Skip to main content

GDPR per i fornitori di servizi cloud - una panoramica

Le piattaforme cloud sono diventate uno strumento sempre più importante per le aziende moderne, ed è facile capire perché - l'85% dei dati aziendali statunitensi era nel cloud storage nel 2020 e il volume del mercato del cloud pubblico dovrebbe raggiungere 679 miliardi di dollari entro il 2025 (Statista, CRN).

Ma, poiché le aziende fanno la migrazione al cloud in numero sempre maggiore, la questione della sicurezza dei dati di archiviazione cloud è cresciuta di importanza - in particolare alla luce dei severi requisiti GDPR entrati in vigore nel 2018.

Alcune aziende sono preoccupate di aprirsi a multe per non conformità al GDPR utilizzando un fornitore di cloud per archiviare i dati per loro.

E, mentre questo è comprensibile dato che è coinvolta una terza parte, non c'è motivo per cui i dati archiviati e gestiti sarebbero necessariamente meno sicuri.

Cos'è la nuvola?

In parole povere, la nuvola è una rete di server progettati per memorizzare enormi quantità di dati.

Le aziende possono utilizzare questo hardware per memorizzare i propri dati, che sono accessibili attraverso Internet.

Esempi popolari includono Dropbox, Google Cloud e Amazon Web Services.

In generale, il software cloud può essere classificato in tre tipi:

  1. Pubblico - un servizio cloud basato su Internet fornito a più organizzazioni, gratuitamente o con un abbonamento pay-per-use
  2. Privato: un servizio di cloud interno dedicato a una singola azienda
  3. Ibrido - un misto di cloud pubblico e privato

Spesso vengono anche suddivisi in un altro modo:

  • Infrastructure-as-a-Service (IaaS) - un'azienda paga per accedere alle risorse di calcolo e archiviazione di un fornitore di cloud
  • Software-as-a-Service (SaaS) - un'azienda paga per accedere a software on-demand su internet
  • Platform-as-a-Service (PaaS) - un servizio con un ambiente di sviluppo e distribuzione che le aziende possono utilizzare per costruire applicazioni in un browser

Vantaggi del cloud per le aziende

Il cloud storage può avere enormi vantaggi per le aziende ad un prezzo contenuto: riduce la sicurezza dei dati e i costi di gestione, migliora la comunicazione e catalizza un migliore lavoro di squadra.

Le aziende beneficiano anche di una maggiore sicurezza, meno tempi di inattività per problemi di infrastruttura IT e un'eccellente scalabilità durante la loro crescita.

Preso insieme, il software cloud fornisce alle aziende la flessibilità extra che può dare loro un vantaggio competitivo cruciale:

  • L'84% riporta miglioramenti operativi entro i primi mesi dall'introduzione (Multisoft)
  • Le piccole e medie imprese trovano il 40% più conveniente impiegare piattaforme cloud di terze parti piuttosto che mantenere un'alternativa in-house (Multisoft)
  • Il 94% delle aziende riporta miglioramenti sostanziali alla sicurezza online dopo la migrazione dei dati al cloud (Salesforce)

In che modo il software cloud è stato influenzato dal GDPR?

Fondamentalmente, il 91% delle aziende ritiene che le piattaforme di cloud storage siano state di grande aiuto nel loro lavoro di conformità ai requisiti governativi, come il GDPR (Salesforce).

Sono state a lungo progettate con la sicurezza davanti e al centro, utilizzando la crittografia avanzata durante la trasmissione dei dati - il che significa che nessun utente non autorizzato è in grado di accedere alle informazioni private.

Detto questo, il GDPR ha cambiato permanentemente il modo in cui i dati personali possono essere memorizzati ed elaborati nel cloud e il GEPD - il cane da guardia della privacy dell'UE - sta indagando se il servizio cloud AWS di Amazon e Azure di Microsoft stanno proteggendo i dati dei cittadini in modo efficace.

I requisiti del GDPR per i fornitori di servizi cloud sono i seguenti:

  • Sviluppare principi per il trattamento dei dati personali
  • Garantire che il processo di elaborazione dei dati rispetti gli 8 diritti degli interessati del GDPR
  • Stabilire i requisiti per la privacy by design per chiunque sia coinvolto nel trattamento dei dati e nelle attività di controllo
  • Implementare controlli sulla proprietà dei dati e sul diritto alla portabilità dei dati
  • Introdurre misure di sicurezza che garantiscano la privacy dei dati
  • Stabilire principi per il trattamento dei dati a parti internazionali
  • Sviluppare politiche e procedure per gestire le violazioni dei dati
  • Sviluppare politiche riguardanti l'istituzione di accordi contrattuali, periodi di conservazione dei dati e altri requisiti applicabili

Qual è la responsabilità di un'azienda per i dati conservati nel cloud?

Le questioni di sicurezza di terze parti sono una delle principali preoccupazioni del GDPR, e queste includono quando una piattaforma cloud di terze parti sta memorizzando i dati per conto di un'azienda cliente.

Il GDPR distingue tra "controllori di dati" e "elaboratori di dati" quando si tratta di responsabilità per la sicurezza delle informazioni personali.

In questo contesto, l'azienda è il controllore dei dati, mentre il fornitore di software cloud è l'elaboratore di dati - il che significa che l'azienda è quindi responsabile di mantenere i dati personali al sicuro, indipendentemente dal fatto che siano memorizzati sui propri server o meno.

 

Cosa pensare quando si sceglie una piattaforma cloud

Prima di migrare al cloud, è consigliabile che le aziende si assicurino che il loro flusso di dati personali sia adeguatamente mappato e che effettuino una valutazione dell'impatto sulla privacy.

Al centro di questo ci saranno le seguenti considerazioni:

  • Sovranità dei dati La normativa GDPR stabilisce che i dati devono essere conservati nell'Unione Europea. Fortunatamente, ci sono molti fornitori di servizi cloud che consentono di scegliere dove i dati vengono memorizzati, in modo da poterne selezionare uno che utilizza centri dati in Europa.
  • Sicurezza dei dati Controlla la sicurezza della piattaforma di cloud storage e scegline una che offra la crittografia end-to-end. In definitiva, devi essere soddisfatto che il provider abbia procedure di sicurezza adeguate.
  • Rispetto per i soggetti dei dati Scegliere un fornitore di cloud che aderisce agli otto diritti di privacy dei soggetti dei dati dell'UE - queste informazioni dovrebbero essere prontamente fornite dalle aziende di cloud.
  • Protezione dei dati per progettazione e per impostazione predefinita Assicurarsi che l'azienda cloud abbia integrato la sicurezza nella sua progettazione e nelle sue procedure - per esempio utilizzando la crittografia a conoscenza zero che limita l'accesso alle informazioni sensibili. Questo è fondamentale dato che qualsiasi violazione dei dati sarà in definitiva la responsabilità della vostra azienda.

La conformità al GDPR richiede un lavoro continuo

Una volta che un'azienda ha migrato i dati nel cloud, è saggio effettuare controlli regolari per garantire che le procedure e i processi operativi continuino a essere conformi al GDPR.

È anche consigliabile controllare regolarmente che la piattaforma cloud continui a rispettare tutte le garanzie di sicurezza fornite.

Questo lavoro viene normalmente svolto da terzi indipendenti o da siti di recensioni, che dovrebbero essere verificati prima di prendere qualsiasi decisione su quale opzione scegliere.