Uno dei temi che interesseranno lo sviluppo della fatturazione elettronica e che sapranno darci indicazioni attendibili sul futuro del processo di dematerializzazione documentale è, senza dubbio, la sicurezza dei documenti che saranno interscambiati dagli utenti all’interno della piattaforma Agid.

Chi, nelle ultime settimane, ha richiamato l’attenzione degli addetti ai lavori sulla nuova sfida che riguarderà la modalità del public cloud è Antonello Soro, presidente dell’Autorità Garante per la protezione dei dati personali, che in occasione del Security Summit 2015 svoltosi recentemente a Milano ha ricordato al pubblico come “la protezione dei dati e delle reti è un fattore abilitante del Sistema generale del Paese ma anche delle singole aziende, nonché dei privati cittadini. Quello che oggi comunemente viene definito ‘semplice furto di identità’ è in realtà un reato molto grave, potenzialmente in grado di mettere a rischio gli interessi, la salute, finanche la vita delle persone. Difendere i dati significa difendere la vita delle persone”.

Prima, però, vengono le garanzie per l’incolumità delle informazioni che dovranno essere prestate agli uffici pubblici e alle imprese che a partire dal prossimo mese di aprile ricorreranno alla fattura elettronica.

Ѐ per questo motivo che, già dalla scorsa estate, l’International Organization for Standardization ha emanato la nuova certificazione ISO/IEC 27018:2014, che consentirà a tutti i fornitori di servizi di public cloud computing di adeguarsi alla normativa comunitaria in tema di sicurezza dei dati personali.

 

Nuovi standard di sicurezza per il public cloud computing

 

 

La finalità di ISO/IEC 27018:2014 è la creazione di un set di regole, procedure e controlli attraverso cui i fornitori di servizi Cloud possano agire in qualità di data processor, assicurando il rispetto degli obblighi di legge in materia di trattamento dei dati personali.

La nuova certificazione specifica le best practices già esistenti in materia di security policy, sicurezza organizzativa, fisica ed ambientale, gestione della continuità operativa, controllo degli accessi e sicurezza del personale, stabilendo una serie di misure e controlli ulteriori, che riguardano i seguenti punti:

– Il fornitore, in qualità di Responsabile del trattamento, dovrà prevedere strumenti idonei a consentire e facilitare l’esercizio, da parte dell’interessato, dei propri diritti di accesso, rettifica e cancellazione nei confronti del Titolare del trattamento. In relazione alle finalità del trattamento, il fornitore dovrà garantire la rispondenza del trattamento alle sole finalità rese note al cliente in sede di contrattualizzazione del servizio, in particolare assicurando che i dati non verranno trattati per finalità che esulano quelle indicate dal cliente, né per finalità di marketing diretto o pubblicitarie, salvo che non vi sia esplicito consenso dell’interessato; consenso che, in ogni caso, non potrà mai costituire una condicio sine qua non imposta dal fornitore per la fruizione del servizio.

– Salvo eventuale divieto previsto per legge, la richiesta di divulgazione di dati personali proveniente da autorità amministrative o giudiziarie dovrà essere tempestivamente notificata al Cloud service consumer.

– Relativamente alla materia del subappalto, lo Standard prevede, in maniera particolarmente incisiva, il diritto del cliente a conoscere, ancor prima di iniziare a fruire del servizio, l’intera catena degli eventuali subfornitori, i Paesi ove essi sono stabiliti, la localizzazione dei data center da essi utilizzati nonché gli obblighi degli stessi in relazione al trattamento dei dati. E’, inoltre, riconosciuto al cliente il diritto di opporsi ad eventuali codifiche della catena dei subfornitori, ovvero di risolvere il contratto.

– Il fornitore dovrà tempestivamente inviare notifica al cliente ogni violazione di dati personali da cui si derivata una perdita, distruzione, alterazione, divulgazione o accesso abusivo, al fine di consentire al Titolare ed eventualmente agli interessati di darne a loro volta notizia alle Autorità di controllo, nel rispetto dei tempi previsti dalla legge.

– Il contratto di servizio dovrà approntare una policy di transfer back che dettagli le modalità di restituzione, trasferimento e/o cancellazione dei dati detenuti dal fornitore alla cessazione degli effetti del contratto medesimo.

– In relazione alle misure di sicurezza delle informazioni, sarebbe opportuno che tutto il personale del fornitore e degli eventuali subfornitori fosse vincolato da specifici accordi di riservatezza, ricevesse adeguata formazione, accedesse ai dati mediante specifiche operazioni di autenticazione e logging.