Cloud computing: strategia UE per migliorare la sicurezza dei dati
Maggiori controlli sull'efficacia della protezione dei dati personali degli utenti e, quindi, della privacy in generale, da parte dei provider dei servizi cloud. Questo l'obiettivo finale della nuova "strategia Cloud" dell'Unione europea, la cui attuazione è prevista per il 2012.
Per cloud computing si intende un insieme di tecnologie in grado, attraverso un servizio offerto da un provider al cliente, di memorizzare/archiviare e/o elaborare dati grazie all'utilizzo di risorse hardware/software distribuite e virtualizzate in Rete.
In altri termini, una evoluzione tecnologica offerta dalla rete Internet che, però, allo stesso tempo, viene criticata principalmente per l'esposizione degli utenti a rischi legati alla sicurezza informatica e alla privacy.
A tal proposito, la Commissione europea intende accrescere la responsabilità dei provider di servizi basati sulla tecnologia cloud nei confronti dei propri utenti, in particolar modo per ciò che concerne la sicurezza dei dati, nonchè armonizzare i regimi giuridici nazionali dei 27 Stati membri, che attualmente ostacolano il processo di adozione della tecnologia in questione.x
Una regolamentazione in materia di sicurezza dei dati personali già esiste; nel 2000, infatti, le autorità europee e statunitensi sono pervenute ad un accordo in merito ai cosiddetti principi di Safe Harbour ("approdo sicuro"), al fine di assicurare ai cittadini UE, i cui dati personali, anche sensibili, siano trasferiti oltreoceano da aziende pubbliche o private, un livello di tutela adeguato.
In particolare, tale accordo prevede l'adesione volontaria da parte delle organizzazioni o imprese americane ad un sistema basato su sette di principi desunti dalla direttiva europea 95/46/CE:
- informativa agli interessati;
- consenso esplicito per i dati sensibili;
- consenso implicito per i dati non sensibili;
- facoltà di accesso ai dati;
- rispetto delle regole minime di sicurezza dei dati;
- attuazione del principio di finalità, secondo cui i dati non possono essere trattati per fini diversi da quelli per cui sono raccolti;
- attuazione del principio di pertinenza, secondo cui i dati devono essere funzionali agli scopi per i quali sono stati raccolti.
Attualmente sono circa 2.500 le aziende americane che rispettano di tali norme.
Tuttavia, in Europa, il problema della sicurezza rimane attualmente uno dei maggiori ostacoli all'adozione del cloud da parte di molte aziende. E funzionari dell'UE riconoscono che i principi di Safe Harbour non sono sufficienti a placare tali preoccupazioni.
Alla luce di questa incertezza, la Commissione intende, con la nuova strategia, ampliare il raggio di controllo sui dati per migliorare l'affidabilità dei providers nei confronti degli utenti.
Inoltre, in un rapporto elaborato da tre docenti universitari presso la Queen Mary University of London, emerge un quadro piuttosto desolante in merito alla qualità del servizio offerto dai providers e, in particolare, per ciò che riguarda la loro responsabilità in materia di dati personali: un esempio lampante è venuto dal provider americano GoGrid, che pubblica il seguente avviso ai propri clienti: "GoGrid non garantisce che il servizio sarà ininterrotto e senza errori, o esente da virus o altri componenti dannosi. Il Servizio è fornito senza garanzie in materia di sicurezza, affidabilità, protezione da attacchi, integrità dei dati, o disponibilità dei dati.".
Sebbene, poi, le aziende ritengano necessario un sistema di controlli più accurato, allo stesso tempo, i processi di auditing comportano un rincaro dei costi dei servizi che andrebbe ad abbattersi direttamente sugli utenti finali.
Links
EU Directive on the Protection of Personal Data - 95/46/CE
Report on the future of Cloud computing
Safe Harbour Agreement
o