Cloud computing e tutela dei dati: il parere del Garante

Uno dei termini più usati, ultimamente, è sicuramente “cloud” (“nuvola”, in italiano). Con tale termine (in particolare con cloud computing) si fa riferimento a quell’insieme di tecnologie che permettono di utilizzare risorse hardware e software distribuite in remoto. In altre parole, l’approccio cloud permette a qualunque utente di appoggiarsi alle risorse macchina ed alle applicazioni software messe a disposizione su uno o più server remoti per effettuare molteplici tipologie di operazioni.

Applicazioni che funzionano in the cloud sono, ad esempio, Google Documenti che permette a tutti coloro che possiedono un account Google di elaborare documenti senza installare alcunché sul personal computer e fruendo di tutti gli strumenti tipici di un wordprocessor tradizionale dalla finestra del browser web. Parte del servizio Google Documenti (o Google Docs) sono “Fogli elettronici“, “Presentazioni“, “Disegni” e “Moduli“. Ciascuna applicazione consente di lavorare, online, su presentazioni, disegni e grafici oltre che su moduli creati in HTML. Lo stesso Gmail, se utilizzato via web, può essere considerato un servizio “in the cloud” dal momento che offre non soltanto funzionalià per la composizione, l’invio e la ricezione della posta elettronica ma anche per la sua gestione, organizzazione ed indicizzazione. Anche in questo caso, Gmail si pone come l’erede delle note “webmail” mettendo nelle mani dell’utente numerose funzionalità in più.

Un altro esempio di servizio cloud è Microsoft Office 365: completamente fruibile dal browser web, si tratta di una suite per l’ufficio che rispecchia i tempi che cambiano. Sino a qualche tempo fa impegnata esclusivamente nello sviluppo di applicazioni desktop, Microsoft si sposta così anche sul web proponendo una soluzione che ambisce a rivaleggiare con Google Docs. Chi volesse approfondire, può fare riferimento a questo articolo: qui abbiamo illustrato tutte le principali caratteristiche di Office 365.

Adobe ha addirittura messo a punto un servizio “in the cloud” che permette di effettuare operazioni di fotoritocco sui file digitali: lo strumento è stato infatti battezzato Photoshop Express Editor.

Alcune aziende hanno approntato servizi per l’hosting di file di qualunque genere (si pensi a Google Drive, lanciato di recente; a Dropbox; a Wuala; a Box.com; a Comodo Online Storage e così via) e gli stessi sviluppatori di software antivirus ed antimalware si sono orientati sull’approccio cloud come soluzione efficace per l’individuazione e la rimozione delle minacce più nuove. Anziché poggiare sui tradizionali database delle firme virali (o comunque non soltanto su di essi), i produttori delle principali soluzione per la sicurezza stanno spostando l’intelligenza “in the cloud“: grazie ad un costante dialogo tra client e server, gli esperti delle varie aziende specializzate nella lotta contro il malware possono individuare i primi esemplari di nuove minacce comparse in Rete e mettere immediatamente a disposizione della comunità dei clienti gli strumenti per la rimozione automatica delle infezioni.

Il concetto di cloud, così in voga al giorno d’oggi, è comunque un termine utilizzato per meglio riferirsi a qualcosa che già esisteva anche in precedenza. I fornitori che mettono a disposizione dello spazio per allestire un sito web non offrono forse una sorta di servizio “in-the-cloud“? Certamente sì. In questo caso, il servizio che viene messo a disposizione del cliente è chiamato, dalla notte dei tempi, hosting ma, in definitiva, l’approccio non cambia. L’utente, che ha sottoscritto un contratto con il provider, carica i suoi file su un server remoto e li rende accessibili attraverso la rete Internet.
Il cloud utilizza la medesima filosofia: c’è sempre un fornitore del servizio (il cloud provider) e ci sono dei dati che vengono conservati su un server (o su un insieme di essi) disponibili ed accessibili in remoto. Un servizio cloud, tuttavia, viene già cucito in base alle esigenze dell’utente: questi può usare un’applicazione remota, installata sui server del cloud provider, che consente di assolvere ai compiti più disparati oppure un insieme di risorse software.

I servizi in-the-cloud sono visti, anche in Europa, come una delle più importanti innovazioni tecnologiche, soprattutto in ottica collaboration (più persone, residenti anche a migliaia di chilometri l’una dall’altra, possono cooperare ad uno stesso progetto senza la necessità di scambiarsi continuamente file attraverso la posta elettronica, la messaggistica istantanea od altri strumenti) e di una continua disponibilità dei dati (si può evitare di portare con sé, durante i propri spostamenti, unità di memorizzazione esterne, chiavette USB e così via): ogni volta che si avrà a disposizione una connessione Internet, si potrà accedere ai propri dati.

I detrattori dei servizi cloud, comunque, ci sono. Richard Stallman, attivista americano del movimento del software libero, hacker e programmatore, per esempio, si è sempre strenuamente schierato contro la filosofia cloud criticandola aspramente. Le eccezioni più frequentemente sollevate riguardano infatti la continuità dei servizi (leggasi affidabilità), la loro sicurezza e le politiche di tutela dei dati personali.

Il consiglio migliore consiste sempre nel muoversi con la massima cautela. Quando si caricano dei file “sulla nuvola”, decidendo di utilizzare uno dei tanti servizi oggi disponibili sul mercato, è sempre bene proteggerli non affidandosi ciecamente, quindi, ai propositi ed alle dichiarazioni d’intenti del cloud provider.

È quindi sempre bene che il “proprietario dei dati” si attivi per proteggerli adeguatamente. È opportuno, insomma, che – come regola generale – da applicare sicuramente al cloud ma non solo ad esso, si provveda a mettere in sicurezza i dati all’origine non limitandosi ad un “atto di fede” nei confronti del fornitore del servizio. Un’idea, quindi, potrebbe essere quella di salvare i dati “sulla nuvola” in forma cifrata: in questo articolo, ad esempio, abbiamo spiegato come utilizzare il noto software TrueCrypt per creare un volume crittografato sui server di un cloud provider.

Le indicazioni del Garante Privacy italiano

Nel dibattito sulla sicurezza dei servizi “in the cloud” si è inserito anche il Garante Privacy che ha pubblicato un “vademecum” contenente una serie di indicazioni valide per tutti gli utenti ma, in particolare, per imprese ed amministrazioni pubbliche per un utilizzo più “ragionato” degli strumenti disponibili “sulla nuvola”. “L’obiettivo è quello di far riflettere su alcuni importanti aspetti giuridici, economici e tecnologici in un settore in velocissima espansione“, si legge nella presentazione dell’opuscolo “e di promuovere un utilizzo corretto delle nuove modalità di erogazione dei servizi informatici“.
Il Garante riconosce come il “cloud computing” possa offrire soluzione concrete per gestire molteplici attività con efficienza e possibili risparmi. L’adozione di tali strumenti, tuttavia, presenta “criticità e rischi per la privacy di cui è bene tenere conto. Prima di esternalizzare la gestione di dati e documenti o adottare nuovi modelli organizzativi è necessario porsi alcune domande, scegliendo con cura la soluzione più sicura per le attività istituzionali o per il proprio business“.

Molto interessante è la parte del “vademecum” (scaricabile, in formato PDF, cliccando qui) che offre un excursus sul quadro normativo nazionale ed internazionale.

Si ammette, in primis, che le disposizioni legislative sono veramente molto vecchie: la normativa europea sulla tutela dei dati personali risale addirittura al 1995, un’era geologica quando si parla di tecnologie informatiche e, soprattutto, di Internet. A parte il “pacchetto Telecom”, del quale si è parlato anche nelle scorse ore, le prime vere novità in materia di tutela dei dati dovrebbero arrivare solo nel 2014 quando sarà approvato un Regolamento europeo il quale supererà l’attuale Codice della Privacy italiano.

Sintanto che il nuovo Regolamento non entrerà in vigore, il Garante spiega che l’azienda o la pubblica amministrazione ““titolare del trattamento” dei dati
personali, che trasferisce del tutto o in parte il trattamento sulle “nuvole”, deve procedere a designare il fornitore dei servizi cloud “responsabile del trattamento”. Questo significa che il cliente dovrà sempre prestare molta attenzione a come saranno utilizzati e conservati i dati personali caricati sulla “nuvola”: in caso di violazioni commesse dal fornitore, anche il titolare sarà chiamato a rispondere dell’eventuale illecito“. Secondo il Garante non saranno scusabili nemmeno le realtà più piccole qualora si giustificassero adducendo come scusa l’impossibilità di raggiungere un responsabile del servizio cloud con lo scopo di negoziare clausole contrattuali o modalità di controllo dei dati. “Il cliente di servizi cloud, infatti, può sempre rivolgersi ad altri fornitori che offrono maggiori garanzie, in particolare per il rispetto della normativa sulla protezione dei dati“, aggiunge il Garante.

Il “vademecum” del Garante Privacy chiarisce che il Codice vieta di trasferire dati personali fuori dall’Unione Europea, anche a titolo temporaneo, “qualora l’ordinamento del Paese di destinazione o di transito dei dati non assicuri un adeguato livello di tutela. (…) Per le sue valutazioni il titolare del trattamento (in genere chi acquista servizi cloud) dovrà quindi tenere in debito conto anche il luogo dove vengono conservati i dati e quali sono i trattamenti previsti all’estero“. La parola chiave da tenere presente è “Safe Harbor” (porto sicuro, in italiano): il trasferimento dei dati verso gli Stati Uniti può essere facilitato nel caso in cui il cloud provider aderisca ad un tale programma di protezione dei dati. Il “Safe Harbor” è infatti un accordo bilaterale fra Unione Europea e Stati Uniti che definisce regole sicure e condivise per il trasferimento dei dati personali effettuato verso aziende
presenti sul territorio americano.
Spetterà comunque sempre al titolare del trattamento dati verificare che le informazioni siano sempre accessibili, riservate e che siano assicurati i diritti di coloro che le conferiscono.

“È vero che il cliente spesso non ha capacità di negoziare una riformulazione dei “term of use” proposti da chi offre i servizi: può però scegliere tra differenti provider“. Prima di rivolgersi ad un cloud provider, quindi, il Garante consiglia di esaminare attentamente le misure di sicurezza adottate dal fornitore del servizio, di stabilire chi è il reale fornitore del servizio che si sta acquisendo, di raccogliere informazioni sulla disponibilità del servizio e sui piani di emergenza, sull’eventualità che i dati possano andare perduti, sulla garanzie di riservatezza, sulla collocazione dei server, sulla possibilità di migrare altrove tutte le informazioni o parte di esse, sulle eventuali assicurazioni danni.

Per chi volesse approfondire, suggeriamo di prelevare e consultare il “vademecum” redatto dal Garante Privacy facendo riferimento a questo link.