Normative

Il nuovo standard ISO per il trattamento dei dati personali in Cloud

L’ISO ha appena emanato la certificazione 27018, rivolta in particolare ai service provider di Public Cloud. Oltre a garantire il rispetto degli obblighi di legge in materia, fornisce agli utenti un utile strumento comparativo per esercitare i propri diritti di verifica e audit rispetto ai livelli di conformità normativa assicurati dal fornitore

Pubblicato il 06 Mar 2015

cloud-150211123828

Gabriele Faggioli, legale, Adjunct Professor MIP-Politecnico di Milano – Partner4Innovation

Nel mese di agosto dello scorso anno, l’International Organization for Standardization ha emanato una nuova certificazione – l’ISO/IEC 27018:2014 – che presuppone e si affianca ai precedenti standard ISO/IEC 27001 e ISO/IEC 27002 in materia di gestione della sicurezza delle informazioni e che viene specificamente indirizzata ai service provider di Public Cloud.

La finalità dichiaratamente perseguita da tale Standard è quella di creare un set di regole, procedure e controlli attraverso cui i fornitori di servizi Cloud che, ai sensi della normativa europea in materia di privacy, agiscano in qualità di “data processor”, possano garantire il rispetto degli obblighi di legge in materia di trattamento dei dati personali, fornendo al tempo stesso ai potenziali Cloud service consumers un utile strumento comparativo per esercitare i propri diritti di verifica ed audit rispetto ai livelli di compliance normativa assicurati dal fornitore.

L’ISO 27018 richiama e specifica le best practices già enucleate dall’ISO 27002 in materia di security policy, sicurezza organizzativa, fisica ed ambientale, gestione della continuità operativa, controllo degli accessi e sicurezza del personale, stabilendo inoltre, in aggiunta a queste, una serie di misure e controlli ulteriori non necessariamente destinati a tradursi in clausole contrattuali (la trasposizione dei contenuti dello Standard è, infatti, rimessa all’iniziativa del Cloud provider che vi aderisce, trattandosi di misure non cogenti, ma destinate a trovare applicazione su base volontaria); ciò nondimeno è ragionevole prevedere che l’adesione alla Certificazione in commento costituirà un surplus distintivo rispetto alla generalità dei servizi offerti sul mercato, contribuendo alla diffusione prassi contrattuali e commerciali “virtuose” e conformi alla normativa di legge.

Tra le misure innovative enucleate dall’ISO 27018, da segnalare in particolare le seguenti:

  • Il fornitore, in qualità di Responsabile del trattamento, dovrà prevedere strumenti idonei a consentire e facilitare l’esercizio, da parte dell’interessato, dei propri diritti di accesso, rettifica e cancellazione nei confronti del Titolare del trattamento (tipicamente, il Cloud consumer);
  • in relazione alle finalità del trattamento, il fornitore dovrà garantire la rispondenza del trattamento alle sole finalità rese note al cliente in sede di contrattualizzazione del servizio, in particolare assicurando che i dati non verranno trattati per finalità che esulano quelle indicate dal cliente, né per finalità di marketing diretto o pubblicitarie, salvo che non vi sia esplicito consenso dell’interessato; consenso che, in ogni caso, non potrà mai costituire una condicio sine qua non imposta dal fornitore per la fruizione del servizio;
  • salvo eventuale divieto previsto per legge, la richiesta di divulgazione di dati personali proveniente da autorità amministrative o giudiziarie dovrà essere tempestivamente notificata al Cloud service consumer;
  • relativamente alla materia del subappalto, lo Standard prevede, in maniera particolarmente incisiva, il diritto del cliente a conoscere, ancor prima di iniziare a fruire del servizio, l’intera catena degli eventuali subfornitori, i Paesi ove essi sono stabiliti, la localizzazione dei data center da essi utilizzati nonché gli obblighi degli stessi in relazione al trattamento dei dati. E’, inoltre, riconosciuto al cliente il diritto di opporsi ad eventuali codifiche della catena dei subfornitori, ovvero di risolvere il contratto;
  • il fornitore dovrà tempestivamente notificare al cliente ogni violazione di dati personali da cui si derivata una perdita, distruzione, alterazione, divulgazione o accesso abusivo, al fine di consentire al Titolare ed eventualmente agli interessati di darne a loro volta notizia alle Autorità di controllo, nel rispetto dei tempi previsti dalla legge;
  • il contratto di servizio dovrà approntare una policy di transfer back che dettagli le modalità di restituzione, trasferimento e/o cancellazione dei dati detenuti dal fornitore alla cessazione degli effetti del contratto medesimo;
  • in relazione alle misure di sicurezza delle informazioni, sarebbe opportuno che tutto il personale del fornitore e degli eventuali subfornitori fosse vincolato da specifici accordi di riservatezza, ricevesse adeguata formazione, accedesse ai dati mediante specifiche operazioni di autenticazione e logging.

*Gabriele Faggioli, legale, Partner4innovation.
Annamaria Italiano, Avvocato, Partner4innovation.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Argomenti

Canali

Articoli correlati

Prossimo

Software house italiane: la fotografia di un comparto sempre più strategico per il sistema-paese