Controllo e governo sui dat

Lo studio condotto dall‟ENISA ha posto in evidenza come la riservatez- za dei dati personali trattati con il cloud computing rappresenti una delle principali criticità di questa tecnologia.

A comprova dell‟importanza di questa problematica, è stato opportuna- mente citato quanto affermato dal Presidente dell‟Autorità Garante per la Protezione dei Dati Personali nella Relazione al Parlamento dell‟anno 2009, secondo cui “occorre riflettere anche sui rischi che pone la nuova tecnolo-

gia del cloud computing, con la quale i dati verranno sempre più sottratti alla disponibilità materiale di chi li produce e usa, e gestiti da enormi server collocati in ogni parte del pianeta. Un fenomeno che moltiplicherà i servizi di remote hard disk e renderà sempre più ampio il ricorso all’outsourcing e all’hosting dei sistemi, moltiplicando i servizi forniti da terzi secondo moda- lità che favoriscono sempre di più la delocalizzazione dei dati conservati”67.

Il ricorso alle tecnologie cloud comporta, quasi sempre, l‟affidamento della gestione delle infrastrutture informatiche ad un soggetto esterno (ou-

tsourcing), coinvolgendo di fatto il cloud provider nel trattamento dei dati

personali immessi nella nuvola che, il più delle volte, sono memorizzati nei

server messi a disposizione e controllati dai vari fornitori dei servizi.

Tutto ciò assume un particolare significato dinnanzi all‟aumento dell‟uso delle tecnologie informatiche nella società moderna, in cui gran par- te delle operazioni della vita quotidiana sono svolte con l‟ausilio della tecno- logia.

In questo contesto, le potenzialità offerte dal cloud, dalla consultazione in remoto da qualunque dispositivo all‟incremento delle capacità di calcolo, hanno portato ad un aumento esponenziale delle informazioni e dei dati pro-

67

La relazione è consultabile al seguente indirizzo: http://194.242.234.211/documents /10160/10704/1730115

160 dotti e, di conseguenza, una maggiore richiesta di spazi di memoria per le at- tività di ricerca dei suddetti e l‟eventuale conservazione.

Questo approccio globale al fenomeno ha generato un aumento della do- manda di servizi in cloud e, nel contempo, un abbassamento della consape- volezza degli utenti sui rischi legati, in particolar modo, ai dati immessi sulla “nuvola”68_.

Il concetto di controllo e governo dei dati è legato agli aspetti di intero- perabilità e portabilità e quindi alla possibilità di migrare verso altri sistemi

cloud, appartenenti ad altri provider. Si tratta di prerogative che ciascuna

Amministrazione pubblica deve assicurarsi, attraverso un‟attenta selezione del fornitore cloud per evitare il cosiddetto “vendor lock-in”, ossia l‟impossibilità di riversare i dati presso altri fornitori per ragioni di mancan- za di interoperabilità tra i sistemi cloud. Solo in questo modo è possibile consentire la portabilità dei dati, un aspetto assai rilevante nel settore sanita- rio in cui il processo di cura e riabilitazione dei pazienti deve essere costan- temente garantito ai massimi livelli su tutto il territorio nazionale e comuni- tario.

Non meno importante, nell‟analisi condotta, è stato il profilo del control- lo da parte di autorità (forze di polizia, governi)69 o di altri soggetti terzi non autorizzati. Il complesso rapporto tra la riservatezza dei dati nel cloud e l‟esigenza di sicurezza sia a livello nazionale che internazionale, come giu- stamente è stato osservato, è destinato sempre più a far discutere, da una par- te, gli operatori del mercato, fornitori dei servizi in cloud e, dall‟altra, le au- torità governative e le forze di polizia.

68

Il tema della riservatezza dei dati personali nell‟ambito del cloud computing è già stato oggetto di approfondimento nei paragrafi precedenti.

69 _{La criticità di questo aspetto è stata maggiormente compresa in una fase temporale successiva}

a quella in cui è stato condotto lo studio dell‟ENISA, ossia in occasione del recenti casi che hanno interessato la cronaca internazionale e statunitense: il caso “Safe Harbor” (già trattato nel paragrafo 2.3), generato da un presunto potere di ingerenza sui dati della piattaforma social Facebook da parte delle autorità governative degi USA e il più recente caso della Apple che ha negato l‟accesso all‟FBI ai dati crittografati di un suo modello di smartphone, nell‟ambito dell‟indagine della polizia federale americana per la strage di San Bernardino.

161

3.2 La sicurezza

Nell‟ambito di un altro studio70, pubblicato nel 2015 sempre ad opera dell‟ENISA, sono state esaminate le modalità di approccio e le misure di si- curezza adottate da ciascun stato membro dell‟UE per garantire la sicurezza nella sanità.

Dall‟indagine è emerso che per la maggior parte dei Paesi intervistati la sanità rappresenta un settore critico. I criteri di identificazione degli aspetti “delicati” della sanità elettronica sono i più vari: continuità operativa, sicu- rezza e integrità dei dati, disponibilità dei servizi, politiche di sicurezza e co- sì via.

Non vi è dubbio che gli incidenti di cybersicurezza, ovvero le violazioni delle misure poste a tutela della sicurezza dei sistemi, nell‟ambito dell‟e-

Health, possano avere un enorme impatto e causare ingenti danni. Per queste

ragioni è fondamentale che nell‟ambito della sanità elettronica siano adottate misure che garantiscano allo stesso tempo la disponibilità dei dati, la conti- nuità operativa e la resilenza, ovvero la capacità di mantenere un accettabile livello di servizio nonostante la presenza di fattori di disturbo dovuti al nor- male funzionamento del sistema. Con l‟adozione di modelli basati sul cloud

computing, queste caratteristiche devono, ancora di più, essere garantite da

parte dei fornitori dei servizi e da parte delle singole amministrazioni sanita- rie.

70 _{“Security and Resilience in eHealth” (ENISA, 2015), consultabile all‟indirizzo: https://www}

.enisa.europa.eu/activities/Resilience-and-CIIP/critical-infrastructure-and-services/ehealth_sec/ security-and-resilience-in-ehealth-infrastructures-and-services

163