Lug
23
Trattamento dei dati: Cloud Act e GDPR
Mentre in Italia ci concentravamo sulla scadenza del GDPR, una nuova normativa in materia di privacy e sicurezza, con grandi implicazioni per le aziende europee che utilizzano servizi cloud di giganti tecnologici statunitensi, è passata quasi totalmente inosservata: il cosiddetto “Cloud Act”, approvato dal Congresso degli Stati Uniti.
Il Cloud Act e le aziende italiane
Ai fini della privacy, il Cloud Act influisce su ciò che potrebbe accadere ai dati personali inseriti in cloud statunitensi come Microsoft, Amazon e Google. Fatta salva la reale necessità di una revisione della legislazione sulla privacy digitale (erano in vigore leggi che risalivano agli anni ’80), la nuova legge tratta ora il diritto di accedere ai dati archiviati nel Cloud in modo più attuale, ma non per questo più sicuro.
A chi cediamo i nostri dati nei Cloud USA
Il Cloud Act chiarisce innanzitutto che le forze dell’ordine americane possono richiedere la trasmissione dei dati conservati nei Cloud americani, indipendentemente da dove si trovino: è evidente che ciò ha gravi implicazioni per le aziende (italiane ed europee) che utilizzano servizi Cloud pubblici come Microsoft, Dropbox, Amazon e Google. Da ciò scaturiscono alcune considerazioni:
- non tutti i dati possono più essere trattati allo stesso modo;
- si rende necessario per le aziende definire quali dati devono essere archiviati nelle soluzioni Cloud Privati e a cosa invece vanno incontro quando scelgono Cloud Pubblici.
Perché scegliere un Cloud Privato per i dati
Il GDPR è incentrato sull’aumento della trasparenza del trattamento dei dati da parte dell’utente, mentre il Cloud Act ha in sé una componente “rischiosa” perché se le forze dell’ordine americane intimano di consegnare i dati archiviati presso un fornitore di servizi Cloud negli Stati Uniti, il cliente non ha il diritto di esserne informato obbligatoriamente (per anni i social media lo hanno fatto, prima dei vari scandali sulla perdita dati di Facebook). Per questo è necessario:
- essere consapevoli dell’esistenza di questa Legge e del fatto che viene applicata dai Provider americani;
- di conseguenza è buona prassi effettuare un’adeguata analisi dei rischi per prendere in considerazione l’utilizzo di un servizio di Cloud privato;
- può essere inoltre utile adottare una strategia Cloud “ibrida”, ovvero definire quali dati possono essere archiviati nei servizi Cloud pubblici e cosa deve essere gestito nei Data Center europei.
Le soluzioni di Exe.it per la tutela dei dati
I VPS, le IaaS, il nuovissimo VDC (Virtual Data Center) powered by LENOVO a breve disponibile fra i nostri servizi e, in generale, l’hosting di dati in un Data Center come 00GATE mettono al sicuro i dati delle aziende e dei privati italiani da norme americane che incidono direttamente sul rispetto del GDPR da parte delle Leggi americane. Per questo, in attesa che l’Unione Europea e gli USA arrivino a un accordo “sull’accesso transfrontaliero alle prove elettroniche per la cooperazione giudiziaria in materia penale” (se ne parla in modo molto approfondito in questo articolo), è bene che le imprese (ma anche i privati) riflettano molto bene sulla scelta del fornitore di servizi Cloud e sulle implicazioni che un risparmio economico di qualche euro possa fare scaturire degli effetti legali imprevisti e indesiderati.
Per approfondire
Cloud Act, il testo della Legge approvata.
I servizi Private Cloud di Exe.it, la presentazione completa.
Il presente articolo è stato redatto sulla base dei contenuti reperiti sul sito https://data-economy.com/