione di sistemi di cloud computing è sempre più diffusa – per gli evidenti vantaggi in termini economici e di prestazioni – anche in settori regolati come quello bancario. In particolare, sono spesso adottate soluzioni di public-cloud (o di cloud ibrido private-public) per servizi non “mission critical”, quali la posta (interna e/o esterna), le bacheche del personale, lo storage di archiviazione elettronica di documenti non sensibili. Rilevano, per la scelta dei servizi di cloud computing più opportuni, sia le regole stabilite da Banca d’Italia, in particolare con l’aggiornamento della Circolare 263 del 2006 aggiornata nel 2013, sia le prescrizioni generali alle banche formulate dal Garante per la protezione dei dati personali (cfr. Provvedimento 18 luglio 2013 e prec.). L’Istituto Italiano per la Privacy e la Valorizzazione dei Dati ha scritto e illustrerà in occasione del convegno uno studio-manuale sul tema, di taglio interpretativo e pratico, al fine di orientare giuridicamente la scelta di servizi e fornitori affidabili e, soprattutto, in grado di assicurare piena compliance alle banche italiane che intendano “migrare” verso soluzioni cloud.”

Sono intervenuti:

On.le Antonello Soro, Presidente Garante per la Protezione dei Dati Personali
Avv. Luca Bolognini, Presidente Istituto Italiano per la Privacy e la Valorizzazione dei Dati, Founding Partner Studio ICT Legal Consulting
Avv. Luigi Montuori*, Dirigente Dipartimento Comunicazioni e Reti telematiche Garante per la Protezione dei Dati Personali
Avv. Bianca Del Genio, General Counsel, Microsoft Italia
Avv. Laura Liguori, Comitato Scientifico Istituto Italiano per la Privacy e la Valorizzazione dei Dati, Partner Studio Portolano Cavallo
Avv. Rocco Panetta, Comitato Scientifico Istituto Italiano per la Privacy e la Valorizzazione dei Dati, Partner Studio NCTM
Avv. Giovanni Staiano, Responsabile del Settore Affari Legali di ABI – Associazione Bancaria Italiana.
Tutto questo come riportato dal Sito dell'”Istituto Italiano Privacy” e dalla Newsletter Periodica dell’Associazione.