GDPR - cloud service security

Quando un servizio Cloud é conforme al GDPR?

Cloud service e GDPR

Le grandi aziende lavorano, giustamente, con i sistemi ERP e memorizzano i loro dati in Cloud. Tuttavia, un lavoro efficace, rapido e conveniente potrebbe essere eseguito a discapito della sicurezza. Infatti, spesso i server su cui sono archiviati i dati nel cloud si trovano all’estero e, di conseguenza, non sono necessariamente soggetti alle rigorose condizioni europee sulla protezione dei dati. Ma questa è solo una delle cose importanti di cui devi essere a conoscenza riguardo gli obblighi del GDPR, quando lavori con il cloud.

Quali sono i requisiti necessari perché il cloud sia considerato sicuro e i servizi in cloud siano ritenuti conformi al GDPR?

Pro e contro del Cloud

Prima di esaminare quando un servizio cloud sia conforme al GDPR, diamo un’occhiata a cosa prevedete questo servizio. Se cosi tante persone amano lavorare con il cloud, deve anche avere molti vantaggi, giusto? Esistono anche svantaggi o rischi? E quali sono?

I vantaggi e gli svantaggi del cloud sono leggermente diversi tra utenti privati e utenti di grandi aziende. Poiché qui trattiamo le esigenze della tua azienda, ci limitiamo ad esaminare queste ultime. Ovviamente puoi risparmiare un sacco di soldi attraverso i servizi cloud in termini di servizi esterni, personale e hardware. Paghi mensilmente per i servizi cloud un importo pre-stabilito e calcolabile e inoltre non hai costi interni per la manutenzione o i server e il personale dedicato, perché tutto ciò viene effettuato dal fornitore del servizio cloud. In più, il tuo software è sempre aggiornato.

Lo svantaggio è che dipendi completamente dal fornitore, e che lui potrebbe distruggere il tuo lavoro, nel caso di una sua bancarotta. Anche in termini di servizio, devi sperare che tu possa sempre raggiungere qualcuno che ti aiuterà in caso di bisogno. Un altro problema potrebbe essere la connessione Internet. Se hai collegamenti mal funzionanti, la connessione diventa inaffidabile e senza dati non puoi lavorare.  Inoltre, non è chiaro se e quando sia necessario adeguare i tuoi sistemi IT al software del provider. Tuttavia, il rischio maggiore è la protezione dei dati, se il server si trova all’estero e non è vincolato dal GDPR.

Utile: anche il servizio Cloud deve essere conforme al GDPR

Non solo tu, ma anche il fornitore di cloud italiano o europeo è vincolato dal GDPR. Il suo servizio Cloud deve essere conforme al GDPR. Questo è un vantaggio per te perché il fornitore, per conto proprio, garantisce sia misure tecniche che organizzative di tutti suoi processi e, di conseguenza, anche i servizi Cloud proposti saranno conformi al GDPR. Se utilizzi un simile servizio cloud, allora sei dalla parte sicura.

A che cosa prestano attenzione i Cloud Provider?

Proprio come te, i servizi cloud devono prestare particolare attenzione all’articolo 5 del GDPR che stabilisce che gli interessati devono aver precedentemente acconsentito al trattamento dei dati personali. Inoltre, l’elaborazione deve essere cosi trasparente da essere comprensibile per le persone interessate.

In più, come da art. 32 del GDPR, i servizi cloud devono essere sempre all’avanguardia e aggiornati all’ultimo stato dell’arte. I fornitori cloud devono continuamente ottimizzare, migliorare e adeguare i loro programmi e processi per garantire il massimo livello di sicurezza.

Affinché gli utenti possano gestire il programma, il provider deve prestare attenzione ai termini di “Privacy by Design” e “Privacy by Default”. Questi obblighi sono previsti dall’articolo 25 del GDPR e significano che le impostazioni del programma devono essere non solo rispettose della privacy, ma anche di facile utilizzo. (Trovi informazioni dettagliate al proposito nel nostro articolo GDPR: una volta implementato, tutto a posto?“)

Chi è responsabile per l’elaborazione dei dati in Cloud?

Attenzione a non commettere l’errore di pensare che il servizio cloud abbia già sistemato tutto e che, nel caso, puoi biasimarlo per una violazione dei dati. Sfortunatamente non è così. Perché quanto a responsabilità, entrambi tu e il cloud provider siete tenuti a rispettare gli obblighi del GDPR. Ed è inoltre consigliato avere la conferma scritta da parte del provider del Cloud che il servizio sia conforme al GDPR.

Gli articoli 5, 28, 30 e 35 del GDPR comportano obblighi di responsabilità, secondo i quali l’utente del cloud è responsabile di garantire che tutti i requisiti regolamentati siano soddisfatti! E questo devi essere in grado di dimostrarlo già prima dell’utilizzo e/o trattamento. Ciò include, ad esempio, la registrazione dell’elaborazione dei dati in cloud nel tuo registro dei trattamenti. In caso di dubbi, è necessario verificare l’elaborazione in cloud mediante un’analisi dei rischi (valutazione dell’impatto sulla privacy) e implementare le misure di sicurezza adeguate affinché il rischio sia minimizzato.

Se vuoi utilizzare un servizio cloud, anche se a volte non accade semplicemente cosi, come utente del servizio devi indispensabilmente dare un mandato al provider del cloud affinché possa elaborare i dati personali dei tuoi clienti e fornitori (art. 28 GDPR). Tramite l’incarico per l’elaborazione dei dati puoi garantire che il fornitore del servizio cloud soddisfi anche i requisiti del GDPR. E, come parte integrante, il cloud provider ti deve fornire tutte le informazioni necessarie per dimostrare che sia adempiente a tutti gli obblighi.

Importante per te: lavora solamente con fornitori Cloud certificati!

Se stai cercando un fornitore adatto, assicurati di lavorare soltanto con un operatore cloud certificato. Sebbene tu possa fare molti accordi con il fornitore, non puoi essere sicuro che l’azienda di servizi si attenga agli accordi. È quindi utile se ti fai consegnare un certificato che dimostri che il servizio cloud ha superato “il processo di certificazione approvato ai sensi dell’articolo 42”. (Saprai di più sulla procedura nel nostro articolo “Codice di condotta e certificazioni di qualità per osservare gli obblighi del GDPR“)

Quali alternative ci sono al Cloud?

Nonostante il rischio, il nuovo Cloud è davvero una soluzione pratica. Esiste anche un encomiabile/lodevole servizio di scambio dati (iDGARD di Uniscon) che soddisfa i requisiti del GDPR.

Cloud security

Se invece non desideri utilizzare il servizio Cloud (con un operatore europeo si dovrebbe stare abbastanza al sicuro), allora in alternativa ti resta solo la chiavetta USB, dischi rigidi esterni oppure un cloud privato attraverso un’intranet aziendale.

Quello che dovresti utilizzare, caso per caso, dipende dalla tua azienda e dai tuoi processi. La soluzione scelta deve essere adatta e coerente per te, senza complicare i tuoi processi aziendali o mettere in pericolo la protezione dei tuoi dati. Tieni presente che le chiavette USB e i dischi rigidi esterni sono supporti di memorizzazione piuttosto a breve termine, su cui i dati non sono protetti in modo illimitato.

Affinché la protezione dei dati e il lavoro in cloud siano strettamente legati ai tuoi processi aziendali, il nostro team di esperti di WB Trade-it sarà lieto di aiutarti ad allineare le tue procedure e la tua privacy al GDPR.

Ricorda, lavorare in un Cloud conforme al GDPR non per forza deve essere più costoso rispetto ad un servizio non conforme. Tuttavia, alla tua attività ciò evita danni economici e di reputazione.

Hai ancora domande o dubbi?

Contattaci e insieme troviamo la soluzione più adatta alla tua attività. La prima consulenza è sempre gratuita e senza vincoli.