Richiedi informazioni

Dichiaro di aver letto l' informativa e, con specifico riferimento alle finalita', presto consenso al trattamento dei dati








Cloud e dati aziendali, gli impatti sulla privacy

Record di presenze al Privacy Day Forum 2015

Noi abbiamo parlato di: Cloud e dati aziendali, gli impatti sulla privacy

Ambiti legali-normativi (impatto sulla normativa privacy)

Ambiti analisi delle opportunità e rischi ( impatto sul business )

 

Il cloud computing ha diverse implicazioni sotto il profilo giuridico.

Lo sviluppo normativo non è avanzato di pari passo rispetto a quello tecnologico.

Si sono infatti riscontrate diverse lacune giurisprudenziali estremamente complesse ed articolate.

 

In questo complesso quadro, la valutazione deve tenere conto:

Codice in materia di protezione dei dati personali

Linee guida del Garante e successivi provvedimenti

Regolamento Europeo

nuova ISO/IEC 27018:2014

 

Il disposto dell’art. 29, co. 5, Codice Privacy cita:

“Il responsabile effettua il trattamento attenendosi alle istruzioni impartite dal titolare, il quale, anche tramite verifiche periodiche, vigila sulla puntuale osservanza delle disposizioni di cui al comma 2 e delle proprie istruzioni”.

Quindi, il rifiuto del responsabile di consentire la verifica periodica del titolare vale a nominarlo titolare.

 

L’art. 40 del Regolamento, disciplina il trasferimento dei dati. L’articolo sancisce che:

Il trasferimento di dati personali oggetto di un trattamento o destinati ad essere oggetto di un trattamento dopo un trasferimento successivo di dati personali da un paese terzo o un’organizzazione internazionale, compreso il trasferimento successivo di dati personali da un paese terzo o un’organizzazione internazionale verso un altro paese terzo o un’altra organizzazione internazionale, è ammesso soltanto se il responsabile del trattamento o l’incaricato del trattamento rispettano le condizioni indicate nel presente capo, fatte salve le altre disposizioni del presente regolamento.

 

L’art. 42, stabilisce i criteri, le condizioni e le procedure riferite all’adozione di una decisione di adeguatezza della Commissione. Nell’articolo si legge che “il trasferimento è ammesso se la Commissione ha deciso che il paese terzo […] garantisce un livello di protezione adeguato. In tal caso il trasferimento non necessita di ulteriori autorizzazioni”.

 

Nel Regolamento Europeo il delicato tema di responsabilità in particolare in merito all’adozione di tutte le misure di sicurezza nell’ambito dei servizi di Cloud Computing viene affrontato in maniera esaustiva, nell’articolo 22 in cui leggiamo:

 

1. Il responsabile del trattamento adotta politiche e attua misure adeguate per garantire ed essere in grado di dimostrare che il trattamento dei dati personali effettuato è conforme al presente regolamento.

2. Le misure di cui al paragrafo 1 comprendono, in particolare:

la conservazione della documentazione ai sensi dell’articolo 28;

l’attuazione dei requisiti di sicurezza dei dati di cui all’articolo 30;

l’esecuzione della valutazione d’impatto sulla protezione dei dati ai sensi dell’articolo 33;

il rispetto dei requisiti di autorizzazione preventiva o di consultazione preventiva dell’autorità di controllo ai sensi dell’articolo 34, paragrafi 1 e 2;

la designazione di un responsabile della protezione dei dati ai sensi dell’articolo 35, paragrafo 1.

3. Il responsabile del trattamento mette in atto meccanismi per assicurare la verifica dell’efficacia delle misure di cui ai paragrafi 1 e 2. Qualora ciò sia proporzionato, la verifica è effettuata da revisori interni o esterni indipendenti

 

Come evidenziato nell’Art. 29 Working Party, una certificazione effettuata da un terzo soggetto, può essere uno strumento accettato sia dal punto di vista del fornitore sia dal punto di vista dell’utente. Oltre agli standard ISO/IEC 27001 e ISO/IEC 27002 in materia di gestione della sicurezza delle informazioni, è nata la recente pubblicazione, da parte dell’International Organization for Standardization, di una nuova certificazione – l’ISO/IEC 27018:2014.

 

Infine abbiamo illustrato i benefici ed i rischi per le piccole medie imprese. Questa parte è stata estrapolata dal documento di The European Union Agency for Network and Information Security (ENISA)

© European Union Agency for Network and Information Security (ENISA), 2015

Cloud computing security risks and opportunities for SMEs April 2015