Cloud computing e GDPR: cosa prevede la legge

fonte: iStock

I vantaggi offerti sono innegabili. Rispetto ai software “normali”, le soluzioni cloud offrono flessibilità, scalabilità ed efficienza senza precedenti. E per un’azienda, i benefici aumentano in maniera esponenziale. Le piattaforme di cloud computing si adattano alla perfezione alle necessità e alle dimensioni dell’azienda. Potrai facilmente aggiungere nuove funzionalità, o aumentare il numero di licenze attive con un semplice click, consentendo di ottimizzare tempistiche e costi.

La comodità e i vantaggi offerti dai servizi cloud non devono però far dimenticare che anche queste soluzioni devono aderire in maniera rigorosa alla normativa vigente, in particolare al Regolamento Generale sulla Protezione dei Dati (GDPR).

Le aziende che utilizzano i servizi cloud devono comprendere appieno le implicazioni di questa normativa e adottare misure adeguate per garantire la protezione dei dati degli utilizzatori (ossia, dei loro dipendenti). L’utilizzo di soluzioni ospitate “sulla nuvola”, infatti, non esime da una corretta gestione dei dati, ma si articola in modo specifico tra il titolare del trattamento e il fornitore del servizio cloud.

Quando si sceglie un provider di servizi cloud, dunque, è necessario prestare attenzione a come (e dove) vengono gestiti i dati degli utenti, così da evitare di incappare in problematiche di natura legale.

Dati personali e cloud computing: cosa dice il GDPR

Il GDPR (acronimo di General Data Protection Regulation, ossia “Regolamento Generale sulla Protezione dei Dati”) definisce le regole e le norme per il trattamento dei dati personali da parte di aziende e organizzazioni che operano nel territorio dell’Unione Europea.

Con i suoi 99 articoli, il GDPR stabilisce alcuni principi chiave che rendono più forte la privacy, la trasparenza e la sicurezza nella gestione dei dati personali, imponendo alle aziende obblighi più stringenti. Nello specifico, i principi sono:

• Liceità, correttezza e trasparenza. Il trattamento deve essere basato su una base giuridica valida e l’interessato deve essere informato sui dati che verranno trattati, sulla finalità del trattamento e il titolare del trattamento;
• Necessario e proporzionato. I dati da trattare devono essere necessari, adeguati e limitati allo scopo per il quale sono richiesti;
• Limitato nel tempo. I dati devono essere conservati per un periodo di tempo non superiore a quello necessario per la finalità per la quale sono stati raccolti;
• Accountability. Il titolare del trattamento (ossia, l’azienda o l’organizzazione che decide “come” e “perché” i dati vengono raccolti) è responsabile del rispetto dei principi e deve essere in grado di dimostrarlo.

Principi che si applicano, ovviamente, anche nel caso del cloud computing. Indipendentemente dalla tipologia di piattaforma (pubblica o ibrida) e dalla tipologia di applicativo (Platform as a Service o Software as a Service), i provider del servizio dovranno implementare soluzioni tecniche e giuridiche che garantiscano un trattamento dei dati in linea con quanto stabilito dal GDPR.

Scelta del provider dei servizi cloud: cosa considerare

Non solo strumenti e funzionalità. Quando si deve scegliere un fornitore di servizi cloud è necessario considerare anche l’approccio alla gestione e alla protezione dei dati degli utenti. Così come stabilito dall’articolo 28 del GDPR, infatti, il fornitore di servizi agisce come responsabile del trattamento dei dati e, come tale, deve offrire sufficienti garanzie tecniche e legali.

• Affidabilità del fornitore. Potrebbe sembrare un’ovvietà, ma non lo è affatto. Il provider al quale ci si vuole affidare (e al quale affideremo i nostri dati) deve essere affidabile. Sarà necessario verificare quali siano gli standard applicati nella protezione e nella gestione dei dati; quali misure vengono adottate per garantire la continuità operativa e l’adeguatezza delle infrastrutture informatiche e di comunicazione impiegate;
• Sicurezza informatica e fisica dei dati. Il provider deve adottare sistemi di sicurezza che proteggano i dati sia da attacchi informatici sia da eventuali tentativi di incursione “fisiche”. L’impiego di protocolli di crittografia e sistemi di cifratura; l’utilizzo di tecnologie di archiviazione con separazione (fisica o logica) dei dati e l’adozione di misure di sicurezza fisiche dovranno rappresentare gli standard minimi offerti dal provider;
• Collocazione dei server. Il provider “ideale” ha i propri data center ubicati in uno dei Paesi dell’Unione Europea. In caso contrario, sarà necessario verificare che il Paese rientri nella lista di quelli individuati dall’autorità comunitaria e rispettare specifiche basi giuridiche per il trasferimento dei dati al di fuori dei confini UE.

Libero Mail Business: i vantaggi per la tua attività

Scegliendo Libero Mail Business, la soluzione di posta elettronica pensata per la tua azienda, avrai accesso a una suite di strumenti e funzionalità pensati per venire incontro alle tue esigenze professionali. Con la sicurezza che i tuoi dati – e quelli dei tuoi clienti e dipendenti – saranno protetti secondo quanto previsto dal GDPR.

Con Libero Mail Business non solo avrai la possibilità di creare uno o più indirizzi di posta elettronica con dominio personalizzato, ma avrai a disposizione una suite di produttività cloud alla quale potrai accedere direttamente dal browser del tuo dispositivo (PC, tablet e smartphone).

Sarai così in grado di modificare e creare file di testo; lavorare su fogli di calcolo e realizzare presentazioni da condividere con colleghi e clienti.  Lo strumento Attività ti permette organizzare e gestire facilmente i tuoi task, mentre il Calendario è il tuo assistente personale nel ricordarti gli appuntamenti del giorno.

Ultimo, ma non per importanza, lo spazio di archiviazione nel cloud di Drive. Avrai fino a 1 terabyte di spazio sulla nuvola per archiviare tutti i tuoi file e condividerli con chi vorrai. I file sono archiviati in datacenter europei, in conformità con quanto previsto dal GDPR. Hai sempre il pieno controllo sulle modalità di condivisione e sui file stessi, con la possibilità di recuperare anche le versioni precedenti dello stesso file.