“Le tecnologie cloud consentono di trattare e conservare i dati
su sistemi di server dislocati nelle diverse parti del pianeta e
sottoposti, nella loro inevitabile materialità, a molti rischi, da
quelli sismici a quelli legati a fenomeni di pirateria, non solo
“informatica”, p ad atti di terrorismo o a rivoluzioni
imprevedibili”. Così Francesco Pizzetti, Garante della Privacy,
nella relazione
annuale al Parlamento, dove ha presentato un documento che
mette in guardia le aziende dai rischi
connessi al cloud.
Il Garante nel suo discorso
fa poi un paio di esempi concreti, come quelli verificatisi nei
server di una grande società di servizi (Aruba), colpiti da
incidenti fisici di portata limitata, o i rischi di pericoli legati
alla perdita o al furto di enormi quantità di dati, come già si
è verificato in sistemi legati alla diffusione di giochi
elettronici (Sony).
Neutralità della rete, obbligo di denunciare le serious breachese,
necessità di ridefinire le responsabilità nell’ambito di catene
complesse di trattamento dati alcuni dei temi caldi in materia di
cloud, secondo Pizzetti, “le imprese e gli operatori a cui il
mercato offre questi nuovi servizi – ha aggiunto – pensano
soprattutto alla diminuzione di costi o alle opportunità di
costante ammodernamento che queste tecnologie consentano, prestando
scarsa attenzione al fatto che comportano la perdita del possesso
fisico dei dati e dei programmi operativi che utilizzano”.
Per il garante sono da valutare attentamente, ad esempio, le
clausole contrattuali per l'erogazione del servizio di cloud
con particolare riferimento ad obblighi e responsabilità in caso
di perdita, smarrimento dei dati custoditi nella nuvola e alle
conseguenze in caso di decisione di passaggio ad altro
fornitore.
È utile inoltre conoscere in quali nazioni sono conservati i
propri dati poiché vi sono forti implicazioni di natura legale in
caso di problemi o di disputa giudiziaria. Devono essere note anche
le misure di sicurezza adottate per proteggere i dati, come ad
esempio l'utilizzo di meccanismi di cifratura per la
memorizzazione o la trasmissione dei dati.
Occorre infine verificare se i dati sono conservati in formato
proprietario, rendendo così difficile una loro eventuale
esportazione, e controllare se i dati conservati dal fornitore
vengono cancellati dopo che il cliente ha deciso di interrompere il
servizio.
