Tra le novità introdotte dal Regolamento Generale per la Protezione dei Dati (GDPR) che in tutta Europa ha sostituito le normative locali sulla privacy, quella della responsabilizzazione dell’azienda lungo tutta la filiera di trattamento dei dati ha una portata che non tutti hanno ancora compreso appieno.

Invece di stabilire criteri tecnici a cui le aziende devono adeguarsi, la norma stabilisce che è l’azienda che effettua la raccolta e il trattamento dei dati a dover analizzare i rischi per la privacy degli interessati e adottare tutte le misure necessarie a garantirne riservatezza, correttezza e disponibilità.

Questa responsabilità non si limita alla messa in sicurezza dei sistemi aziendali interni, ma si estende a tutti i fornitori che si trovino in qualche modo a trattare quei dati, come per esempio i fornitori di servizi IT, i call-center, le agenzie di marketing, i centri che stampano elenchi e fatture…

La normativa definisce questi soggetti “responsabili del trattamento” (data processor), e prevede che il titolare del trattamento dei dati (il data controller), stipuli con essi un contratto in cui siano indicate clausole specifiche riguardanti il trattamento dei dati personali (Art. 28 del GDPR, comma 3). Il titolare deve quindi assicurarsi che il fornitore garantisca, per iscritto, che tratterà i dati personali in modo conforme alla direttiva.

Un esempio pratico e il problema delle PMI

Facciamo un esempio concreto. Il GDPR non obbliga a tenere i dati in UE, ma i dati dei soggetti residenti  nell’UE devono essere trattati in modo conforme alla normativa. Se un dato deve essere trasferito in un altro paese o presso un’organizzazione internazionale che non ha standard almeno equivalenti al GDPR, è obbligatorio ottenere dall’interessato uno specifico consenso prima di trasferire i dati.

Si noti che non è sufficiente che i dati siano gestiti da un fornitore con presenza locale, se questi utilizza server al di fuori dell’Unione. Questi vincoli pongono il titolare del trattamento in una condizione di incertezza, se dovesse usare software o server in cloud di fornitori che:

  • non hanno data center in EU, o hanno solo alcuni dei servizi in EU (come alcuni cloud provider americani);
  • non dichiarano dove sono i dati;
  • non fanno scegliere autonomamente e con certezza la posizione geografica del data center dove risiederanno i dati.

Le grandi aziende possono permettersi di impiegare team tecnici e legali per sottoporre i propri fornitori a procedure di autiding e definire con loro contratti di servizio che li vincolino a garantire il rispetto delle procedure stabilite. Attività di questo tipo sono però precluse alle piccole e medie aziende, che non hanno né le risorse, né la forza contrattuale per questo tipo di trattative.

Per le PMI, la scelta di un fornitore affidabile, che sia in grado di offrire a tutti i suoi clienti la garanzia di agire nel pieno rispetto del GDPR, diventa quindi un fattore strategico, perché  in caso di problemi può determinare la vita o la morte della propria azienda. Già, perché l’altra grande novità del GDPR, è che l’entità delle sanzioni in caso di violazione è cresciuta enormemente, prevedendo un massimo di 20 milioni di euro.

Il Cloud Aruba: 100% europeo, GDPR Ready

Aruba S.p.A. eroga attraverso il suo marchio Aruba Cloud servizi che supportano le aziende nel loro percorso di conformità al GDPR, soddisfacendo esigenze IT di ogni tipologia e dimensione, dal sito web del professionista all’infrastruttura cloud della media impresa. Avendo base in Italia, i dati anagrafici e amministrativi dei clienti sono gestiti unicamente nel nostro Paese. Aruba ha inoltre aderito al Codice di Condotta CISPE (Cloud Infrastructure Services Providers in Europe), che garantisce che i dati di terzi caricati dai clienti sul cloud non saranno trattati per operazioni di data mining, profilazione o marketing diretto.

L’infrastruttura di Aruba conta otto data center in Unione Europea, di cui tre in Italia. I data center di Milano PSP e Arezzo sono certificati ai massimi livelli per la resilienza e qualità infrastrutturale previsti dalla normativa ANSI/TIA 942-A (Rating 4) e hanno certificazione ISO 27001, grazie ai loro avanzati sistemi di sicurezza logica e fisica (sorveglianza, monitoraggio, backup energetici e ridondanze degli impianti).

Aruba può quindi garantire ai propri clienti che i servizi cloud possono essere attivati esclusivamente entro i confini dell’UE, permettendo al cliente di scegliere autonomamente il paese in cui risiedono i dati. Grazie alla presenza di tre data center italiani nelle region,  è possibile attivare la ridondanza geografica senza uscire dai confini nazionali (cosa importante per chi eroga servizi alla Pubblica Amministrazione, per esempio).

Un altro aspetto a cui si presta poca attenzione è che i dati personali devono essere protetti non solo da una loro abuso o illegittima diffusione, ma anche da una loro cancellazione involontaria e comunque devono essere sempre disponibili per la gestione da parte del proprietario. È quindi importante che dei dati personali esistano copie di sicurezza, possibilmente in posizione diversa dall’originale, e che siano predisposte soluzioni che assicurino la continuità del servizio.

Per la propria soluzione di cloud backup, Aruba può garantire che i dati in transito vengano cifrati con canale SSL, mentre i dati sullo storage possono essere cifrati con lo standard AES-256. In questo modo, viene evitata la divulgazione non autorizzata o l’accesso ai dati personali.

La funzione di Disaster Recovery as a Service (DraaS) offre inoltre una protezione sia dei dati in cloud, sia di quelli presenti nella propria infrastruttura, in modo semplice e sicuro. È possibile definire piani e politiche di Disaster Recovery selezionando le infrastrutture virtuali VMware on-premise e/o i datacenter Aruba abilitati al servizio Private Cloud, creando in pochi minuti repliche dei dati tra siti remoti e attivare le procedure di Disaster Recovery, sempre monitorando i due parametri principali in questi casi:

  • RPO (Recovery Point Objective) descrive la quantità di dati non ancora sincronizzati;
  • RTO (Recovery Time Objective) rappresenta il tempo necessario per completare la procedura necessaria a rendere i propri servizi nuovamente attivi sul sito di disaster recovery.

Il servizio DRaaS è disponibile anche in modalità “Managed”. In questo caso la gestione è affidata a personale tecnico qualificato Aruba.

A questo link si possono trovare ulteriori informazioni sulle soluzioni di Aruba Cloud per la compliance GDPR