About

La mia foto

Siamo consulenti in ambito privacy, normativa videosorveglianza, protezione dati. Abbiamo al nostro interno consulenti certificati TUV e facciamo parte della Consulta UNICT presso Unione Industriali Parma

lunedì 25 giugno 2012

Cloud e Privacy

Alcune aziende stanno incrementando i servizi di Cloud computing riducendo gli investimenti necessari all'innovazione dell'infrastruttura informatica.
Non  sono da sottovalutare però alcuni dubbi ed incertezze che limitano l’uso di questo modello tecnologico. In particolare si pensa al controllo diretto della gestione del patrimonio informativo aziendale e di dati sensibili personali.
Il Garante della Privacy ha di recente pubblicato un documento in cui mette in evidenza
aspetti che le aziende, prima di adottare servizi di cloud computing, non possono non considerare nel rispetto del trattamento dei dati personali, .
Primo fra questi, è la dislocazione delle diverse infrastrutture che ospitano i dati dell’azienda che potrebbe rappresentare un ostacolo alla possibilità di conoscere esattamente dove questi sono ubicati. Per di più i dati potrebbero trovarsi anche in Nazioni differenti da quello in cui si trova l’azienda, soggetti quindi ad una differente giurisdizione.
Le aziende non sono esonerate dalle loro responsabilità legali in merito al trattamento dei dati personali. La responsabilità di assicurarsi che il fornitore di servizi cloud tratti i dati nel rispetto della Legge e delle finalità del trattamento, resta a carico dell’azienda e, nel caso di trattamento illecito o diffusione incauta, ne dovrà rispondere direttamente.

Il Garante della Privacy raccomanda di:
• verificare l’affidabilità e competenza del fornitore;
• controllare l’effettiva allocazione fisica dei dati;
• disporre di servizi che favoriscono la portabilità dei dati e la loro disponibilità in caso di necessità;
• esigere dal fornitore opportune garanzie in merito alla sicurezza dei dati e delle tecniche di
trasmissione oltre alla gestione di situazioni critiche che possono comprometterne la corretta conservazione;
• stabilire in fase contrattuale i Service Level Agreement a cui riferirsi, le penali previste e i tempi di
conservazione dei dati dopo la scadenza del contratto.

Bisogna assicurarsi inoltre che il fornitore utilizzi tecniche di trasmissione sicure, con connessioni
cifrate che servono a garantire la riservatezza di dati sensibili personali, oltre all’utilizzo di
meccanismi di identificazione del personale autorizzato ad accedere ai dati stessi.

Inoltre, sempre nell’ottica di fronteggiare eventuali situazioni critiche è bene accertarsi dell’esistenza di un piano di disaster recovery adeguato o comunque valutare un’adeguata soluzione di Business Continuity.

Nessun commento: