server dati cloud azienda

Per un’azienda, è sempre più avvertita la necessità di poter integrare i sistemi di conservazione tradizionale dei dati, con vari tipi di soluzioni tecnologiche. Tra queste, le offerte proposte dal mercato digitale si concentrano principalmente su due tipologie, le soluzioni in cloud e quelle in azienda (cd. conservazione on-premise o in casa).

Ti segnaliamo l’uscita del nostro ultimo video proprio su questa tematica:

Per operare la scelta migliore, non è sufficiente, tuttavia, fare affidamento ai contratti da una prospettiva meramente economica, in quanto le soluzioni proposte richiedono spesso un attento bilanciamento tra forti riduzioni dei costi e rischi a cui si può andare incontro, qualora non si scelga la tipologia più adatta alle necessità ed alle potenzialità della singola azienda.

Per un approfondimento sulla conservazione digitale consigliamo la lettura di questo articolo.

 

Cosa si intende per dati su server in CLOUD?

Secondo la Commissione Europea, il cloud computing è definibile come “l’archiviazione, l’elaborazione e l’uso di dati su computer remoti ed il relativo accesso via Internet”. Il termine cloud (=nuvola) è stato coniato nel 2006 da Eric Schmidt, allora amministratore delegato di Google, secondo cui in breve tempo sarebbe stato possibile accedere alle risorse da qualsiasi dispositivo, in quanto la struttura ed i servizi necessari per i dati sarebbero stati allocati su server. Parlare di cloud, data anche la possibilità di accedere ai dati senza restrizioni geografiche o di dispositivi, rimanda ad un concetto etereo ed impercettibile, quasi come se i dati non fossero “poggiati” in nessun luogo. Non è così: l’infrastruttura fisica – hardware – è ovviamente necessaria per la gestione e la conservazione dei dati; tuttavia, tra le caratteristiche principali del cloud c’è il fatto che questo si compone di una rete di server, posizionabili in luoghi diversi, il che potrebbe porre problematiche giuridiche di non poco conto.

server dati cloud azienda

 

La gestione dei dati direttamente in AZIENDA

La gestione dei dati on-premise (detta anche gestione in casa) è possibile grazie all’utilizzo di server interni all’azienda. A differenza che nel cloud, in cui la gestione è interamente devoluta ad un terzo soggetto (detto Cloud Service Provider, CSP), avere un datacenter interno all’azienda comporta la gestione completa dei servizi IT da parte di quest’ultima: è perciò necessario dotarsi di un comparto tecnico a ciò assolutamente preparato.

 

Problemi di privacy comuni tra CLOUD e AZIENDA

Che si scelga un sistema di conservazione in cloud oppure in azienda è imprescindibile valutare alcuni aspetti che potrebbero tradursi in rischi anche dal punto di vista giuridico. I più rilevanti sono:

  • la privacy by design e by default;
  • la sicurezza del trattamento;
  • la valutazione del rischio;
  • il principio di trasparenza;
  • il data breach;
  • le istanze degli interessati;
  • la business continuity;
  • la scelta del responsabile del trattamento.

 

I concetti di Privacy by Design e Privacy by Default

L’art. 25 del GDPR ha sancito l’ingresso nell’ordinamento europeo dei concetti di privacy by design and by default: il principio di privacy by design impone al titolare del trattamento di valutare il rischio, per i dati personali, inerente alla propria attività aziendale prima dell’effettuazione del trattamento, e predisporre le garanzie adeguate al fine di garantire il rispetto dei principi di protezione dei dati (mediante, ad esempio, la pseudonimizzazione). Il concetto di privacy by default richiede all’azienda titolare del trattamento di mettere in atto le misure tecniche e organizzative adeguate per impostazione predefinita al fine di rispettare i principi di protezione dei dati (prevedendo, ad esempio accesso limitato solo a persone autorizzate).

 

La sicurezza del trattamento, cosa chiede il GDPR?

L’art. 32 del GDPR richiede al titolare ed al responsabile del trattamento la messa in atto delle misure tecniche ed organizzative adeguate a garantire un livello di sicurezza adeguato al rischio. È importante notare come questa, come altre norme del GDPR, imponga un obbligo positivo riguardo il risultato, lasciando la scelta di quali misure adottare ai soggetti preposti (titolare e responsabile), in base al trattamento concretamente posto in essere. Tra le misure di sicurezza, vengono citate:

  • la pseudonimizzazione e la cifratura dati personali;
  • la capacità di assicurare su base permanente la riservatezza, integrità disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
  • la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;
  • una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

server dati cloud aziendali

 

L’importanza di fare una valutazione del rischio

È poi necessario effettuare una valutazione del rischio che possa esserci per i diritti e le libertà delle persone fisiche. Gli articoli 35 e 36 del GDPR impongono in questo caso al titolare un’attività preventiva di valutazione del rischio inerente alle attività di trattamento, predisponendo anche in questo caso adeguate misure volte a prevenire la realizzazione degli eventi dannosi per i diritti e le libertà degli interessati.

 

Le responsabilità del titolare e principio di trasparenza

Come si è detto poco fa riguardo la sicurezza del trattamento, il GDPR può non contenere vincoli specifici sulle attività del titolare e del responsabile del trattamento, definendo invece gli obiettivi e le modalità affinché un trattamento sia lecito. Questo viene definito principio di accountability, traducibile come responsabilizzazione dei soggetti a ciò preposti. Il titolare, in altre parole, può sempre essere chiamato a dover dimostrare di aver fatto tutto il possibile per evitare rischi per i diritti e le libertà dell’interessato, il che passa anche per il principio di trasparenza, un obbligo trasversale che si manifesta nelle informazioni rese agli interessati, nelle modalità, negli strumenti.

 

Cosa fare in caso di Data Breach?

Il data breach (= violazione dei dati) può risultare uno dei momenti più critici per un’azienda. Il GDPR richiede una comunicazione, entro 72 ore, al Garante per la Protezione dei Dati Personali, nel caso di compromissione dei sistemi di conservazione dei dati, e qualora sussista un rischio per i diritti e le libertà degli interessati. Il responsabile del trattamento, ai sensi dell’art. 28, è tenuto ad informare tempestivamente il titolare, così che questi possa attivarsi.

Per approfondire il tema del data breach e su come difendersi, segnaliamo questo articolo

 

Come rispondere a contestazione e istanze degli interessati

La conservazione dei dati deve consentire anche una corretta gestione delle istanze degli interessati, con riguardo in particolar modo ai diritti previsti agli articoli da 15 a 22 GDPR: diritti di accesso, portabilità, cancellazione, rettifica. In caso di istanza dell’interessato, questi diritti devono essere realizzabili in qualunque momento, il prima possibile e comunque entro 30 giorni dalla richiesta.

 

L’importanza della Business Continuity

La predisposizione di un accurato sistema di gestione dei dati non dovrebbe essere pensato senza un focus specifico sulla business continuity: gli aspetti della sicurezza, dell’indipendenza, della garanzia dell’integrità del dato, dell’accessibilità in qualsiasi momento per garantire i diritti dell’interessato, la valutazione di tempistiche appropriate, l’analisi dei processi privacy che potrebbero impedire (ad es., la pseudonimizzazione), sono passaggi cruciali per dimostrare di essere sempre compliant con il GDPR, mantenendo al tempo stesso le capacità operative aziendali integre.

 

Chi può essere responsabile del trattamento?

Il responsabile del trattamento è il soggetto che tratta i dati personali per conto del titolare del trattamento; un’azienda può avere decine di titolari del trattamento, per ognuno dei quali è necessario definire ruoli, compiti e responsabilità.

Dal punto di vista della sicurezza, gli attacchi alla filiera si sono moltiplicati negli ultimi anni. Si colpisce cioè un soggetto che si sa essere fornitore dell’azienda che si vuole realmente colpire, sul presupposto che il fornitore sia strutturalmente meno preparato per quanto riguarda le misure di sicurezza adottate. La scelta del responsabile del trattamento è fondamentale per implementare un corretto e sicuro sistema di conservazione dei dati.

server dati cloud azienda

 

Cosa considerare per la scelta del CLOUD?

Se si vuole scegliere una soluzione di gestione del dato in cloud, gli elementi a cui prestare maggiore attenzione sono:

  • la collocazione fisica dei dati. Se i dati trattati si riferiscono a soggetti interessati nell’Unione Europea, la disciplina del GDPR deve valere: si prescinde, in sostanza, dal luogo fisico in cui il dato venga trattato, ovunque esso sia, ma nonostante ciò occorre essere sempre a conoscenza del luogo in cui sia conservato (la questione era già stata affrontata nell’approfondimento disponibile qui.). In definitiva: il cloud è davvero un cloud, o c’è modo di conoscere sempre ed in ogni momento dove sono esattamente conservati i dati aziendali?
  • la trasparenza operativa. Come rilevato in precedenza, il GDPR chiede trasparenza in ogni fase del trattamento. Le aziende spesso si rivolgono a certificatori esterni per audit ad hoc riguardanti la gestione dei dati: ciò è possibile anche per tutte le soluzioni in cloud?
  • Diritti del titolare del trattamento. Come per gli interessati, anche al titolare dev’essere sempre garantita la facoltà di esercitare i propri diritti sui dati, i quali sono rilevanti in quanto necessari a poter avere sempre la gestione ed il controllo dei dati aziendali, il che, come si è detto, consente di essere compliant con il principio di accountability. Il contratto di fornitura del servizio cloud, insomma, deve essere chiaro e non eccessivamente vincolante nei confronti del titolare, il quale dati gli obblighi imposti dalla normativa deve poter avere lo spazio operativo e di gestione necessario per ottemperare ai suoi obblighi di legge.

 

Quando invece conviene conservare i dati in AZIENDA?

I principali problemi da affrontare se la scelta ricade sulla conservazione on premise invece sono i seguenti:

  • La soluzione in cloud permette di affidare la gestione dei dati in maniera esterna all’azienda. Se invece i dati aziendali sono conservati “in casa”, è necessario che questa abbia le capacità di tipo tecnico operativo richieste per la gestione stessa. Al tempo stesso, è necessario chiedersi se l’azienda abbia indipendenza tecnologica, logistica e di fornitura per poter gestire tutto in autonomia, o valutare invece la presenza di responsabili del trattamento che gestiscano i processi in outsourcing. È infine necessaria una formazione continua ed aggiornata del personale.

 

Quindi meglio in CLOUD o in AZIENDA?

In conclusione, tanto i servizi in cloud quanto quelli in azienda presentano vantaggi specifici, associati a rischi connaturati alle loro peculiarità, che li rendono vulnerabili dal punto di vista dell’aderenza normativa. Che si prescelga una tipologia o l’altra, c’è bisogno che l’intero processo avvenga nel rispetto di quanto previsto dal GDPR e dall’articolata normativa in materia: questo può avvenire solo adottando soluzioni ad hoc pensate specificamente per il singolo titolare, sia esso un’azienda o una pubblica amministrazione. È imprescindibile, in sostanza, affidarsi alle competenze di esperti capaci di tradurre il dettato normativo nella pratica della gestione della propria soluzione di gestione dei dati.

Se hai bisogno di aiuto nella scelta e gestione dei tuoi dati ti consigliamo il nostro partner Studio Legale FCLEX, puoi fare riferimento all’Avvocato Giuseppe Croari, che da anni opera nel settore del diritto delle nuove tecnologie, fornendo soluzioni e consulenze ad hoc in questo settore.

 

avvocato giuseppe croari bologna privacy

Ultimi aggiornamenti

youtube copyright ban strike
Non esiste content creator, youtuber o streamer di Twitch che non abbia mai usato una canzone, una foto, uno spezzone di un film o di un’altra opera di terzi in un proprio video. Eppure, proprio in relazione a questa pratica diffusissima, sono ad oggi innumerevoli i casi […]
Sommario: 1. Premessa 2. PC Gaming e console: sono “apparecchiature” da omologare? Quale legame hanno con la “pubblica sicurezza”? 3. L’impatto sulle sale LAN e sugli esports bar: ma anche su musei e altre attività 4. L’impatto sull’esport 5. La lacuna normativa italiana. Prospettive oltre la […]
server dati cloud azienda
Per un’azienda, è sempre più avvertita la necessità di poter integrare i sistemi di conservazione tradizionale dei dati, con vari tipi di soluzioni tecnologiche. Tra queste, le offerte proposte dal mercato digitale si concentrano principalmente su due tipologie, le soluzioni in cloud e quelle in azienda […]

Iscriviti alla nostra newsletter

i nostri social

Guarda i nostri video e rimani aggiornato con notizie e guide

Lo sapevi che per continuare a fare Smart Working in azienda bisognerà adottare degli accorgimenti entro il 30 giugno?

Le modalità per fare marketing si sono evolute di pari passo alle norme in tema di privacy, questo porta ad un binomio complesso: lead generation e privacy. Come fare contatti rispettando però il GDPR?

Il marchio oggi non rappresenta meramente un simbolo identificativo, ma diviene uno degli elementi fondanti della brand identity di un’impresa. La registrazione è fondamentale per tutela e VALORE del tuo business.