GDPR e Cloud: 6 questioni importanti da considerare

GDPR e Cloud: 6 questioni importanti da considerare

Il conto alla rovescia è iniziato. Il GDPR (Regolamento Generale sulla Protezione dei dati) entrerà in vigore a maggio del 2018.
Il Regolamento è stato creato dall’Unione Europea ma avrà portata globale, la protezione dei dati verrà applicata e si estenderà in ogni parte del mondo in cui risiede un cittadino europeo.

Il GDPR è un regolamento complesso, i requisiti richiesti sono molti ed eterogenei e diverse sono le iniziative a cui le organizzazioni dovranno rispondere.
Il cuore della normativa è la protezione dei dati. L’obiettivo è proteggere i dati personali e garantire che i responsabili, titolari del trattamento, assicurino una protezione continua delle informazioni personali sensibili.

Per poter rispondere ai requisiti di protezione dei dati, le imprese devono assumersi una responsabilità notevole, seguire best practices e soprattutto prendere iniziative concrete e attive per la protezione dei dati a loro affidati.
Le organizzazioni saranno tenute a dimostrare l’adempimento alla normativa, e questo potrà risultare impegnativo ma quando il processo verrà metabolizzato e interiorizzato tanto da diventare procedura consolidata l’impatto del GDPR sarà sicuramente ridotto.
Ci sono 6 questioni, che ha sottolineato Willy Leichter  in un suo articolo del Chiper Cloud che vale la pena tenere a mente quando ci si adeguerà alla nuova normativa, le riportiamo in questo post.

1. Il cloud è una sfida

Il cloud potrebbe costituire un problema per quanto riguarda la privacy a livello globale, però dall’altra parte la sua adozione deve essere anche vista come una sfida che ogni paese dovrà vincere per la sovranità dei dati.
Per loro natura, infatti, i dati nelle applicazioni cloud sono al di fuori di un controllo diretto. Molto spesso non è possibile garantire che i dati di cui si ha la responsabilità non attraversino effettivamente i confini nazionali o che non siano accessibili da più regioni.
La crescita esponenziale nell’adozione del cloud può generare diversi problemi legati alla protezione e alla privacy. L’impossibilità di garantire sicurezza è dovuta al non conoscere l’esatta localizzazione dei dati e a non sapere chi potrebbe averne accesso. Una cosa è fidarsi del cloud provider che si conosce e con cui viene stipulato un contratto, un’altra è invece ammettere nel processo persone esterne dalle quali non è possibile avere delle verifiche di conformità.

2. Il Titolare del trattamento è sempre responsabile

E’ importante evidenziare che anche se i dati protetti vengono depositati nel cloud si è comunque responsabili della loro protezione.
Mentre i cloud provider possono avere una certa responsabilità contrattuale, questa è comunque limitata. Se si verifica una violazione dei dati, a prescindere da chi è colpevole, è il titolare del trattamento che subirà delle sanzioni perchè è il soggetto che ha responsabilità dei dati.

Il Regolamento in tal senso è esplicito: il responsabile deve attuare tutte le misure adeguate di protezione in ambito tecnico e organizzativo.
Questa linea di pensiero chiarisce che non è possibile affidarsi a terzi, come i provider, per ciò che riguarda la sicurezza perchè nella delega possono essere lasciate in ombra molte questioni rilevanti in merito all’esposizione dei dati.

3. Comprendere la “pseudonymisation”

La pseudonymisation è fondamentale e la sua comprensione e applicazione può aiutare nel soddisfare molti requisiti che il GDPR richiede, naturalmente se viene correttamente implementata. La parola pseudonymisation risulta dall’unione di pseudonimo e anonimizzazione e si riferisce a varie tecnologie che possono oscurare, codificare o mascherare dati sensibili.
Ma il termine è comunemente associato alla crittografia o alla tokenizzazione. L’obiettivo della pseudonymisation è rendere efficace l’anonimizzazione dei dati sensibili. Se i dati personali sono resi veramente anonimi, allora non è possibile identificare direttamente o indirettamente la specifica persona contenuta in essi e quindi lo stesso GDPR non è da applicarsi.

Tecniche come la crittografia e la tokenizzazione sono molto efficaci nel rendere anonimi i dati, ma c’è una criticità che viene sottolineata dal GDPR.
Quando i dati sono protetti, c’è un elemento secondario di informazioni (in genere un codice di crittografia o un database token) che può sbloccare e ripristinare le informazioni protette.
Il GDPR richiede che i passaggi di protezione dei dati siano presi in carico dal responsabile e che le informazioni aggiuntive (come le chiavi) vengano tenute separatamente.
Proprio come quando si chiude casa, la prima regola è non lasciare le chiavi nella serratura. Per avere una pseudonymisation dei dati efficace, le chiavi di crittografia devono essere detenute esclusivamente dal titolare del trattamento (da chi controlla i dati) e non devono essere accessibili al cloud provider che ha il compito di memorizzare i dati crittografati.

4. Evitare le notifiche di violazione

L’obbligo alla notifica della violazione dei dati, conosciuta meglio come data breach ha origini dalle leggi statali statunitensi ed ora viene richiesto l’adempimento in quasi tutti gli stati, e da molti regolamenti federali come HIPAA.
Se vi è una violazione pubblica di qualsiasi tipo o dimensione, le persone devono essere informate.

Questo requisito ha avuto il merito di impegnare se non “quasi costringere” le organizzazioni a proteggere in modo proattivo i loro dati in modo tra l’altro da evitare un possibile danno che una divulgazione pubblica della violazione avrebbe comportato.

Il data breach viene disciplinato dal GDPR, negli artt. 33 e 34, in particolare viene disposto che ogni qualvolta venga rilevata una violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali e questa presenti un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento è tenuto a informare sia l’autorità di controllo sia l’interessato (a cui i dati si riferiscono) ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza.

Ma la buona notizia è che se si è proceduto ad una adeguata pseudonymisation e il titolare del trattamento ha mantenuto le chiavi di crittografia, allora la violazione non costituisce un rischio per i diritti e le libertà delle persone e il quindi non ci sarà bisogno di notificarla.

5. Privacy by Design e Default

La Privacy by Design e Default è il principio centrale del GDPR, i responsabili dei dati devono proattivamente adottare tutte le misure ragionevoli per proteggere le informazioni sensibili e seguire le best practices.

Una di queste best practices ad essere chiamata specificatamente in causa dal Il GDPR è la crittografia. Dovrebbe essere utilizzata come impostazione predefinita, di “default”, è una misura di sicurezza che deve essere applicata “il più presto possibile”.

La crittografia è accettata e riconosciuta da esperti nel settore tecnologico. L’ENISA (Agenzia dell’Unione europea per la sicurezza delle reti e dell’informazione) ha dato disposizioni specifiche su come implementarla correttamente per adempiere al GDPR: le operazioni di codifica / incorporazione e decrittografia / recupero devono essere eseguite localmente,così come le chiavi utilizzate se si vuole ottenere una privacy dello storage devono rimanere potenzialmente dell’utente.

Lo storage massivo di dati in outsourcing su cloud remoto è un processo relativamente sicuro, naturalmente se solo il proprietario dei dati, quindi non il servizio cloud dispone delle chiavi di decodifica.

6. Ridurre l’ambito di controllo

Senza dubbio le organizzazioni saranno molto impegnate per adeguarsi a tutte le misure disciplinate dal GDPR. Naturalmente, tutto ciò la tecnologia offre e metterà in campo per ridurre la mole di lavoro sarà ben accolto.
Il cloud lancia diverse sfide specifiche riguardo alla conformità. Ad esempio, il Regolamento richiede che al titolare del trattamento spetti il dovere di valutare come i dati vengono gestiti dal provider, effettuare il controllo, anche periodico, dell’implementazione delle misure di sicurezza.

In concreto, questi processi possono comportare delle difficoltà e a volte risultare non attuabili con la maggior parte dei provider cloud, i quali spesso non vorranno consentire che i loro clienti forniscano istruzioni di sicurezza specifiche e non vorranno permettere a degli esterni di effettuare dei controlli.

L’idea banale di includere un cloud provider esterno per attuare verifiche di sicurezza potrebbe moltiplicare le problematiche riguardo alla conformità. Alla base c’è il fatto che a un qualsiasi provider si affidano molte persone e che durante i processi è possibile entrare in contatto con i dati, perchè non c’è visibilità nè controllo.

Quindi, proteggere i dati regolamentati prima che lascino l’azienda, controllare il processo e le chiavi di crittografia non solo sono best practices utili a migliorare la sicurezza, ma possono essere strumenti per ridurre notevolmente i requisiti di verifica spesso gravosi per le aziende. Inoltre, la loro adeguata applicazione sottrae i cloud provider dal questo compito di verifica.

Si ritiene comunque indispensabile scegliere un cloud provider conforme e sensibile alla normativa GDPR, Amazon Web Services si rileva un’ottima opzione. Approfondisci nel post Massima conformità di AWS al GDPR.

Comments are closed.

Utilizzando il sito, accetti l'utilizzo dei cookie da parte nostra. maggiori informazioni

Questo sito utilizza i cookie per fornire la migliore esperienza di navigazione possibile. Continuando a utilizzare questo sito senza modificare le impostazioni dei cookie o cliccando su "Accetta" permetti il loro utilizzo.

Chiudi