Cloud Computing: le raccomandazioni dell’Agenzia francese

Quasi in concomitanza del rilascio da parte della Commissione Europea delle strategia “Unleashing the Potential of Cloud Computing in Europe“, l’Agenzia francese per la Protezione dei Dati (CNIL) ha stilato 7 raccomandazioni – rivolte alle aziende – dettando specifiche regole per il rispetto della normativa francese nell’uso dei servizi di Cloud Computing.

Il documento della CNIL vuole rappresentare un’aiuto per le PMI francesi che nella la loro attività intendano fare ricorso a prestatori di servizi di Cloud Computing.

L’Agenzia francese ha rilevato che l’utilizzo di servizi “sulla nuvola” (in particolare il Cloud Pubblico) solleva non poche difficoltà riguardanti il rispetto della normativa sulla protezione dei dati personali. È stato infatti notato, che tra le imprese ed i prestatori di servizi si viene spesso a creare una condizione di asimmetria informativa relativa alle condizioni contrattuali riguardanti la realizzazione delle prestazioni, comportando in molti casi che le società non abbiano contezza del luogo di destinazione dei loro dati.

In virtù di tali raccomandazioni le PMI francesi avranno gli strumenti per realizzare un’analisi dei rischi prima di procedere alla scelta del proprio prestatore di servizi di Cloud Computing. In particolare, l’impresa dovrà operare una valutazione delle garanzie di sicurezza prospettategli dal prestatore, ed assicurarsi che queste vengano osservate nel pieno rispetto della normativa francese.

La CNIL, insomma, pur riconoscendo che in taluni casi le offerte di servizi Cloud da parte di prestatori esterni possano essere più sicure rispetto a quelle interne alle PMI, si augura che, mediante gli strumenti messi loro a disposizione, le aziende siano in grado di effettuare una corretta e completa valutazione prima di optare per una soluzione di Cloud.

Ecco le 7 raccomandazioni (approfondite nel documento):

  1. Identificare chiaramente i dati e i trattamenti che saranno ospitati nel Cloud;

  2. Definire le proprie esigenze di sicurezza tecnica e giuridica;

  3. Realizzare un’analisi dei rischi al fine di identificare le misure di sicurezza essenziali per l’impresa;

  4. Identificare il tipo di Cloud pertinente al trattamento considerato;

  5. Scegliere un prestatore che assicuri sufficienti garanzie;

  6. Rivedere la politica di sicurezza interna;

  7. Monitorare le evoluzioni nel tempo.