Ogni azienda sta ormai affiancando, come metodo di conservazione dei propri dati, al tradizionale faldone cartaceo, soluzioni tecnologicamente più avanzate. Il mercato digitale propone numerose offerte, che possono racchiudersi in due principali categorie: soluzioni in cloud e soluzioni in azienda (detta anche conservazione on-premise o ancora in casa).
Ti segnaliamo l'uscita dell’ultimo video di “diritto dell’informatica” proprio su questa tematica:
https://www.youtube.com/watch?v=A_IRYHw9a3gSarebbe pericoloso, tuttavia, valutare solo dal punto di vista economico le varie offerte, senza prestare estrema attenzione al bilanciamento che va operato tra i vantaggi di una gestione aziendale digitale e i rischi che questa può comportare.
Per un approfondimento sulla conservazione digitale consigliamo la lettura di questo articolo.
Cosa si intende per gestione dei dati su server in CLOUD?
Il termine cloud in riferimento all’archiviazione digitale viene pronunciato nel 2006 dall’allora amministratore delegato di Google, Eric Schmidt, secondo il quale si sarebbe in breve tempo arrivati all’accesso alle risorse da qualsiasi dispositivo, allocando su server la struttura ed i servizi che sarebbero stati necessari. Nel 2012, la Commissione Europea definì il cloud computing come “l’archiviazione, l’elaborazione e l’uso di dati su computer remoti ed il relativo accesso via Internet”. Il cloud si compone di una rete di server, all’interno della quale vengono conservati e gestiti i dati: è da qui che nasce il termine cloud, per dare l’idea di immaterialità propria di questo sistema. In realtà, l’infrastruttura hardware è necessaria tanto quanto le componenti software, per cui vi sarà sempre necessità di avere luoghi fisici identificabili (anche per connesse questioni legislative che a breve vedremo).
Trattare i dati direttamente in azienda
La gestione dei dati “in casa” (anche detta on premise) si verifica nel momento in cui i sistemi di archiviazione vengono mantenuti internamente all’azienda. Il cloud è tipicamente un processo di outsourcing (si delega infatti al Cloud Service Provider, che fornisce il servizio, la gestione), mentre con la gestione on premise è l’azienda stessa a dotarsi di un comparto IT tecnicamente capace di predisporre la struttura di gestione.
CLOUD, IN AZIENDA: PROBLEMI COMUNI
Entrambi i sistemi, al netto delle peculiarità, presentano delle criticità comuni che vanno necessariamente affrontate onde evitare successivi problemi giuridici. Vediamoli:
privacy by design e by default;
sicurezza del trattamento;
valutazione del rischio;
data breach;
istanze degli interessati;
business continuity;
scelta del responsabile del trattamento.
Privacy by Design e by default: cosa bisogna garantire a livello di privacy
Per privacy by design e by default si intendono due principi, introdotti con l’art. 25 del GDPR, secondo cui il titolare del trattamento deve valutare i rischi, per i dati, che siano inerenti alla propria attività prima di effettuare il trattamento (privacy by design), predisponendo le garanzie adeguate a garantire il rispetto dei principi di protezione dei dati (ad esempio, tramite pseudonimizzazione); le adeguate misure tecniche organizzative devono essere messe in atto per impostazione predefinita (privacy by default) così da permettere i principi di protezione dei dati (limitando l’accesso, ad esempio, solo a persone autorizzate).
La sicurezza del trattamento, cosa chiede il GDPR?
Il livello di sicurezza richiesto dall’art. 32 del GDPR nella predisposizione delle misure tecniche ed organizzative dev’essere quello adeguato a garantire un livello di sicurezza adeguato al rischio. Si noti come il GDPR non prescrive direttamente quali e quante azioni mettere in atto, lasciando dunque libero il titolare del trattamento di impostare le misure ritenute più adeguate. Lo stesso art. 32 cita tra le misure di sicurezza:
la pseudonimizzazione e la cifratura dei dati personali;
la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;
una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
L’obbligo di effettuare una valutazione del rischio
Gli articoli 35 e 36 del GDPR sono dedicati alla cd. valutazione d’impatto: il titolare ha l’obbligo di valutare preventivamente il rischio per i diritti e le libertà delle persone fisiche interessate dalle attività del trattamento; anche in questo in caso, sono richieste al titolare le misure adeguate che possano prevenire la realizzazione di eventi dannosi per i diritti e le libertà degli interessati.
Come gestire un Data Breach? (violazione dei dati)
Nel caso di violazione dei dati, il GDPR richiede che questa sia tempestivamente comunicata (entro 72 ore) al Garante per la Protezione dei dati personali, e qualora ci sia un rischio per i diritti e le libertà degli interessati. Al tempo stesso, il responsabile del trattamento deve informare quanto prima il titolare, ai sensi dell’articolo 28.
Per approfondire il tema del data breach e su come difendersi, segnaliamo questo articoloCosa fare in caso di contestazione o istanza di un interessato?
In ogni momento, che si sia devoluto in outsourcing il proprio sistema di gestione dati, o che questo sia in azienda, deve essere garantita la facoltà agli interessati di esercitare i loro diritti previsti dagli articoli 15 a 22 del GDPR: sono i diritti di accesso, portabilità, cancellazione, rettifica, ecc. Questi diritti devono essere esercitati senza ritardo e comunque entro 30 giorni dalla richiesta
Gestione dei dati e Business Continuity
Tra gli aspetti più rilevanti da valutare, tanto per un criterio di continuità operativa dell’azienda, quanto per essere GDPR compliant, è necessario valutare con attenzione come garantire la business continuity nell’evenienza delle più disparate situazioni. Sono centrali, da questo punto di vista, gli aspetti di sicurezza, indipendenza, garanzia di integrità del dato, dell’accessibilità agli stessi, della valutazione di appropriate tempistiche, nonché dell’analisi dei processi privacy che potrebbero impedirla, tra cui ad es. la pseudonimizzazione.
Come scegliere il responsabile del trattamento?
Il responsabile del trattamento è definito come quel soggetto che tratta i dati personali per conto del titolare del trattamento. Per questo motivo, è fondamentale che sia un soggetto con cui siano definiti con chiarezza modalità e compiti della gestione dei dati aziendali, anche tenuto conto che un’azienda nel trattare una grande quantità di dati di molti soggetti, può avere decine di responsabili per i più disparati trattamenti.
Cosa valutare nella scelta del CLOUD?
Se la scelta operativa ricade su un sistema di conservazione in cloud, le domande che occorre porsi dovrebbero essere:
- dove sono collocati fisicamente i dati? E’ noto infatti che un trattamento che riguardi dati dell’Unione Europea, a prescindere dalla loro collocazione geografica, deve seguire le regole del GDPR (la questione era già stata affrontata nell’approfondimento disponibile qui.). Il problema riguarda, piuttosto, la conoscenza esatta ed accurata della precisa collocazione fisica del dato, che può essere necessario per dimostrare la propria compliance, o per rispondere correttamente ad un’istanza di un interessato.
Il sistema prescelto offre trasparenza operativa? La trasparenza, sebbene non in modo espresso, è un obbligo trasversale imposto al titolare dal GDPR come corollario del principio di accountability. I contratti di fornitura di servizi cloud devono poter garantire la trasparenza necessaria al titolare per poter operare con la dovuta serenità, e garantire al tempo stesso i diritti previsti dal GDPR per gli interessati.
Sono tutelati i diritti del titolare? Come si è appena detto, il titolare dev’essere nelle condizioni di rispettare i numerosi obblighi che la disciplina privacy gli impone. Può accadere che determinati servizi di cloud, pur essendo “meri” responsabili del trattamento, finiscano per decidere gran parte delle modalità di gestione dei dati aziendali, liberandosi al contempo dalle annesse responsabilità.
Quando la conservazione dei dati in casa conviene di più?
Le peculiarità ed i vantaggi di un sistema di gestione del dato in azienda sono diversi: è sempre consigliabile, tuttavia, prestare particolare attenzione ad alcuni aspetti, tra cui risulta centrale quello della responsabilità: in primis, il titolare del trattamento ha in questo caso una sorta di responsabilità “totale”, data la maggiore difficoltà di valutare profili di corresponsabilità, ad esempio, con un responsabile esterno (come quello a cui si affida la gestione in outsourcing). Oltre a ciò, è indispensabile avere internamente all’azienda delle competenze capaci di gestire i continui profili di rischio che può presentare un sistema “in casa”, così come occorre una continua e costante formazione del personale su questo tema.
In definitiva chi vince tra server in CLOUD e in AZIENDA?
Non c’è dubbio che, tra gestione in cloud e in azienda, una scelta vada operata, alla luce dei vantaggi che queste tecnologie comportano. Il punto cardine risulta la valutazione che dev’essere concretamente fatta in base al tipo di dato che occorre gestire, alle potenzialità dell’azienda, alle sue necessità. È cruciale, in altri termini, operare un’attenta scelta dal punto di vista normativo per evitare di incorrere in sanzioni e per garantire che ogni soggetto e ogni informazione sia correttamente tutelata.
Affidarsi alle competenze di professionisti che da anni operano nel settore può essere la scelta ideale: è possibile contattare il nostro Studio Legale Partner FCLEX, chiedendo dell’Avv. Giuseppe Croari, per una consulenza ad hoc.