DATI PERSONALI E CLOUD COMPUTING: ORA LA NUVOLA HA IL SUO STANDARD

0
52

Lo scorso agosto l’ente di certificazione internazionale ISO ha pubblicato uno standard specificamente elaborato per i fornitori di servizi di cloud computing. Si tratta dell’ISO 27018, il primo ed unico al mondo nel suo genere, un set di regole costruito sugli standards ISO 27001 e 27002 per garantire il rispetto dei principi e delle norme privacy dettate dalla Direttiva 95/46/CE, da parte dei providers di public cloud che se ne dotano. L’ambizione dichiarata di questo standard è quella di rappresentare una risposta pratica – di privacy by design – alle principali questioni giuridiche, sia di natura legale che contrattuale, legate alla gestione dei dati personali in infrastrutture informatiche distribuite seguendo il modello del cloud pubblico.

Prima di addentrarci nell’analisi delle sue principali caratteristiche, è opportuna una breve digressione sui suoi predecessori, gli standard ISO 27001 e 27002, di cui lo standard in questione costituisce una “lex specialis”, in quanto muove dai principi e dalle procedure da essi presupposti.

Le basi dell’ ISO 27018: gli standards 27001 e 27002
Il 27001 è uno standard rivolto alle organizzazioni che intendano adottare una policy di gestione dei rischi dei propri sistemi IT (Information Security Management System, ISMS). Esso stabilisce una serie di requisiti generici che i possessori della certificazione sono chiamati ad avere affinchè le informazioni contenute nei propri sistemi IT possano essere ritenute al sicuro, ma non distingue gli enti certificati nè per natura, nè per dimensione.

Ad un livello maggiore di dettaglio si inserisce invece lo standard ISO 27002, attraverso il quale, a partire da un’analisi dei rischi specifici dei propri sistemi IT, gli enti certificati stabiliscono:

Controlli specifici di sicurezza, che possono essere tratti da quelli contenuti nello standard oppure sviluppati ex novo sulla base delle proprie esigenze, nel rispetto dello standard;
Elaborare le proprie linee guida per la gestione della sicurezza informatica.
L’ISO 27002 è lo standard da cui ISO 27018 parte e a cui esso rinvia, per quanto non specificamente disposto.

Perchè lo standard 27018
L’impiego di servizi di cloud computing è divenuto un irrinunciabile driver di efficienza per un grande numero non solo di imprese commerciali, ma anche di enti pubblici. A fronte della diffusione di questo modello computazionale, da qualche anno le autorità garanti dei dati personali hanno messo in guardia i titolari del trattamento di dati personali – tipicamente clienti di cloud provider più grandi e meglio organizzati sul piano economico, tecnico e legale – contro i rischi di scarsa trasparenza sulle modalità e sui soggetti che processano i dati, nonchè di perdita di controllo sui dati personali inviati in “nuvola”.

Scrivevano, infatti, i Garanti Privacy riuniti nel forum europeo Articolo 29, che «Affidando dati personali a sistemi gestiti da un fornitore di servizi cloud, i clienti rischiano di perdere il controllo esclusivo dei dati e di non poter prendere le misure tecniche e organizzative necessarie per garantire la disponibilità, l’integrità, la riservatezza, la trasparenza, l’isolamento , la portabilità dei dati e la possibilità di intervento sugli stessi». (Parere 5/2012 sul cloud computing, p.7).

Lo standard ISO 27018 si inserisce in questo scenario di rischio e introduce una serie di misure, procedure e controlli attraverso cui i providers di servizi cloud garantiscono il rispetto della direttiva europea sul trattamento dei dati personali, rassicurando i potenziali acquirenti circa la possibilità di controllare, sempre e in piena trasparenza, il processo subito dai dati personali entro i sistemi cloud del provider.

Lo standard consente inoltre ai potenziali acquirenti di verificare la posizione del venditore rispetto agli obblighi privacy, sia esaminando i documenti forniti da un certificatore terzo a seguito di audit 27001, oppure rivedendo la lettera periodica con cui l’ISO garantisce che gli enti certificati hanno implementato tutti i controlli previsti dallo standard 27018.

Questa procedura è stata espressamente consigliata dalle autorità garanti europee nel parere citato sopra: «La verifica o la certificazione indipendente effettuata da un terzo affidabile può essere uno strumento credibile per i fornitori cloud per dimostrare la conformità con gli obblighi posti a loro carico» (Parere 5/2012, p.24). Essa va dunque qualificata come una best practice che gioverà grandemente alla credibilità e reputazione dei fornitori cloud che se ne doteranno, in quanto sembra poter dare piena prova della conformità del provider certificato con i principi privacy sanciti dalla direttiva.

di Luca Bolognini, avvocato, Presidente dell’Istituto Italiano per la Privacy e la Valorizzazione dei Dati, founding partner ICT Legal Consulting – lucabolognini@istitutoitalianoprivacy.it

Comments

comments