Due nuovi documenti pubblicati dal Garante della privacy forniscono informazioni interessanti per la protezione dei dati su cloud computing e tablet.
Per quanto riguarda la questione cloud, il Garante scrive che
“L’Autorità nell’ottica di promuovere un utilizzo corretto delle nuove modalità di erogazione dei servizi informatici, specie per quelli erogati tramite cloud pubbliche (public cloud), che comportano l’esternalizzazione di dati e documenti, ritiene opportuna e doverosa un’opera di informazione orientata a tutelare l’importante patri- monio informativo costituito dai dati personali.. Prima di esternalizzare la gestione di dati e documenti o adottare nuovi modelli organizzativi è necessario porsi alcune domande, scegliendo con cura la soluzione più sicura per le attività istituzionali o per il proprio business. Acquisire servizi cloud significa acquistare presso un fornitore di servizio risorse (ad esempio server virtuali o spazio disco) oppure applicazioni (ad esempio posta elettronica e strumenti per l’ufficio):
• I dati non risiedono più su server “fisici” dell’utente, ma sono allocati sui sistemi del fornitore (a meno di copie in locale)
• L’infrastruttura del fornitore del servizio è condivisa tra molti utenti per cui sono fondamentali adeguati livelli di sicurezza
Garante per la protezione dei dati personali
• L’utilizzo del servizio avviene via web tramite la rete Internet che assume dunque un ruolo centrale in merito alla qualità dei servizi fruiti ed erogati
• I servizi acquisibili presso il fornitore del servizio sono a consumo e in genere è facile far fronte ad eventuali esigenze aggiuntive (ad esempio più spazio disco o più potenza elaborativa)
• Esternalizzare i dati in remoto non equivale ad averli sui propri sistemi“.
Le indicazioni inserite in questo documento hanno l’obiettivo di far riflettere gli utenti su alcuni aspetti giuridici, di sicurezza ed economici relativi all’utilizzo del cloud computing.
Il secondo documento si riferisce invece all’utilizzo dei tablet e degli smartphone. Il Garante ha quindi inserito indicazioni per il corretto trattamento dei dati personali in riferimento all’utilizzo di tablet e smartphone, con consigli su come aumentare la sicurezza degli utenti.
Le risposte rese dai soggetti interpellati (Apple, Nokia, Google e non solo) hanno evidenziato l’adozione di politiche aziendali solo in parte comuni.
In tutti e quattro i casi oggetto di indagine, ad esempio, lo sviluppatore terzo può proporre le applicazioni di propria creazione per la distribuzione sulla piattaforma di market dell’intermediario prescelto soltanto a seguito del perfezionamento di una
procedura di registrazione ed all’accettazione di specifici accordi contrattuali predispo- sti, proprio, da quest’ultimo; ne consegue una marcata eterogeneità delle clausole contrattuali cui gli sviluppatori sono vincolati, a seconda che decidano di proporre le proprie creazioni all’una o all’altra delle quattro diverse società.
Le indicazioni fornite, segnate naturalmente dal carattere della confidenzialità, hanno evidenziato differenze più o meno sensibili anche in ordine alle attività di controllo, alle assunzioni di responsabilità, ai rimedi esperibili in caso di inconvenienti, sia di carattere tecnico, nel funzionamento dell’applicazione, sia di carattere giuridico e dunque maggiormente attinenti agli aspetti contrattuali.
Ulteriori diversità sono state osservate anche con specifico riguardo al profilo che più direttamente interessa questa Autorità, quello cioè della protezione dei dati perso- nali degli utenti. In quest’ambito è stato possibile, tuttavia, identificare due diversi e contrapposti modelli di condotta, che si distinguono per il modo in cui viene garantita la sicurezza delle applicazioni messe in vendita tramite il market e possono essere definiti nel modo seguente:
• privacy by process
• privacy by platform
10 Smartphone e tablet: scenari attuali e prospettve operative
Nel modello privacy by process, il processo di accreditamento dei potenziali sviluppa- tori e di inserimento delle loro applicazioni nel market viene sottoposto ad un rigido controllo, tipicamente formalizzato in un accordo ToS (Terms of Service – condizioni di contratto) tra il soggetto interessato a pubblicare il suo software sul market e il gestore del market stesso. Inoltre, l’applicazione viene controllata allo scopo di garan- tirne la sicurezza sotto il profilo tecnico prima dell’immissione nel mercato.
Nel modello privacy by platform il gestore del market non effettua un controllo preventivo sull’applicazione, ma affida la tutela dei diritti dell’utente alla solidità della piattaforma di sistema operativo, alle sue funzionalità che permettono all’utente di avere coscienza di quali dati saranno oggetto di trattamento da parte dell’applica- zione disponibile sul market, facendo ricorso a meccanismi di ranking gestiti dagli
stessi utenti. In termini più concreti, chi utilizza il market può verificare per ogni applicazione disponibile le opinioni di coloro che prima di lui ne hanno già fatto uso, espresse sotto forma di punteggi sintetici e commenti. Inoltre, all’atto dell’installa- zione di un’applicazione la piattaforma software presente sul suo smartphone provvede ad informare l’utente su quali funzionalità l’applicazione utilizzerà e quindi a quali dati può potenzialmente accedere.