In una mattina nuvolosa mi è venuta in mente la celebre canzone cantata da Judy Garland “Over the Rainbow”, la quale mi ha ricordato una domanda che di frequente mi viene posta dai clienti: “cos’è sto Cloud, o meglio, cosa si nasconde dietro al Cloud? ” In effetti sempre più spesso si sente parlare di “piattaforme in Cloud”, “dati in Cloud”, “migrare al Cloud”; persino da AgID, col suo piano triennale 2019-2022, arriva il monito alle pubbliche amministrazioni a considerare per i suoi investimenti “first Cloud”.
Tra i servizi abitualmente forniti nel Cloud troviamo posta elettronica, software gestionali, server virtuali, ampi spazi per interi backup, e molto altro. Per l’utente finale il bello di questo tipo di servizi è che trova tutto pronto, ignorando però che dietro c’è un’infrastruttura ben più complessa. In molti si stupiranno a sentire queste parole, ma il Cloud non è una “nuvola” creata dalla natura, è artificiale, che può non essere così bella come tutti la reputano! Se guardiamo la definizione di Cloud troviamo molte varianti, materialmente altro non è che l’hardware di qualcun altro. In realtà, molti ancora non riescono ad avere un quadro chiaro della questione: proviamo a fare chiarezza.
Con il termine Cloud, o Cloud Computing, si definisce un modello di infrastruttura informatica, che ha come principale obiettivo la fornitura di servizi informatici in maniera flessibile, svincolando i fruitori da molti oneri tecnici e amministrativi. Gli obiettivi sono evidenti, e tra i molti benefici di questo modello spicca la flessibilità, perché concede alle aziende un certo grado di libertà e dinamismo, sia sul piano economico sia sul piano della velocità di implementazione. Per esempio, potendo scegliere le risorse hardware necessarie, in funzione del carico di lavoro che si trova a gestire, un’azienda può apportare modifiche quando necessario e pagando quindi ciò che realmente sfrutta.
Pensiamo a un’azienda alimentare che ogni anno debba fare i conti col problema della stagionalità, con picchi di lavoro nel periodo estate/autunno. Nel momento in cui l’azienda scelga di posizionare in Cloud il software gestionale, all’aumentare del personale, dei computer, dei macchinari e dei carichi amministrativi, potrà aumentare la potenza di calcolo, la RAM, la banda di rete disponibile, e lo spazio disco sulla “nuvola”. In inverno/primavera quando invece la produzione rallenta o si ferma, le prestazioni potranno diminuire “chiudendo i rubinetti” sulla nuvola. Pertanto si potranno pianificare vere e proprie strategie economiche. Altro beneficio importante è quello di non dover gestire internamente hardware costoso che, oltre a potersi rompere o diventare obsoleto nel giro di poco tempo, richiede una costante manutenzione da parte di personale qualificato, anche quando non viene utilizzato.
Fatte queste poche considerazioni, è doveroso fare un’attenta riflessione su ciò che troppo spesso alcune organizzazioni dimenticano di valutare, ovverosia il fornitore! Nell’era della corsa alla trasformazione digitale, in molti dimenticano che i più famosi Cloud provider sono all’esterno dell’UE, ad esempio negli USA, in contrasto con la sentenza Schrems II . Contemporaneamente, alcuni di quelli che si trovano in Europa intravedono un’opportunità di business, e in una specie di corsa agli armamenti dimenticano le dovute di misure di sicurezza, gli indispensabili piani di business continuity e le soluzioni di disaster recovery.
L’aspetto spinoso del Cloud sta dunque nella valutazione e nella scelta di un partner che dia sufficienti garanzie di affidabilità e sicurezza del servizio. In ogni ambito e contesto aziendale, dal pubblico al privato, ciò che rende possibili le collaborazioni clienti-fornitori altri non è che la fiducia e la trasparenza, ma per il mercato digitale questi semplici ma importanti valori non sono sufficienti. Tutte le organizzazioni, pubbliche o private, trattano i dati di qualcuno: cittadini, dipendenti, clienti, fornitori. I nuovi modelli organizzativi e di business sono sempre di più basati su di una stretta interazione con questi soggetti, anche attraverso l’utilizzo di tecnologie che a volte possono risultare invasive. Affinché le persone abbiano fiducia nell’utilizzare le nuove forme di comunicazione occorre garantire loro trasparenza e sicurezza nella gestione dei loro dati: per questo motivo le nuove normative in materia di protezione dei dati, in primis il Regolamento U.E. 2016/679, impongono delle tutele e garanzie proprio in relazione a trasparenza nell’informazione e sicurezza nel trattamento.
Restando sul tema del Cloud nella fattispecie, occorre considerare che il provider o fornitore è senza dubbio un Responsabile del Trattamento, e come tale deve essere inquadrato tramite un’apposita lettera di nomina (vedi art. 28 del sopracitato Regolamento). Tuttavia, nonostante nell’articolo appena richiamato siano descritti i requisiti che un buon fornitore debba rispettare, non è detto che tutti vi siano allineati; per questo motivo il Garante europeo ha inteso rafforzare nel GDPR il principio di Accountability, fornendo a tutti i Titolari del Trattamento la facoltà di controllare che i propri fornitori applichino le misure di sicurezza adeguate, almeno a quanto dichiarato in fase di stipula del contratto di fornitura del servizio.
Chiaramente l’analisi sul servizio Cloud va fatta principalmente sul piano tecnico, pertanto si raccomanda sempre ad ogni organizzazione di chiedere un parere al proprio Responsabile per la Protezione dei Dati, o del Consulente Privacy, che vi aiuterà nella valutazione degli aspetti legati all’impatto sui dati, personali o di qualsiasi altra natura.
Enrico Munaro
Consulente in materia di privacy e sicurezza informatica
Polimatica Progetti S.r.l. – Progetto Priv@cy
Delegato Federprivacy Verona