Il Cloud (Microsoft) quale acceleratore della compliance GDPR – 1a parte

[This blog post has been republished as-is on February 2019]

E’ trascorso un anno da quando ho iniziato ad incontrare i clienti italiani per condividere l’impegno di Microsoft a supporto della compliance alla GDPR, quale uno degli impegni del mio ruolo di specialista dei temi CyberSecurity, Privacy e Compliance in Microsoft Italia. Credo di aver incontrato più di 50 clienti Enterprise medio-grandi in modalità 1to1, e tanti di più approfittando di alcuni eventi pubblici in cui sono intervenuto come speaker/panelist, quale il CLUSIT Security Summit 2017 a Roma o l’ultimo TIG CyberSecurity Summit – Roma 2018 dello scorso 21 marzo.

In tutte queste occasioni il tema centrale del mio contributo è sempre stato quello che vi riporto quale titolo di questo blog post, ossia far apprezzare quanto il paradigma del cloud, ed in particolare di quello che è in grado di essere proposto da Microsoft, possa rappresentare un vero e proprio acceleratore a supporto delle attività che ogni cliente deve attuare in ambito IT per soddisfare i requisiti del nuovo regolamento.

Sì lo so, per tanti di voi questa mia affermazione appare alquanto controversa (e a giudicare da alcune provocazioni sollevate durante il recente #TIGcybersec, per alcuni addirittura difficilmente concepibile …): è proprio per argomentare meglio le mie considerazioni a supporto di tale tesi che ho deciso di scrivere questo post.

E’ vero che finora il cloud ha particolarmente sofferto nella capacità di dimostrare in modo semplice ed incontrovertibile di poter essere giudicato “compliant” rispetto ai diversi requisiti normativi, in particolare in ambito Data Protection/Privacy, ma spero di riuscire a convincervi di quanto ora l’impianto normativo della GDPR crei i presupposti per ribaltare questa dinamica e tramutare la compliance da ostacolo verso l’adozione del cloud, a vero e proprio facilitatore della stessa adozione.

Questi i passaggi logici di quanto vado a condividervi:

  • La nuova diretta corresponsabilità a cui è chiamato il Responsabile del Trattamento
  • Tutele contrattuali a cui è chiamato il Cloud Service Provider
  • Il vero modello logico sulla Cloud Security
  • Il ruolo e valore della nuova Microsoft Security platform

La nuova diretta corresponsabilità a cui è chiamato il Responsabile del Trattamento (Data Processor)

E’ probabilmente una delle novità GDPR meno evidenti e sottolineate, ma è di fondamentale importanza per comprendere il ruolo del Cloud nella compliance GDPR: nella nuova normativa, il “peso” delle responsabilità alla conformità in ambito Data Protection/Privacy non è solo sulle spalle del Titolare del Trattamento (Data Controller) ma è più correttamente bilanciato su entrambe le parti che concorrono, pur con ruoli diversi, a tale trattamento.

Nell’attuale normativa ancora per poco vigente, la Direttiva europea (la 95/46/CE) e la nostra locale declinazione (Legge Privacy italiana, il DL 196-2003), praticamente l’unico ruolo chiamato a rispondere di inadempienze e a cui spetta anche il compito di vigilare rispetto all’applicazione delle istruzioni operative impartite al Responsabile in merito alle modalità del trattamento è il Titolare del Trattamento (Data Controller).

Con la GDPR non è più esattamente così: come si potrà leggere dall’articolo 28, il Responsabile del Trattamento (Data Processor) deve essere vincolato da un contratto che lo lega alle proprie responsabilità di fornire le sufficienti garanzie di implementazione delle misure tecnico-organizzative appropriate per realizzare un trattamento conforme.

Tutele contrattuali a cui è chiamato il Cloud Service Provider

Una soluzione di tipo Cloud sicuramente rappresenta una esternalizzazione del trattamento che richiede al Cloud Service Provider di essere nominato quale Responsabile del Trattamento (Data Processor), e questo, alla luce della considerazione appena fatta sulla corresponsabilità che deve essere definita a livello contrattuale, implica che i contratti cloud DEVONO includere tali garanzie in chiave GDPR.

Non è mio compito dirvi se tutti i Cloud Service Provider siano già in grado di offrirvelo (vi inviterei a verificarlo ), ma posso confermarvi che

  1. sono diversi anni che il contratto alla base delle soluzioni cloud di Microsoft include tale definizione di ruoli privacy chiaramente definiti.
  2. Il contratto per i servizi cloud di Microsoft include già dallo scorso settembre 2017 gli impegni contrattuali di conformità GDPR che entreranno in vigore il 25 maggio 2018.

Quando mi riferisco al contratto alla base delle soluzioni cloud di Microsoft, sto di fatto facendo riferimento al documento centrale che racchiude tutti i termini di Sicurezza e Privacy relativi alle soluzioni online, denominato in italiano “Condizioni per l’Utilizzo dei Servizi Online” (e in inglese “Online Services Terms“, con l’acronimo OST che userò d’ora in avanti per citarlo), che è pubblicamente disponibile e scaricabile dal sito Microsoft di Volume Licensing: nell’OST troverete presenti l’Allegato 4 e l’Appendice 1 che rappresentano proprio i “commitment GDPR” che ogni cliente deve pretendere dai propri Cloud Service Provider.

Quindi a questo punto vi domanderete: dal momento che il contratto cloud di Microsoft include già le tutele contrattuali necessarie, posso dire quindi di aver già soddisfatto tutti i requisiti di conformità GDPR nell’utilizzo di tali servizi ?

Mi piacerebbe potervi rispondere di sì, ma la realtà ahimé non è così semplice…vi aspetto per la seconda parte di questo blog post per spiegarvelo!

P.S. ricordo il post che agirà da sommario di tutti i miei post a tema GDPR:

 

A presto!

 

Feliciano

@felicianointini
(mostly in Italian – technical & non technical tweets)

@NonSoloSecurity
(English only – technical only)