CISPE, in dirittura d’arrivo il Codice di Condotta per la protezione di dati

Incassato il primo feedback del WP29, l’organismo licenzia la seconda versione del testo in vista del GDPR

Ci siamo. CISPE, Cloud Infrastructure Services Providers in Europe, coalizione di oltre venti operatori attivi in Europa, licenzia la versione aggiornata del Codice di Condotta (CoC) per la protezione di dati. Testo che offe la possibilità di processare tutti i dati esclusivamente in Europa e un espresso divieto di rivendere o riutilizzare i dati delle aziende clienti e che, una volta ottenuto il definitivo via libera del Working Party Article 29, l’organismo indipendente incaricato di vagliare le richieste di approvazione dei codici provenienti dall’industria, si candida a diventare lo standard di riferimento per tutti i fornitori del segmento.

Andiamo con ordine. La redazione finale del testo, preceduta da due giorni di lavori preparatori condotti dal Board del Cispe e dal CCTF (Code of Conduct Task Force) – i gruppi di lavoro riunitisi la scorsa settimana presso il nuovo data center di Aruba in provincia di Bergamo – ha visto al centro della discussione la corretta interpretazione del punto di vista dei Garanti Privacy. «Intanto possiamo dire che è stato molto positivo ottenere dal WP29 questo primo feedback ed una serie di preziose indicazioni su come migliorare ulteriormente il codice» ci dice Stefano Cecconi, AD di Aruba. «I commenti dei Garanti, molto specifici, contrariamente alle indicazioni contenute nel GDPR che invece enuncia dei principi e degli obiettivi, senza specificare nel dettaglio cosa deve essere fatto, ci sono stati molto utili per revisionare il testo» osserva Francisco Mingorance, Segretario Generale del CISPE. Il CCTF per rispondere e migliorare il codice sui punti toccati dai Garanti ha provveduto ad adeguare il testo precedente fornendo ulteriori dettagli in tema di servizi e termini di utilizzo delle infrastrutture cloud.

Leggi anche:  Il ransomware si conferma la principale minaccia informatica

Arricchendolo di esempi e riscrivendo completamente alcune parti perché sia ancora più comprensibile ai clienti finali. «Abbiamo inserito numerosi esempi di applicazione dei servizi offerti, riscritto con maggiore chiarezza alcuni passaggi tecnici, reso più comprensibile il documento per i nostri clienti» svela Alban Schmutz, presidente del CISPE. «Su alcuni punti di natura tecnico-legale abbiamo fornito una serie di user cases. Descritto lo stato dell’arte della tecnologia messa in campo e i nostri obiettivi in tema di protezione dei dati. Il Codice chiarisce nei dettagli i servizi offerti e le responsabilità del Cloud Service Provider relative al data center e all’infrastruttura, apparati, networking, sicurezza logica, le sale ecc. Tutto il resto, a livello di piattaforma e di software, è una componente di gestione del cliente alla quale non accediamo» conferma Cecconi.

I punti fermi

Riaffermato l’impegno da parte dei provider di non effettuare data mining o profilazione di dati di clienti per attività di marketing o rivendita a terzi, il Codice CISPE conferma di allinearsi ai requisiti fissati dal GDPR. Spingendosi oltre in termini di garanzie per i clienti. «Il nostro Codice di condotta ci impegna ad assumere alcuni obblighi non previsti nel Regolamento. In primo luogo tutte le aziende firmatarie del Codice si impegnano a offrire ai loro clienti la possibilità di processare tutti i dati esclusivamente in Europa. Un servizio che non tutti i fornitori cloud operanti oggi in Europa sono in grado di garantire» sottolinea Mingorance. Al cloud provider inoltre è fatto espresso divieto di rivendere o riutilizzare i dati delle aziende clienti. Un’assunzione precisa di responsabilità che lancia un segnale forte al mercato.

«In particolare alle aziende europee che desiderano vedere conservati i loro dati in Europa senza correre il rischio che siano rivenduti o riutilizzati. Nessuno di noi potrà mai offrire al cliente la possibilità di utilizzare gratuitamente l’infrastruttura cloud in cambio del consenso all’accesso ai dati. A questo si aggiunge l’impegno di non accedere in alcun modo e in nessun caso ai dati che vengono processati sui sistemi sui quali operano i nostri clienti. Offrendo loro la possibilità di scegliere se tenerli esclusivamente in Europa, oppure altrove. Un impegno né obbligatorio né contemplato dal GDPR» sottolinea Cecconi. Supportato da una serie di strumenti a disposizione del cliente per verificare la conformità agli impegni assunti. «Esistono una serie di aspetti da considerare e norme da adottare. Dalle certificazioni agli audit, alle garanzie di sicurezza che vengono fornite sia in relazione alla sicurezza del dato che in tema di sicurezza fisica. I dati che risiedono nei nostri data center sono protetti e tutelati da misure di sicurezza attestate dalle certificazioni che Aruba possiede, tra le quali la ISO 27001 e l’ANSI-TIA 942-A che trattano di sicurezza logica, fisica e organizzativa delle informazioni» argomenta Cecconi.

Leggi anche:  Clusit: escalation di attacchi cyber nel primo semestre dell’anno

Importanza del Codice di Condotta

Ottenuto il via libera da parte del WG29, auspica il CISPE, tutti dovranno adeguarsi a quello che diventerà lo standard di riferimento del settore. «Il lavoro che stiamo facendo è condiviso con altri soggetti che rendono questo Codice di condotta equo e rappresentativo e quindi accettabile – si spera – dai Garanti Privacy» conferma Cecconi. Questo non significa che il codice di condotta nel tempo non potrà essere aggiornato. Ogni modifica però dovrà di volta in volta essere accettata dai Garanti. «Non sarà possibile prima adottarlo e poi modificarlo senza l’approvazione dei regolatori europei per la protezione dei dati» chiosa Mingorance.

A margine dei lavori, il Board CISPE ha discusso anche di regolamentazione sulla libera circolazione dei dati (free data flow regulation). Un tema sul quale gli stati membri dell’UE lo scorso dicembre hanno raggiunto un accordo che porterà alla creazione di un mercato digitale unico (digital single market), che di fatto consentirà di fissare dei limiti di circolazione dei dati solo per particolari ragioni di sicurezza, migliorandone la portabilità ed evitando il rischio di data lock-in. Con il risultato, si auspica, di aumentare la fiducia e la diffusione dei servizi di cloud computing.

[amazon_link asins=’B079V3BFSX,B079WYBGJ2,8890341912′ template=’ProductCarousel’ store=’dmo0e-21′ marketplace=’IT’ link_id=’fa8bddd7-22c2-11e8-a67e-5163bed9a305′]