Verificare la conformità dei servizi Cloud: il self assessment è possibile?

Diverse Autorità di controllo hanno da tempo avviato campagne ispettive con focus sull’uso del cloud da parte di enti pubblici e privati. Fra queste troviamo l’Autorità Garante danese (Datatilsynet), la quale, per fugare i dubbi derivanti dall’applicazione del GDPR in tale contesto, ha pubblicato, a inizio anno, una guida sull'uso dei servizi Cloud; in seguito, il primo di agosto, un questionario per i titolari del trattamento dei dati che ricorrono a tali servizi.

Identificare i servizi di cloud computing 

Il cloud computing consiste in una serie di tecnologie e modelli di servizio incentrati sull’uso e sulla fornitura di applicazioni informatiche, di spazio di memoria / archiviazione, nonché di capacità di elaborazione, sulla base di Internet. Tale definizione è tratta dalle Linee guida del gruppo di lavoro ex art. 29 – “WP29” (oggi European Data Protection Board) sul cloud computing. Una definizione più completa e “tecnica” ci viene fornita dal NIST (il National Institute of Standards and Technology statunitense), che si riferisce al cloud computing come ad “un modello per abilitare, tramite la rete, l’accesso diffuso, agevole e a richiesta, ad un insieme condiviso e configurabile di risorse di elaborazione (ad esempio reti, server, memoria, applicazioni e servizi) che possono essere acquisite e rilasciate rapidamente e con minimo sforzo di gestione o di interazione con il fornitore di servizi”. 

Da quest’ultima definizione si evincono gli importanti vantaggi, anche sul piano economico, del ricorso ai servizi cloud: tramite Internet è infatti possibile configurare, espandere e accedere a risorse su richiesta con molta facilità. Oltre ai vantaggi economici, il cloud computing può anche offrire vantaggi in termini di tecnologie a disposizione, in quanto piccole e medie, possono acquistare, ad un costo marginale, tecnologie avanzate che altrimenti non sarebbero alla loro portata. Il beneficio si estende anche alle misure di sicurezza tecniche implementate, a garanzia della continuità dei servizi forniti dai CSPs (Cloud Service Providers). Tali servizi, fra l’altro, sono molto diversificati e spaziano da sistemi elaborativi virtuali, servizi di supporto allo sviluppo e per l’hosting evoluto delle applicazioni, sino a soluzioni software rese disponibili in modalità web che sono sostitutive delle tradizionali applicazioni installate sui computer degli utenti finali.

La diffusione del cloud computing come paradigma tecnologico globale rappresenta una sfida per la protezione dei dati personali: agli inconfutabili vantaggi si abbinano delle evidenti criticità.

Quali aspetti critici 

Malgrado i vantaggi riconosciuti al cloud computing in termini economici / di sviluppo del business e sociali, la diffusione su vasta scala di tali servizi comporta una serie di rischi per la protezione dei dati personali. La maggior parte di questi rischi e criticità, sono insiti al modello stesso di cloud computing per definizione e di outsourcing dei servizi informatici. 

In particolare, è possibile individuare due macrocategorie di aspetti critici: 

1. La mancanza di controllo sui dati;
2. La carenza di informazioni concernenti il trattamento stesso (assenza di trasparenza), in merito alle modalità, al luogo e all’esecutore del trattamento/subtrattamento dei dati.

La mancanza di controllo sui dati può manifestarsi in diversi modi: 

• Carenza di riservatezza, dovuta al possibile accesso ai dati da parte di autorità extra SEE/UE
• Carenza di integrità, dovuta alla condivisione di risorse e al possibile sviluppo di conflitti d’interesse fra le parti
• Carenza di disponibilità del servizio, dovuta ai vincoli che possono derivare dal fenomeno del cd. lock-in tecnologico ad un determinato fornitore
• Scarsa possibilità di intervento da parte del titolare del trattamento dei dati, dovuta alla complessità e alle dinamiche della catena di esternalizzazione (outsourcing del servizio)

Per quanto riguarda la mancanza di trasparenza, questa si manifesta in relazione alle informazioni fornite agli utenti dei servizi cloud. Sovente queste informazioni risultano insufficienti, in quanto incomplete di informazioni essenziali sui soggetti coinvolti (fornitori e sub fornitori); sull’ubicazione dei dati trattati in località geografiche diverse dal SEE; sul diritto applicabile in caso di trasferimenti; sulle misure di sicurezza tecniche e organizzative applicate e sulle misure di salvaguardia in caso di trasferimenti; etc.

Sicurezza, trasparenza e certezza giuridica per i clienti dovrebbero essere principi fondamentali alla base dell’offerta di servizi di cloud computing. Non sempre, purtroppo, è così. Per tale ragione, imprese e amministrazioni che intendono utilizzare servizi di cloud computing dovrebbero innanzitutto effettuare un’analisi della conformità privacy del provider ed un’analisi del rischio, completa e approfondita, derivante dal ricorso al servizio offerto.

La valutazione della conformità privacy

Il Datatilsynet, nelle Linee guida pubblicate a marzo 2022, fornisce una panoramica delle insidie, delle opportunità e degli obblighi che sorgono quando si utilizzano le tecnologie di cloud computing. Secondo l’Autorità danese, l’analisi della conformità privacy dovrebbe comprendere sia una valutazione del rischio relativo al trattamento nei confronti dei diritti e delle libertà delle persone fisiche interessate, sia una valutazione della sicurezza. 

• La valutazione del trattamento dovrebbe considerare, in particolare, i principi di privacy by design e di privacy by default, verificando aspetti come la tipologia e la mole di dati raccolti, nonché il rapporto con il Cloud Service Provider, anche attraverso l’analisi delle condizioni contrattuali relative al servizio fornito.
• La valutazione della sicurezza dovrebbe considerare le misure tecniche implementate dal CSP per garantire che il trattamento sia conforme al GDPR ed agli standards che consentono di minimizzare il rischio e tutelare i dati gestiti. Questo tipo di controllo può svolgersi esaminando la documentazione tecnica fornita (generalmente sottoforma di allegati alle condizioni contrattuali).

Secondo la Data Protection Authority danese, Il titolare dovrebbe verificare i seguenti punti:

1. Il Cloud Service Provider, in base all'accordo sul trattamento dei dati, ha l'obbligo di trattare i dati personali solo su vostre istruzioni documentate o il CSP si riserva il diritto di trattare i dati personali per i propri scopi? 
2. Il CSP dispone di politiche e procedure per garantire che i suoi dipendenti incaricati al trattamento si siano impegnati alla riservatezza e può dimostrare che questi obblighi siano rispettati?
3. Il CSP - tenendo conto della ripartizione delle responsabilità le parti - ha stabilito un livello appropriato di sicurezza del trattamento in relazione alle attività di trattamento che gli sono state affidate?
4. Il CSP dispone di una procedura per lo screening di eventuali subfornitori, al fine di assicurare che tutti gli altri soggetti coinvolti nel trattamento siano in grado di rispettare i requisiti di protezione dei dati imposti dal GDPR?
5. La procedura di cui sopra prevede una scadenza per la comunicazione da parte del CSP al titolare del trattamento della documentazione relativa alla selezione di nuovi subfornitori? 
6. L'eventuale accordo con i subfornitori riflette gli stessi requisiti/obblighi che saranno imposti al CSP, in qualità di responsabile del trattamento dei dati, da parte vostra?
7. Il CSP dispone di una panoramica completa / di una mappatura dei subfornitori di cui si dota per l’erogazione dei propri servizi? La mappatura è completa dell’indicazione relativa ai Paesi in cui si trovano tali subfornitori, in particolare se al di fuori dell'UE/SEE? In caso di trasferimenti extra UE/SEE, il CSP ha predisposto uno strumento di trasferimento efficace per l'attività di trattamento che gli è stata affidata? 
8. In relazione all'attività di trattamento affidata, il CSP dispone di procedure per assistervi nella gestione delle richieste degli interessati ai sensi del Capo III del GDPR?
9. Il CSP dispone di procedure per la gestione delle violazioni dei dati personali (data breaches) e tali procedure includono l'assistenza del CSP al titolare, in relazione all'obbligo di notifica delle violazioni dei dati personali all’Autorità competente? 
10. Il CSP è in grado di cancellare o restituire i dati personali al termine dell'operazione di trattamento?
11. Il CSP dispone di una procedura per assistervi nei vostri audit o per lo svolgimento di verifiche da parte di terzi indipendenti, come ad esempio i revisori dei conti?

Un questionario per adeguarsi

Facendo seguito alle sopracitate Linee guida di marzo, l’Autorità Garante danese ha pubblicato, lo scorso primo di agosto, un questionario. Il questionario copre la maggior parte delle questioni che i titolari del trattamento dei dati devono conoscere quando ricorrono al cloud. Può quindi supportare nella verifica della conformità alle norme sulla protezione dei dati. 

Nel questionario della DPA danese, i titolari del trattamento dei dati sono intervistati in cinque aree: conoscenza dei propri servizi, conoscenza dei trattamenti svolti, conoscenza del fornitore di servizi cloud, supervisione dei fornitori e trasferimento dei dati verso Paesi terzi.

Un quadro normativo complesso e in divenire 

L’Autorità Garante danese non è la prima a fornire indicazioni in merito all’uso conforme dei servizi di cloud computing. In passato, altre Data Protection Authorities hanno pubblicato raccomandazioni, con lo scopo di chiarire quali aspetti vadano necessariamente considerati per evitare di incorrere in sanzioni. Purtroppo, il complessivo quadro giuridico è ampio ed in buona parte ancora in fase di definizione. La cornice normativa in materia di data protection è stabilita dal GDPR e dettagliata da molteplici pareri e Linee guida, fra cui si citano, fra tutti: 

• Il vademecum del Garante privacy sul cloud computing, 2012;
• Le indicazioni del Garante privacy per l’utilizzo consapevole dei servizi cloud, 2016;
• Il parere 05/2012 del WP29 (Gruppo di lavoro ex art. 29, ora EDPB) sul cloud computing;
• I documenti dell’ENISA “Cloud Computing Risk Assessment”, 2009, ed il più recente “Cloud Security for Healthcare Services”, 2021 (specifico per il settore sanitario).

Inoltre, torna utile segnare che, di recente, in ambito pubblico l’AgID ha sottoposto al Garante lo schema di regolamento (di cui all’art. 33-septies, d.l. 18 ottobre 2012, n. 179, convertito, con modificazioni, dalla l. 17 dicembre 2012, n. 221, e come ulteriormente modificato dall’art. 7, comma 3, d.l. 6 novembre 2021, n. 152) concernente la definizione dei livelli minimi di sicurezza, capacità elaborativa, risparmio energetico e affidabilità delle infrastrutture digitali per la P.A.

A livello europeo l’EDPB ha adottato due pareri favorevoli, ai sensi dell’art. 64 del GDPR, sui primi due progetti di decisione riguardanti codici di condotta volti a fornire orientamenti pratici e a fissare requisiti specifici (alla luce dell’art. 28 del GDPR) per i responsabili del trattamento che forniscono servizi cloud all’interno dell’UE. Infine, è in corso di discussione lo schema di certificazione europea per la sicurezza informatica dei servizi cloud (EUCS - European Cybersecurity Certification Scheme for Cloud Services) sviluppato da ENISA in attuazione del regolamento UE 2019/881 sulla cybersicurezza.

È davvero possibile il self assessment?

Considerando il quadro giuridico applicabile ai servizi cloud, complesso ed in costante evoluzione, risulta piuttosto evidente come un’autovalutazione circa l’effettiva conformità dei trattamenti svolti tramite servizi cloud è possibile solo se, alla base, vi è il giusto livello di consapevolezza e formazione. Proprio per tale ragione, all’interno del nostro corso di alta formazione vi è una sezione dedicata al cloud computing, costantemente aggiornata considerando le più recenti fonti normative applicabili.

Se sei interessato a formarti ed approfondire il tema ti invitiamo ad iscriverti al nostro Corso di Alta Formazione in partenza il 21 settembre 2022.