Il Cloud Provider e la privacy dei dati
È bene distinguere l’utilizzatore del sistema Cloud da colui che invece fornisce il servizio Cloud. Quest’ultimo prende il nome di Cloud Provider. Il Cloud Provider, quindi, garantisce il servizio di memorizzazione e di manutenzione dei dati per conto dell’utilizzatore, ossia del cliente. Poiché il Cloud Provider ha in carico la conservazione dei dati e delle informazioni degli utenti, è inevitabile che sia divenuto oggetto di discussione del Garante della Privacy di tutti i Paesi. Necessario è individuare le misure di sicurezza e le modalità di trattamento da attivare nei riguardi dei dati personali dei clienti che fanno uso del servizio Cloud.
Obblighi del Cloud Provider alla custodia dei dati. E’ possibile conservare i dati in luoghi geografici diversi. Questo fatto fa sorgere problemi che riguardano:
- la normativa da applicare in caso di contenzioso tra utente e fornitore del servizio cloud;
- le disposizioni nazionali che riguardano il trattamento, la conservazione e la sicurezza dei dati.
La situazione diventa complessa nel caso in cui il Cloud Provider e l’utente non si trovino nella stessa area geografica, ma in Paesi differenti. Inoltre, va tenuto presente che gli obblighi di custodia non riguardano tutti i dati conferiti per la memorizzazione, ma solo quei dati riconosciuti come “dati personali”.
Obblighi del Cloud Provider alla sicurezza dei dati. Il Cloud Provider, in qualità di fornitore del servizio Cloud, ha il dovere di preservare la riservatezza, l’integrità e la disponibilità dei dati dell’utente che usufruisce del servizio Cloud. La dimensione e i confini di tale dovere sono in rapporto alla tipologia di servizio offerto e al tipo di regime contrattuale stabilito da entrambe le parti. Il Codice sulla Privacy – nel suo art. 34 – delinea le misure minime da adottare per garantire la sicurezza dei dati:
- autenticazione informatica;
- procedure di gestione delle credenziali di autenticazione;
- uso di un sistema di autorizzazione;
- aggiornamento periodico;
- protezione dei dati di fronte a trattamenti illeciti degli stessi o accessi non autorizzati;
- procedure per la custodia di una copia di sicurezza dei dati.