La norma internazionale
ISO/IEC 27018 Tecnologia dell'informazione - Tecniche di sicurezza - Codice in
materia di protezione dei dati personali (PII) in cloud pubblici in qualità di
processori PII. I gestori di servizi di cloud trattano delle informazioni
personali identificabili, in altre parole dati personali, nell’ambito di un
contratto con i propri clienti. Questo contratto prevede che entrambe le parti
operino in maniera da rispettare i requisiti di tutte le disposizioni legislativi
e regolamenti applicabili, che proteggono i dati personali.
I requisiti e le modalità
tra cui può essere suddivisa la responsabilità del trattamento fra il gestore
del servizio cloud e i suoi clienti, titolari del trattamento, possono variare
in funzione della legislazione in vigore in ogni singolo paese, e anche in
funzione dei termini contrattuali concordati. La differenza di disposizioni
legislative in vigore in vari paesi può rendere oltremodo complessa la gestione
di questi dati personali.
Secondo le correnti
definizioni, un gestore di servizi del cloud è un responsabile del trattamento,
quando tratta dati personali in conformità alle istruzioni che sono state date
da un suo cliente. Il cliente, che ha una relazione contrattuale con il gestore
del cloud, può essere una persona fisica o giuridica, che opera come titolare
del trattamento. È facoltà del titolare del trattamento designare anche più di
un gestore del cloud come responsabile del trattamento, per inserire un elevato
livello di flessibilità nei servizi offerti.
A questo proposito, si
deve rilevare che il titolare del trattamento ha piena autorità e
responsabilità sulle modalità di trattamento dei dati nell’ambito del cloud.
Ciò significa che egli ha responsabilità maggiori rispetto al gestore del
cloud. Una netta distinzione fra le responsabilità del titolare e quelle del
responsabile del trattamento rappresenta un aspetto fondamentale della
impostazione formalizzazione del rapporto contrattuale.
Si noti comunque che
anche il gestore del cloud potrebbe assumere il ruolo di titolare del
trattamento, ad esempio quando egli gestisce dati di fatturazione di traffico
relativi all’attività svolta dal suo cliente. Tra gli obiettivi di questa norma
internazionale vi è quello di creare un gruppo omogeneo di categorie di
sicurezza e di controlli, che possono essere attuati dal gestore del cloud,
operante come responsabile del trattamento.
Gli altri obiettivi di questa
norma sono:
- assistere il gestore del cloud nel rispetto di tutti gli obblighi che gli competono, trattando dati personali in qualità di responsabile del trattamento,
- consentire al responsabile del trattamento di operare in modo trasparente, in modo che il titolare del trattamento possano scegliere un fornitore che dia adeguate garanzie,
- assistere nella elaborazione di un accordo contrattuale tra il titolare ed il responsabile del trattamento,
- offrire ai titolari del trattamento un meccanismo che permetta di esercitare il diritto di audit e di verifica di conformità, con attribuzioni di responsabilità laddove può essere difficile sviluppare degli audit approfonditi, in quanto i dati trasmessi dal titolare al responsabile possono essere distribuiti in un ambiente difficilmente controllabile che può accrescere i rischi legati alla inadeguatezza dei controlli di sicurezza fisici e logici di rete.
Fonte: Punto Sicuro
Nessun commento:
Posta un commento