La norma ISO/IEC 27018

La norma internazionale ISO/IEC 27018 Tecnologia dell'informazione - Tecniche di sicurezza - Codice in materia di protezione dei dati personali (PII) in cloud pubblici in qualità di processori PII. I gestori di servizi di cloud trattano delle informazioni personali identificabili, in altre parole dati personali, nell’ambito di un contratto con i propri clienti. Questo contratto prevede che entrambe le parti operino in maniera da rispettare i requisiti di tutte le disposizioni legislativi e regolamenti applicabili, che proteggono i dati personali.

I requisiti e le modalità tra cui può essere suddivisa la responsabilità del trattamento fra il gestore del servizio cloud e i suoi clienti, titolari del trattamento, possono variare in funzione della legislazione in vigore in ogni singolo paese, e anche in funzione dei termini contrattuali concordati. La differenza di disposizioni legislative in vigore in vari paesi può rendere oltremodo complessa la gestione di questi dati personali.

Secondo le correnti definizioni, un gestore di servizi del cloud è un responsabile del trattamento, quando tratta dati personali in conformità alle istruzioni che sono state date da un suo cliente. Il cliente, che ha una relazione contrattuale con il gestore del cloud, può essere una persona fisica o giuridica, che opera come titolare del trattamento. È facoltà del titolare del trattamento designare anche più di un gestore del cloud come responsabile del trattamento, per inserire un elevato livello di flessibilità nei servizi offerti.

A questo proposito, si deve rilevare che il titolare del trattamento ha piena autorità e responsabilità sulle modalità di trattamento dei dati nell’ambito del cloud. Ciò significa che egli ha responsabilità maggiori rispetto al gestore del cloud. Una netta distinzione fra le responsabilità del titolare e quelle del responsabile del trattamento rappresenta un aspetto fondamentale della impostazione formalizzazione del rapporto contrattuale.

Si noti comunque che anche il gestore del cloud potrebbe assumere il ruolo di titolare del trattamento, ad esempio quando egli gestisce dati di fatturazione di traffico relativi all’attività svolta dal suo cliente. Tra gli obiettivi di questa norma internazionale vi è quello di creare un gruppo omogeneo di categorie di sicurezza e di controlli, che possono essere attuati dal gestore del cloud, operante come responsabile del trattamento.

Gli altri obiettivi di questa norma sono:

• assistere il gestore del cloud nel rispetto di tutti gli obblighi che gli competono, trattando dati personali in qualità di responsabile del trattamento,
• consentire al responsabile del trattamento di operare in modo trasparente, in modo che il titolare del trattamento possano scegliere un fornitore che dia adeguate garanzie,
• assistere nella elaborazione di un accordo contrattuale tra il titolare ed il responsabile del trattamento,
• offrire ai titolari del trattamento un meccanismo che permetta di esercitare il diritto di audit e di verifica di conformità, con attribuzioni di responsabilità laddove può essere difficile sviluppare degli audit approfonditi, in quanto i dati trasmessi dal titolare al responsabile possono essere distribuiti in un ambiente difficilmente controllabile che può accrescere i rischi legati alla inadeguatezza dei controlli di sicurezza fisici e logici di rete.

Fonte: Punto Sicuro