Consulenza o Preventivo Gratuito

Obbligo per i fornitori di localizzare i server

del 03/08/2013
di: Antonio Ciccia
Obbligo per i fornitori di localizzare i server
Nuvola virtuale sotto controllo. I fornitori di servizi cloud dovranno dichiarare l'esatta posizione dei server a servizio delle p.a.. È quanto precisato dal Garante della privacy, che ha anche diffuso il bilancio del primo semestre 2013 (208 ispezioni e 2 milioni di euro di sanzioni).

La precisazione sul cloud è contenuta nel parere del 4 luglio 2013, n. 333, sullo schema di «Linee-guida per il Disaster Recovery delle pubbliche amministrazioni» predisposto dall'Agenzia per l'Italia digitale (ex DigitPa). In base al Codice dell'amministrazione digitale (Cad), ogni pubblica amministrazione deve predisporre, e aggiornare periodicamente, il piano di disaster recovery, e cioè l'insieme delle attività necessarie per ripristinare le funzionalità di un sistema informatico nel suo complesso (strutture hardware, software e servizi di comunicazione), nel caso di messa fuori uso a causa di un evento improvviso.

La vera novità delle Linee Guida riguarda l'utilizzo dei servizi di cloud. I fornitori di eventuali servizi di cloud computing avranno un obbligo particolarmente rilevante: dichiarare, in sede contrattuale, l'esatta localizzazione geografica dei dati gestiti. Questo per consentire all'amministrazione pubblica di valutare se il paese in cui vengono trasferiti i dati appartenga all'Unione europea o assicuri comunque un livello di tutela dei dati personali adeguato ai sensi della normativa Ue sulla protezione dei dati personali. La conoscenza di questi elementi garantirà un rapporto più trasparente tra p.a. e il fornitore di cloud computing. Una cautela questa che dovrebbe riguardare anche i privati. È poi necessario non dimenticare che la normativa sulla privacy, al fine di tutelare le persone interessate, prevede che i dati possano essere «esportati» in paesi fuori dall'Unione europea solo in precisi casi e quando sia offerta una protezione adeguata rispetto a quella prevista dalla legislazione comunitaria. Un servizio cloud potrebbe, quindi, nascondere costi extra imprevisti, determinati dalla ridotta capacità di controllo sui propri dati o da più probabili contenziosi legali nazionali e internazionali.

- Bilancio 2013. Nei primi sei mesi dell'anno, 208 ispezioni e 2 milioni di euro di somme riscosse dall'erario da parte di soggetti pubblici e privati: è il bilancio dell'attività ispettiva e sanzionatoria del Garante. Gli accertamenti, effettuati anche mediante il contributo delle unità speciali della Guardia di finanza - Nucleo speciale privacy, hanno riguardato in particolare il telemarketing; l'uso dei sistemi di localizzazione satellitare (gps) nell'ambito del rapporto di lavoro; il sistema informativo dell'Inps; i nuovi strumenti di pagamento gestiti dalle compagnie telefoniche (mobile payment); il credito al consumo e le «centrali rischi»; le banche dati del fisco; le violazioni delle banche dati dei gestori tlc (data breaches). Sono stati avviati 473 procedimenti sanzionatori avviati (in sensibile crescita rispetto al 2012). Le sanzioni hanno riguardato, innanzitutto, la omessa o inidonea informativa (289) e il trattamento illecito dei dati (132), legato principalmente al telemarketing e all'uso dei dati personali senza consenso. Le segnalazioni all'autorità giudiziaria sono state 39.

Per il secondo semestre 2013 sono nel mirino gli enti previdenziali e l'amministrazione finanziaria, ma anche il recupero crediti, il Fascicolo sanitario elettronico, reti pubbliche di wi-fi. Accertamenti verranno svolti anche sul rispetto degli obblighi da parte di società telefoniche e internet provider in caso di violazione ai loro data base a causa di attacchi informatici o eventi avversi (data breaches).

vota