Il diritto alla protezione dei dati personali è un tema che, specie in conseguenza dello sviluppo e della diffusione delle tecnologie informatiche e dei rischi ad esse collegati, sta assumendo un rilievo sempre maggiore.

Il “dato digitale” ha assunto un ruolo fondamentale anche all’interno di categorie molto legate ad un modus operandi tradizionalmente avvezzo all’utilizzo di supporti cartacei, facendo emergere diverse criticità principalmente connesse alla scarsa conoscenza del funzionamento delle nuove tecnologie e dei rischi ad esse legati.

Perché è importante proteggere i dati I principi universalmente riconosciuti in materia di data protection si possono ricondurre a tre basilari proprietàdelle informazioni quali la riservatezza, l’integrità e la disponibilità del dato, che per essere adeguatamente implementate necessitano di un mix di misure di sicurezza logiche, fisiche e organizzative.

La riservatezza, da non confondere con i concetti di privacy e segreto professionale, è la qualità che permette l’accesso al dato ai soli soggetti autorizzati. Nelle nostre menti si lega fin da subito a misure di sicurezza fisiche, volte ad evitare accessi abusivi provenienti dall’esterno: particolarmente delicato dal punto di vista fisico negli studi professionali è per esempio la gestione dei fascicoli cartacei dei clienti e la collocazione logistica degli archivi storici.

Meno si pensa, invece, all’adozione di firewall, Intrusion Detection System (IDS), Intrusion Prevention System (IPS), che tutelano l’organizzazione da violazioni informatiche, quindi virtuali, che sfruttano vulnerabilità logiche dei sistemi IT.

Tra le buone pratiche da non sottovalutare per evitare le intrusioni informatiche ci sono:

1.  L’accurata gestione delle password;
2.  La previsione di scrupolose regole di autorizzazioni informatiche per l’utilizzo di risorse in linea con il principio del need to know;
3.  La cifratura delle informazioni (soprattutto se si trattano dati in mobilità con dispositivi quali i supporti Usb oppure si ricorre a servizi Cloud di terze parti) e delle comunicazioni che evitano la trasmissione dei dati “in chiaro”.

L’integrità del dato è quella proprietà in grado di mantenere l’informazione intatta e quindi non modificabile da parte dei soggetti che non godono dei diritti per poterlo fare.

Dal punto di vista tecnico, per raggiungere tale obiettivo, occorre mantenere costantemente aggiornato sia il sistema operativo e tutti gli applicativi comunemente utilizzati, con particolare riferimento ai software di videoscrittura e quelli utilizzati per creare i file in formato PDF.

Molti rilasci da parte delle software house forniscono codice aggiuntivo per sistemare bug precedenti. Parimenti importante risultano l’adozione di software antivirus e antispam e la
manutenzione periodica dei sistemi informatici.

La maggior parte delle violazioni riguarda una qualche esposizione di dati personali. In ogni caso un’informazione importante dell’organizzazione cade improvvisamente nelle mani sbagliate. Sono tuttora pratiche molto utilizzate il cracking delle password e lo sfruttamento di vulnerabilità, ma molti cyber criminali hanno come obiettivo i dipendenti aziendali.

La maggior parte delle violazioni hanno effetti diretti sulla capacità di un’organizzazione di fornire ai clienti prodotti o servizi e hanno impatti sugli individui, sui clienti e sui dipendenti della organizzazione. È per questo motivo che molti paesi si sono dotati di leggi severe sulla protezione dei dati che servono a proteggere le persone dalle minacce causate da informazioni personali cadute nelle mani sbagliate.
Le discussioni nascono solitamente intorno al tema della sicurezza informatica, come evidenziato nel Cloud Industry Forum, nel report del 2016 “Cloud e l’imperativo digitale”, in cui emerge che il 61% dell’intero campione ha dichiarato che la sicurezza era una preoccupazione significativa rispetto al tema del Cloud, con il 54% di intervistati preoccupati per la privacy dei dati.

I vantaggi del Cloud
È inevitabile che le aziende si rivolgano alla “nuvola” per tenere il passo con le esigenze di business. Potrebbe volerci del tempo per superare i timori inerenti alla cessione del controllo dei propri dati a qualcun altro. Ma pensiamo al fatto che qualche tempo fa l’utilizzo della carta di credito online causava lo stesso livello di preoccupazione. La tecnologia necessaria per garantire sicurezza, protezione e ripristino esiste e l’adozione non può che crescere, è solo una questione di tempo.

Quando si passa alla modalità in Cloud, possono venire dei dubbi in merito a come i dati vengono custoditi, dove si trovano e come vengono monitorati rispetto a possibili intrusioni. Si può dire che non ci siano rischi particolari o superiori rispetto alle soluzioni on-premise.

Il primo grande vantaggio però sta nel controllo della sicurezza delle informazioni, che sono monitorabili con costanza 24 ore al giorno e 7 giorni alla settimana grazie a una dashboard che traccia in tempo reale il livello di sicurezza sia nell’ambiente Cloud sia in quello on-premise e segnala eventuali incidenti. Questo cruscotto permette di tenere sotto controllo anche la performance dei sistemi di sicurezza ed eventuali fattori di rischio.

Ciò che dunque fa davvero la differenza è la capacità di individuare nel minor tempo possibile gli eventuali incidenti di sicurezza perché è proprio la tempestività che permette di rispondere nel modo più efficace agli attacchi.

Il secondo vantaggio è determinata dalla normativa italiana sulla Privacy che sancisce un ruolo attivo per il Cloud nella protezione dei dati personali. Le informazioni che si trovano nel Cloud restano di proprietà del cliente, ma poiché al Cloud provider è affidata la conservazione dei dati caricati dall’utente, questo assume una veste rilevante quanto al trattamento ed alle misure di sicurezza da attuare dei dati personali.

Altro oggetto di dibattito è il ruolo che assume il Cloud provider nei processi cui sono sottoposti dati personali: esso può essere associato sia alla figura del titolare del trattamento sia a quella di responsabile.

Appare quindi necessario individuare, nell’insieme dei rapporti tra detti soggetti, chi rivesta i ruoli di “Titolare” e di “Responsabile del trattamento” dei dati. Tale individuazione comporta precise conseguenze in termini d’individuazione delle responsabilità in capo a ciascun soggetto. Una certa operazione di trattamento del dato potrà essere lecita o non lecita a seconda del ruolo attribuito al soggetto del rapporto Cloud che la pone in essere.

In Italia, il Garante della Privacy ha fornito indicazioni e prescrizioni relativamente agli aspetti di trattamento dei dati personali nel Cloud computing, determinando le principali caratteristiche grazie alle quali è possibile identificare il Titolare ed il Responsabile del trattamento. Il fornitore del servizio di Cloud assume, pertanto, la responsabilità di preservare la riservatezza, l’integrità e la disponibilità dei dati. Tali obblighi sono, però, commisurati al tipo di servizio offerto ed al regime contrattuale adottato.

Il terzo vantaggio è determinato dagli alti livelli di spam e malware detection che “ripuliscono” e proteggono gli account di posta degli utenti da eventuali attacchi via email, mentre le tecnologie di cifratura garantiscono la protezione del dato.