Un nuovo approccio alla responsabilità sulla sicurezza per i fornitori di servizi cloud
I cardiofrequenzimetri portatili, che sono molto utilizzati da chi pratica lo jogging, sono solo un esempio dei numerosi dispositivi che attualmente raccolgono informazioni personali sensibili. Combinandoli con tecnologie Wi-Fi o GPS, questi dispositivi creano record istantanei online che sono a disposizione dell’utente, ma anche di ospedali, società assicurative e altri intermediari lungo la catena del valore dei contenuti informativi, i quali elaborano i dati personali tramite il cloud. Il cloud solleva molte domande sulla responsabilità del trattamento dei dati personali: come vengono trattati? come tracciare i responsabili se qualcosa va storto? Infatti, dal momento che il cloud è relativamente nuovo, non esistono a proposito regole precise sulla responsabilità e la trasparenza. “È tutta una questione di privacy, sia come individui sia come organizzazioni,” dice Julie Grady, una ricerctrice alla Hewlett Packard Enterprise nel Regno Unito. “Le imprese devono essere responsabili della sicurezza dei loro dati e dei rimedi, assumendosi la responsabilità di come lo fanno.” Creare un quadro delle linee guida sulle responsabilità per i fornitori di servizi cloud era l’obiettivo di A4CLOUD, un progetto di ricerca sulla cibersicurezza co-finanziato dall’UE e coordinato dall’azienda di Grady, conclusosi di recente. L’obiettivo principale di A4CLOUD era di delineare un approccio “anticipato” alla responsabilità per gli ecosistemi di fornitura di servizi cloud, prima del regolamento generale sulla protezione dei dati (GDPR) dell’UE, che entrerà in vigore nel 2019. Questo è stato fatto tramite un’indagine sulle migliori prassi attuali negli Stati membri e fornendo liste di controllo dettagliate delle azioni che i fornitori di servizi cloud e i loro utenti dovrebbero compiere al fine di garantire la trasparenza e la responsabilità relativa alla protezione dei dati. “La più grande sfida è stata di cercare di conciliare l’aspetto tecnico con quello legale, facendoli funzionare insieme. L’attuazione di tutto questo da parte delle imprese basate sul cloud sarà molto difficile,” ha dichiarato Grady. “Tutti gli attori, grandi e piccoli, saranno soggetti al GDPR. Su un livello, sarà più facile per le grandi imprese, in quanto dispongono dei mezzi necessari e sono abituate alla dovuta diligenza. La nostra lista di controlla è già disponibile per le PMI.” Alla domanda se la responsabilità varia tra i diversi Stati membri, ha risposto in modo sfumato. “L’interpretazione di ogni Stato membro è stata leggermente diversa. Tuttavia, finora non ci sono state grosse multe riguardo all’elaborazione dei dati e al cloud: nessuno è stato punito a livello di cliente. Ma questo cambierà dopo il 2019, è quindi importante mettersi in regola secondo le linee guida di buone prassi. La maggior parte delle imprese non se ne preoccuperà finché non entrerà in gioco il ‘bastone’ legale. Quindi in quel senso, abbiamo anticipato i tempi con A4CLOUD,” ha detto Grady.
Parole chiave
A4CLOUD, cibersicurezza, linee guida, responsabilità, cloud, protezione dei dati