Oggi, il 94% delle aziende italiane utilizza almeno un servizio cloud, di cui il 91% sul cloud pubblico (condiviso e gestito da provider esterni) e il 72% su servizi cloud privati (dedicati). Il recente studio Eurostat conferma questa tendenza in Europa dove oltre il 45% della spesa IT per infrastrutture di sistema, software applicativo e outsourcing dei processi aziendali passerà dalle soluzioni tradizionali al cloud entro il 2024.

In questo contesto, le società devono necessariamente esternalizzare parte di loro servizi o infrastrutture in quanto la domanda di servizi telematici è cresciuta in modo vertiginoso in tutto il mondo ed il commercio è diventato un’attività gestita online per stare al passo con la tecnologia. Anche i governi e gli enti pubblici hanno dovuto adattare le proprie organizzazioni per soddisfare la crescente domanda di servizi online. Nell’epoca digitale in cui evolviamo, questa necessità è anche dovuta ai requisiti di legge, come ad esempio la fatturazione elettronica. Tali vincoli costringono le aziende a trasferire dati personali e dati strategici fuori dai loro ambienti lavorativi, attraverso reti in cloud.

Per adeguare la propria azienda, il CPO coordinandosi con il vertice aziendale, deve scegliere un provider di servizi cloud, attività per la quale il mercato globale offre centinaia di soluzioni, che consente all’azienda, tramite la rete Internet, di fruire di un determinato servizio che possa essere utile all’ottimizzazione dello svolgimento di determinate attività aziendali e professionali in generale. Operare una scelta in questo campo è tutt’altro che agevole. Sono tanti i parametri da prendere in considerazione e certamente la velocità di navigazione e il prezzo hanno un peso, come del resto accade sempre in ambito software. Ma non solo. 

Per poter verificare altri parametri di importanza capitale, il CPO si deve affiancare di figure tecniche e specialistiche, perché l’adozione di tecnologie cloud in Europa deve essere conforme ai requisiti di sovranità, protezione dei dati, nonché alle norme che tutelano la concorrenza.

In quest’articolo, ci focalizziamo sulle novità che impone il Regolamento UE 2016/679 sulla protezione dei dati personali in azienda, detto GDPR, per la scelta di servizio in Cloud. Per questo motivo, la società deve scegliere con attenzione il Cloud provider tenendo in considerazione il principio di Accountability in virtù del quale non solo si deve conformare a tutta la normativa Privacy e al GDPR, ma deve anche dimostrarlo. Tale principio vuol dire anche che l’azienda deve avere un atteggiamento “proattivo” per implementare un sistema di gestione del rischio privacy attraverso misure e procedure adeguate ed efficace che gli permettono di procedere con le scelte conforme alla normativa. 

Nel contesto in esame, l’impresa utente di servizi cloud è titolare del trattamento e dei dati raccolti e trattati nell’ambito della propria attività imprenditoriale e il Cloud provider è responsabile del trattamento, questo rapporto è normato all’articolo 28 del GDPR che prevede in capo al titolare del trattamento numerosi obblighi per una scelta consapevole e conforme dei propri fornitori.

In questo ambito, è buona prassi che la società esegua, prima della conclusione del contratto di Cloud computing, un’attività di Due Diligence per verificare se il fornitore sia in grado o meno di rispettare i requisiti tecnici e la normativa sulla protezione dei dati personali. L’attività deve concentrarsi sul capire il livello generale di conformità al GDPR, il ciclo vita del trattamento dei dati personali e la gestione dei server utilizzati. Sotto questo punto di vista è fondamentale conoscere l’ubicazione geografica non solo dei server principali, ma anche di quelli di backup. 

Riguardo all’ubicazione dei server, una preoccupazione crescente del Parlamento Europeo è la mancanza di controllo sui dati prodotti sul territorio europeo perché il mercato globale del cloud pubblico è attualmente dominato in larga misura da aziende statunitensi e asiatiche.  I governi europei hanno iniziato ad abbandonare le soluzioni cloud offerte da aziende non europee per adottare soluzioni cloud progettate a livello europeo.

In caso di server ubicati in territorio extra-UE devono essere rispettate precise basi giuridiche per trasferire i dati all’estero: decisioni di adeguatezza della Commissione europea o garanzie adeguate come ad esempio l’adesione del Cloud provider ad un codice di condotta ne costituiscono un esempio. All’uopo si evidenzia il codice di condotta CISPE. In assenza di tali garanzie, l’utilizzo di servizi cloud è messo in discussione e può generare sanzioni all’azienda europea utilizzatrice in caso di violazione dei principi del GDPR.

Altro aspetto da tenere in considerazione nella scelta di un Cloud provider è quello relativo alla sicurezza, l’utilizzo della crittografia e la gestione degli incidenti di data breach. La sicurezza va intesa come fisica, legata ai Data Center, ma anche dei dati personali che saranno oggetto di trattamento. Il titolare deve valutare se le misure di sicurezza esistenti siano conformi. In questo caso l’esistenza di certificazioni in materia tali SSAE 16, SOC 2 e ANSI/TIA-942 Tier x level per la protezione fisica; ISO/IEC 27701:2019 per quanto riguarda la protezione e gestione dei dati personali sono di fondamentale importanza.

Per i provider di livello internazionale che hanno un forte potere contrattuale, l’attività di auditing essendo di difficile implementazione, è indispensabile individuare con estrema precisione i Service Legal Agreement e capire se il livello di servizio erogato sia compatibile con le proprie strategie aziendali e policy di sicurezza. 

Questi aspetti devono essere verificati anche per i sub-fornitori utilizzati dal Cloud provider, il quale deve fornire un elenco dettagliato e aggiornato. La questione può diventare piuttosto complessa qualora ad esempio il Cloud provider si serva di sub-fornitori che siano ubicati in una sede geografica fuori dall’Unione Europea. Questo punto va definito nel dettaglio per evitare sorprese operative e rischi di non conformità.

Una volta effettuate le verifiche ed individuato il cloud provider, la società titolare del trattamento, definisce il data protection agreement (Art. 28 del GDPR), che disciplina formalmente l’attività sia dal punto di vista giuridico, ma anche dal punto di vista operativo e tecnico, in modo tale da garantire un livello di protezione dei dati personali adeguato in sintonia con gli obiettivi di sicurezza e di compliance aziendali e far pagare penali ai provider che violino queste clausole. All’atto di preparazione del contratto, il CPO coinvolge preferibilmente il Data Protection Officer per precisare le informazioni e le istruzioni che saranno necessarie per dimostrare la conformità della società. 

La documentazione contrattuale va aggiornata periodicamente con la lista delle misure di sicurezza e la lista dei sub fornitori. I controlli di conformità del fornitore vanno effettuati ciclicamente, se possibile, con visite on site o richieste di compilazione di questionario di sicurezza aggiornato e integrato di nuove necessità per soddisfare il principio di accountability ed ottenere le necessarie garanzie da parte del fornitore. Nella scelta che verrà effettuata, è consigliato stilare una lista di Cloud provider conformi in modo da aver pronto un fornitore sostituto in tempi brevi in caso di necessità.

Dall’analisi sopra riportata si evince quanto sia complessa e delicata la scelta del Cloud provider soprattutto se questi siano grandi multinazionali. Per adeguarsi al GDPR, grandi player come Google stanno organizzando l’implementazione di nuovi server in paesi europei e sottoscrivono partnership con aziende di security e management IT locali, in modo da proporre un servizio integrato locale in conformità con la normativa europea.

Infine, la scelta di un DPO preparato che abbia un programma di controllo specifico nell’ambito della gestione delle terze parti, come specificato dal GDPR, e un programma di verifica periodico relativo alla selezione, il monitoraggio e l’audit dei fornitori è fondamentale per sviluppare maggiore consapevolezza e gestire i rischi.

In conclusione, l’azienda ha la necessità di implementare una gestione accurata delle terze parti. Il percorso, per essere vincente, va calibrato con il supporto di un “DPO” altamente specializzato che garantisce un controllo sull’adeguatezza, l’applicazione dei processi e vigila sul rispetto del GDPR.

Grazie al fractional management, le PMI possono organizzarsi come una grande impresa ed inserire profili altamente specializzati nel proprio organigramma per garantire l’adeguatezza alla regolamentazione sulla protezione dei dati personali e alla gestione delle terze parti a supporto del CPO.

YOURgroup ha recentemente lanciato la Practice ICT TELCO proprio per mettere a disposizione risorse manageriali immediatamente fruibili con competenze acquisite in questo ambito che possano aiutare le PMI nel governare i processi di digitalizzazione.

Fabienne Flesia
Fabienne FlesiaPartner yourCFO