Privacy e Cloud Computing: le Istruzioni per l’Uso del Garante

L’Autorità Garante per la protezione dei dati personali, composta da Francesco Pizzetti, Giuseppe Chiaravalloti, Mauro Paissan e Giuseppe Fortunato, ha presentato il 23 giugno 2011 la Relazione sul quattordicesimo anno di attività e sullo stato di attuazione della normativa sulla privacy.


Oggi ci occupiamo della parte, a nostro parere, più interessante: quella relativa al Cloud Computing.

Garante dixit:

Il cloud e i trattamenti massivi di dati: il rischio di smarrirsi nella nuvola

Le tecnologie cloud consentono di trattare e conservare i dati su sistemi di server dislocati nelle diverse parti del pianeta e sottoposti, nella loro inevitabile materialità, a molti rischi, da quelli sismici a quelli legati a fenomeni di pirateria, non solo “informatica”, o ad atti di terrorismo o a rivoluzioni imprevedibili.

Recenti episodi, come quelli verificatisi nei server di una grande società di servizi (Aruba), colpiti da incidenti fisici per fortuna di portata limitata, danno concretezza a questi pericoli.

Crescono i pericoli legati alla perdita e al furto di enormi quantità di dati, come già si è verificato in sistemi legati alla diffusione di giochi elettronici (Sony).

Si amplia il numero dei soggetti che intervengono nell’ambito di trattamenti così complessi e disarticolati.

Neutralità della rete, obbligo di denunciare le serious breaches, necessità di ridefinire le responsabilità nell’ambito di catene complesse di trattamento dei dati: ecco alcuni titoli di una tematica sempre più vitale per le nostre società, per il nostro sviluppo economico, per la nostra libertà e convivenza democratica.

Le imprese e gli operatori a cui il mercato offre questi nuovi servizi pensano soprattutto alla diminuzione di costi o alle opportunità di costante ammodernamento che queste tecnologie consentono, prestando scarsa attenzione al fatto che comportano la perdita del possesso fisico dei dati e dei programmi operativi che utilizzano.

Di qui l’urgenza e l’importanza di un salto di qualità nella consapevolezza dei fenomeni.

La Scheda di Documentazione del Garante

Cloud Computing: Indicazioni per l’utilizzo consapevole dei servizi.

Annunci

Banche: clienti più sicuri con il tracciamento delle operazioni

13 giugno 2011, il Garante fissa rigorose misure a protezione dei dati dei correntisti

Dati dei clienti più sicuri e al riparo da accessi non autorizzati e intrusioni indebite negli istituti bancari.

Il Garante privacy ha fissato le regole alle quali dovranno attenersi banche e Poste Italiane spa (relativamente all’attività bancaria e finanziaria) per “blindare” il sistema informativo e garantire un corretto trattamento dei dati dei correntisti.

Il Provvedimento generale tiene conto di numerose istanze pervenute al Garante, di accertamenti ispettivi effettuati tra il 2008 e il 2010 presso le maggiori banche o gruppi bancari e degli esiti di una ulteriore attività di rilevazione svolta in collaborazione con Abi che ha coinvolto 441 banche.

Alcuni clienti, in particolare, avevano segnalato che i loro dati erano stati oggetto di accessi indebiti, presumibilmente da parte di dipendenti, e comunicati a terzi che li avevano poi utilizzati per scopi personali, in genere, in cause di separazioni giudiziali e in procedure esecutive (ad es. pignoramenti presso terzi).

In assenza di una normativa che obblighi le banche a tracciare tutte le operazioni l’Autorità ha ritenuto di prescrivere agli istituti bancari l’adozione di rigorose misure.

Ogni operazione di accesso ai dati dei clienti (sia che comporti movimentazione di denaro o sia di semplice consultazione), effettuata da qualunque figura all’interno della banca, dovrà essere tracciata attraverso una serie di elementi:

  • il codice identificativo del dipendente;
  • la data e l’ora di esecuzione;
  • il codice della postazione di lavoro utilizzata;
  • il codice del cliente ed il tipo di rapporto contrattuale “consultato” (numero del conto corrente, fido, mutuo, deposito titoli).

In questo modo la banca saprà sempre chi e quando ha avuto accesso ad un determinato conto corrente o ha effettuato operazioni.

I file di log di tracciamento delle operazioni, comprese quelle di semplice consultazione, dovranno essere conservati per un periodo di almeno 24 mesi.

Le banche, inoltre, dovranno prevedere l’attivazione di alert che individuino comportamenti anomali o a rischio (es. consultazioni massive, accessi ripetuti su uno stesso nominativo).

Almeno una volta l’anno la gestione dei dati bancari dovrà essere oggetto di un’attività di controllo interno da parte degli istituti, per verificare la rispondenza alle misure organizzative, tecniche e di sicurezza previste dalla normativa vigente. Il controllo, adeguatamente documentato, dovrà essere eseguito da personale diverso da quello che ha accesso ai dati dei clienti.

E verifiche sulla legittimità e liceità degli accessi, sull’integrità dei dati e delle procedure informatiche dovranno essere effettuate anche a posteriori, sia a campione sia a seguito di allarme.

Alle banche è stato infine raccomandato di:

  • comunicare al cliente eventuali accessi non autorizzati al proprio conto
  • rendere note al Garante eventuali violazioni di particolare rilevanza (per quantità, qualità dei dati, numero dei clienti).