GDPR: come garantire la conformità per i dati in cloud
Il Regolamento Generale per la Protezione dei Dati (GDPR) comporta grandi sfide, ma anche opportunità uniche, alle società che elaborano dati attraverso servizi cloud. Il GDPR, che entrerà in vigore il 25 maggio 2018, fornisce un quadro completo per le corrette pratiche di governance delle informazioni che proteggono i dati personali. Per assicurarsi la conformità al GDPR, ogni azienda deve prima capire le sue implicazioni.
“Il GDPR dovrebbe coinvolgere tutta l’azienda”, ha dichiarato John Godwin, responsabile per la conformità di UKCloud, in occasione dell’evento Cloudsec 2017. “Dovrebbe essere compreso da tutto il personale all’interno dall’azienda, indipendentemente dal dipartimento in cui si trova o dalle funzioni che svolge”.
I soggetti coinvolti devono essere informati con chiarezza sull’utilizzo dei loro dati, con la garanzia che sono trattati in modo sicuro e solo per gli scopi dichiarati. Questa può essere una sfida nel cloud, poiché non è sempre chiaro dove si trovano i dati.
“Abbiamo una serie sempre più vasta di diritti da garantire, e se stiamo utilizzando servizi cloud dobbiamo capire quale contributo possono dare i provider per aiutarci a rispettare tali diritti“, ha aggiunto Goodwin.
Privacy by design
Il concetto di “privacy by design” richiede alle aziende di comprendere appieno le implicazioni dei diritti sulla privacy, in modo da integrarli nella fase di progettazione della soluzione cloud.
Per garantire la privacy by design le aziende dovrebbero condurre un Data Protection Impact Assessment (DPIA), ovvero una valutazione dell’impatto sulla protezione dei dati. Una valutazione accurata permette di identificare le proprie carenze e comunicare chiaramente ai propri clienti che i loro dati sono sicuri in tutti i vari processi di elaborazione e archiviazione in cloud.
Un DPIA dovrebbe considerare quali dati sono in uso e come saranno protetti. Dovrebbe prendere in considerazione la posizione di tutti i repository dei dati, i modi in cui vengono elaborati e se vi possono accedere terze parti.
Inoltre bisogna tener conto di quali Paesi sono coinvolti. Se i dati vengono spostati in Paesi non soggetti al GDPR, come gli Stati Uniti, i processori dei dati devono comunque garantire che vengono rispettati i requisiti di protezione su questi dati.
Un DPIA efficace permette agli utenti di prendere una decisione informata sull’utilizzo dei loro dati.
Diritti sull’elaborazione dei dati
Il GDPR contempla sei basi giuridiche per l’elaborazione dei dati: consenso del soggetto interessato; diritti concessi nell’ambito dell’esecuzione di un contratto; rispetto degli obblighi giuridici; protezione degli interessi vitali del soggetto interessato; interesse pubblico; dichiarati interessi legittimi. Qualunque sia la motivazione utilizzata per la raccolta dei dati, deve essere resa nota al soggetto interessato.
Il consenso deve essere volontario, specifico e inequivocabile. I soggetti devono comprendere correttamente i termini del loro consenso e poterlo revocare con la stessa facilità. Il consenso deve essere registrato e memorizzato nel caso in cui sia necessario esibire prove dello stesso.
Deve anche essere retroattivo. Questo implica stabilire se è necessario convalidare di nuovo il consenso per i dati già raccolti.
Un vantaggio del cloud è il consenso centralizzato. Alcune applicazioni cloud consentono ali utenti di accedere a un portale dove possono gestire chi vede i propri dati, il consenso che stanno dando e revocarlo facilmente se lo desiderano.
“La società deve collaborare con i propri provider per capire dove sono i dati”, ha sottolineato Goodwin. “Per sua natura, il cloud prevede storage distribuiti e risorse di calcolo resilienti che possono trovarsi in diversi Paesi”.
Il provider cloud deve garantire la capacità di individuare la collocazione fisica dei dati personali.
I diritti degli utenti
I provider cloud dovranno inoltre soddisfare una serie di nuovi diritti dei soggetti interessati.
Il soggetto ha diritto di sottoporre richieste di accesso, che gli permettono di sapere quali sono i dati personali in possesso della società che li elabora o li archivia. Un soggetto potrebbe scrivere direttamente al provider di servizi di comunicazione (CSP) o rivolgersi alla società che li usa, che dovrà contattare il CSP. In entrambi i casi, è necessario identificare i dati e rispondere entro il termine specificato.
Il diritto di rettifica consente di correggere eventuali errori nei dati. Il diritto alla portabilità dei dati conferisce ai soggetti l’autorizzazione a trasferire le informazioni richieste, per esempio da una compagnia di assicurazione a un’altra.
Il soggetto ha anche il diritto di opporsi all’elaborazione se non acconsente ad alcun utilizzo dei suoi dati e alla cancellazione dei dati, noto anche come “diritto all’oblio”. È necessario stabilire procedure per garantire ciascuno di questi diritti.
“Il GDPR introduce vincoli temporali abbastanza restrittivi, la maggior parte dei quali prevede meno di 30 giorni. Questo è il tempo a disposizione per comprendere, convalidare ed esaminare la richiesta, esportare i dati e rispondere a quanto chiesto dall’utente”, ha dichiarato Goodwin. “Le aziende devono essere pronte per questo”.
I dati elettronici possono essere più difficili da trovare rispetto a documenti fisici in un archivio. Ciò è particolarmente vero per i dati in cloud, che possono essere distribuiti in tutti i backup, archivi e copie condivisi con terze parti come Dropbox e Salesforce. I dati in ogni repository devono essere chiaramente registrati.
I fornitori cloud possono anche avere personale, data center, società controllate e processi sparsi in tutto il mondo. E’ necessario proteggere il flusso dei dati tra tutte queste realtà.
I soggetti devono sapere dove vengono elaborati i propri dati, in modo da prendere una decisione consapevole e fidarsi della società e delle piattaforme digitali che supportano il cloud.
Nuovi obblighi
Il GDPR introduce nuove multe per un massimo di 20 milioni di euro o del 4% del fatturato globale annuo. Questo dovrebbe essere sufficiente per convincere i responsabili aziendali a prepararsi per l’entrata in vigore del GDPR, ma le pene finanziarie non saranno l’unico problema. Ogni violazione deve essere notificata all’autorità di vigilanza nazionale entro 72 ore. Le violazioni saranno rese pubbliche, con un potenziale danno per la reputazione della società che le ha subite.
I CSP continueranno a elaborare normalmente dati che non possiedono e che vengono forniti dai loro clienti. Il GDPR tuttavia darà loro una responsabilità congiunta, il che significa che qualsiasi soggetto può ritenere responsabile dei dati sia chi li ha raccolti sia chi li elabora.
I più importanti cloud provider cercheranno di pubblicizzare la loro conformità al GDPR. In ogni caso, i clienti dovrebbero verificare il loro livello di preparazione sulla normativa e puntare a una chiarezza contrattuale supportata da una definizione dettagliata dei servizi.
Il CSP dovrebbe dichiarare dove sono i dati, chi sarà il punto di contatto e come aiuterà il cliente in caso di problemi e richieste. La maggior parte dei CSP avrà un responsabile per la protezione dei dati (DPO), che discuterà dettagliatamente il GDPR con i propri clienti.
Come prevenire e individuare le violazioni
La formazione completa del personale è essenziale. All’interno dell’azienda tutti dovrebbero avere le competenze per comprendere e segnalare problemi.
Sono disponibili strumenti che possono aiutare in questo senso, che includono monitoraggio tramite firewall e file di log, autenticazione basata sui ruoli, scansione dei contenuti nelle email e soluzioni di protezione dei dati (DLP).
Sono necessari test di sicurezza periodici per garantire che non ci siano vulnerabilità nella soluzione.
“Più si fa in termini di pianificazione e convalida tecnica, formazione del personale, gestione della supply chain, e meno problemi si avranno con regolamenti, violazioni e multe”, ha sottolineato Goodwin.
I legislatori non saranno gli unici a monitorare l’utilizzo dei dati. Gli attivisti della privacy stanno diventando sempre più influenti e guarderanno ogni violazione. Vorranno sapere dove sono i dati, per cosa vengono utilizzati, chi li possiede, per quanto tempo intende mantenerli. Le violazioni potrebbero anche portare a cause civili che comporterebbero ingenti spese legali, oltre a eventuali multe.
I siti web dovrebbero disporre di appositi avvisi di privacy supportati da DPIA per informare chiaramente e in modo trasparente quanto sarà fatto con i dati raccolti.
Specifiche esigenze di protezione dei dati
Le società che trattano i dati dei cittadini devono esaminare attentamente le basi per il consenso, le loro pratiche di registrazione e i metodi per lo smaltimento dei dati.
Anche i dipendenti di un’azienda godono dei diritti sanciti dal GDPR. Termini e condizioni dei contratti di lavoro dovrebbero essere rivisti per verificare che comprendano le finalità specifiche per le quali saranno trattati i dati del personale.
Se l’azienda si serve di risorse esterne, per esempio per il pagamento stipendi, la gestione dei benefit o formazione, significa che i dati personali dei dipendenti usciranno dai confini dell’azienda.
In tutti questi casi l’uso dei dati deve essere controllato e protetto, a beneficio sia dei singoli utenti che dell’azienda stessa.