Entra nella community

“È tutto su cloud”… ma siamo sicuri?

Quante volte hai sentito o detto questa frase?

Spesso il cloud viene percepito come un’entità astratta, un luogo indefinito dove i dati “spariscono” e diventano automaticamente sicuri.

Una risposta rapida e rassicurante, che sembra chiudere ogni discussione: “È tutto su cloud”.

Ma dietro questa semplificazione si nasconde un mondo molto più complesso.

E soprattutto una domanda che ogni azienda dovrebbe farsi: chi decide davvero come vengono trattati i dati archiviati sul cloud?

Titolare e responsabile

Secondo il GDPR, l’azienda che sceglie di affidarsi a un fornitore cloud rimane titolare del trattamento. È lei che decide di trattare dati personali per finalità proprie e specifiche.

Il fornitore cloud, invece, dovrebbe essere il responsabile del trattamento: un soggetto che agisce “per conto” del titolare, sulla base di istruzioni precise e vincolanti.

Almeno, questo è lo schema teorico.

Nella pratica, le cose si complicano: i servizi cloud sono quasi sempre standardizzati, i contratti sono unilaterali e i clienti hanno pochissimo margine di negoziazione.

Non solo: diventa difficile, se non impossibile, verificare le misure di sicurezza che il provider applica realmente.

Non un semplice contenitore

Il cloud non è un archivio passivo, ma un sistema vivo e dinamico.

Il cliente si concentra sull’uso dei dati – vuole che siano accessibili, affidabili, sicuri e veloci.

Il cloud provider, invece, decide tutto ciò che riguarda la parte tecnologica: ubicazione dei server, protocolli di sicurezza, compatibilità software e hardware, fino alla gestione in tempo reale delle query.

Il risultato? Cliente e provider perseguono finalità complementari, che si integrano tra loro.

Non si può dire che il provider “esegua solo ordini”: prende decisioni autonome che incidono sul trattamento tanto quanto quelle del cliente.

L’impatto pratico per le aziende

E allora cosa fare?

In teoria, se un servizio cloud non permette al titolare di incidere su aspetti fondamentali del trattamento, non dovrebbe essere usato.

In pratica, però, sappiamo bene quanto sia difficile rinunciare al cloud: lo squilibrio di potere è evidente, i grandi provider impongono condizioni contrattuali non negoziabili e raramente accettano interlocuzioni personalizzate.

La vera sfida diventa allora essere consapevoli.

Fare un assessment accurato, capire dove si perde il controllo e quali responsabilità si condividono con il provider.

La riflessione di Claudia Sorrenti, Avvocato Penalista specializzato in cybercrimes, esperta in privacy e protezione dei dati per aziende e privati.

Il cloud non è un “porto sicuro” in sé. È una scelta strategica, che va compresa e governata.

La domanda non è se usare o meno il cloud – ormai è una necessità inevitabile.

La domanda giusta è: lo stiamo usando nel modo giusto, con la consapevolezza di chi decide davvero sui nostri dati?

Perché dire “è tutto su cloud” non basta. Serve capire chi fa cosa, quali responsabilità si condividono e come dimostrare di aver fatto scelte consapevoli.

E per chi vuole approfondire suggerisco uno sguardo alle schede del Garante – Clicca qui 

E in tema di pubblica amministrazione – Clicca qui

 

Leggi IL CASO di questa settimana.

Ogni settimana in Privacy in azienda affrontiamo casi reali raccontati con linguaggio chiaro e un approccio pratico.

Perché la privacy non è un obbligo da subire.

È fiducia da conquistare, è rischio da prevenire, è vantaggio competitivo.

Condividi:

IL CASO

Il Cloud come titolare congiunto

Un’Autorità Garante estera ha recentemente acceso i riflettori proprio su questo tema.

Dopo un’istruttoria approfondita, ha concluso che il provider cloud non poteva essere considerato un semplice responsabile. Perchè?

Perché, di fatto, aveva il pieno controllo dei mezzi e delle scelte operative sui dati, al punto che il rischio e la determinazione dei mezzi erano stati completamente trasferiti a lui.

La conclusione dell’Autorità è stata netta: il ruolo corretto non era quello di responsabile, ma di titolare congiunto del trattamento.

La Corte di Giustizia UE, del resto, ci ricorda che si può parlare di contitolarità quando le decisioni su finalità e mezzi sono convergenti e interconnesse: e questo è proprio ciò che accade nei servizi cloud.

LA NOSTRA FORMAZIONE

Formazione Privacy & Data Protection

+QI-AI = Security

La formula per aumentare i livelli di sicurezza nella tua azienda.

La sicurezza digitale è un tema ormai noto diventato centrale per le aziende e i suoi dipendenti. Quello che non è sempre noto e che spesso è il fattore umano ad agevolare gli attacchi informatici, spesso per disattenzione, frenesia, leggerezza e poca conoscenza. Gli errori più comuni: practice obsolete o assenti, inconsapevoli condivisioni di informazioni e dati, utilizzo incauto dei dispositivi aziendali, poca attenzione alle mail ricevute e scelta di password non efficaci.

Come tutelarsi? Cosa fare?

Proteggere i dati aziendali, l’infrastruttura e la continuità aziendale richiede competenze specialistiche e strategie efficaci non sempre presenti in azienda. Fare formazione a tutti i livelli aziendali è la vera e unica rivoluzione culturale che tutelerà l’azienda e che ne accrescerà il valore.

Il metodo CompetenceLab “Cogito Ergo Cresco”

Offriamo una Compliance Privacy mirata all’analisi e gestione dei rischi e un corso di formazione rivolto a tutti i dipendenti sul corretto utilizzo degli strumenti e sulla tutela dei dati e quindi della tua azienda.

Ogni azienda è unica. Contattaci per un preventivo personalizzato – clicca qui

Entra nella Community

Vuoi restare in contatto con CompetenceLab?
Organizzare un evento insieme a noi? Oppure proporre un tema su cui riflettere? Entra a far parte della nostra Community!





    CompetenceLab nasce per guidare un cambiamento, per affiancare persone e aziende nello sviluppo di un pensiero critico. Scelte sostenibili per migliorare la nostra società.
    Seguici sui social
    Facebook-f Icon-instagram-2 Icon-linkedin Icon-youtube Tiktok
    Link utili
    Contatti
    • Claudia Sorrenti Avvocato
    • P.I.: 11094161004
    • Powered by Xonex.it