News‎ > ‎

Non c'è nessuna nuvola...

pubblicato 09 mag 2017, 13:07 da Paolo Calvi   [ aggiornato in data 20 ago 2017, 11:58 ]
"There is no cloud. Cloud is somebody else's computer". Oggi al Congresso di ASSO DPO Tristan Nitot ha iniziato con questa simpatica provocazione il suo keynote speech, nel quale ha presentato il progetto di una "nuova internet decentrata" in alternativa al Cloud centralizzato dominato dai big player che offrono "gratis" (ma in verità in cambio di tutti i nostri dati personali) un servizio che varrebbe 5$ al mese. 

Larga parte della seconda giornata del congresso è stata dedicata proprio ai temi della privacy e sicurezza del Cloud. Per affrontare gli aspetti tecnici e normativi sono stati chiamati due tedeschi, un belga ed un italiano: scelta coerente con il respiro internazionale che ha pervaso tutto il congresso.
Per primo Bernhard Esslinger (Università di Siegen) ha illustrato concetti generali sul Cloud e la cifratura, che non è più "una tecnologia spaziale" ma è pervasiva, ed ha presentato una demo del progetto CrypTool (del quale è leader).

Brillante la relazione di Ernst O. Wilhelm (GFT Technologies) che ha passato in rassegna alcuni documenti di riferimento sul Cloud, correlando la loro apparizione con lo Hype Cycle di Gartner:
Risultati immagini per gartner curva della maturità
I primi due (le Linee Guida del WP29 e del Garante italiano) sono del 2012, quando le aspettative sul Cloud stavano scivolando dal "picco delle aspettative eccessive" verso il "passaggio della disillusione", che caratterizza una tecnologia promettente ma non ancora matura. Altre tre sono apparse fra il 2014 e il 2015, quando il Cloud stava risalendo il "pendio dell'illuminazione", che accompagna verso la maturità di un servizio. Si tratta dello standard ISO 27018:2014 per il trattamento dei dati personali in Cloud, del quale si raccomanda di porre l'attenzione sull'allegato A; della versione 2 del Privacy Level Agreement di CSA, per la quale i DPO dovrebbero focalizzarsi sul punto 4 (pre-requisiti) e sulla checklist contenuta nell'allegato 7; e infine del Cloud Privacy Check della Commissione Europea, un vero e proprio "tool per i DPO" secondo il relatore. Ernst ha quindi espresso l'attesa per un documento che veda la luce nel 2017, quando presumibilmente Gartner collocherà finalmente il Cloud sull' "altopiano della produttività": sarà lieto di scoprire che è in stato di avanzata gestazione la versione 3 del CSA PLA!

L'avvocato Paul van Der Bulck ha ricordato che la sicurezza del Cloud non può prescindere dalla accessibilità (che deve essere garantita) trovando un compromesso fra le due esigenze. Poi ogni caso è diverso, c'è una molteplicità di attori (fornitori e subfornitori) e non sempre è facile definire ruoli e responsabilità di Titolari e Responsabili. Ha poi ricordato che il principio della Privacy by default andrebbe applicata anche ai produttori dei dispositivi utilizzati nel cloud, ma in assenza di tali controlli (come segnalava ieri anche Buttarelli) l'onere della verifica resta in capo a Titolari e Responsabili che li utilizzano.

L'esponente del Garante italiano Luigi Montuori ha ricordato che la gestione della sicurezza nel Cloud è regolata dalle garanzie contrattuali previste dall'Art. 27 del GDPR per i Rappresentanti nella UE non solo di Titolari, ma anche di Rappresentanti stabiliti fuori dall'Unione. Per garantire affidabilità ai servizi Cloud è possibile (e raccomandato) utilizzare clausole standard, codici di condotta o certificazioni; anche il ricorso a standard internazionali può essere d'aiuto.

Comments