EDPB: la crittografia in sé non basta per la privacy in cloud

Lo European Data Protection Board spiega che cifrare i dati in cloud non è sufficiente a garantire una gestione dei dati conforme al GDPR

Business Tecnologie/Scenari
Le aziende si interessano mediamente poco alle questioni legali internazionali che riguardano la privacy dei dati e l'applicazione del GDPR in nazioni non UE. Questioni che spesso appaiono remote e poco collegate ai principali obblighi di compliance a livello locale. È importante però seguirle se si gestiscono dati particolarmente sensibili utilizzando servizi cloud. Perché ci sono ancora diverse aree indefinite che possono, inconsapevolmente, portare a situazioni impreviste di non conformità.

Una di queste "aree indefinite", e particolarmente importante, è la tutela dei dati da parte dei cloud service provider non europei. In attesa del multi-cloud europeo, le aziende oggi si servono principalmente di provider statunitensi. E il passaggio di dati tra le due sponde dell'Atlantico è da tempo una questione parecchio dibattuta. Da quando il Privacy Shield è stato invalidato - lo scorso luglio - e se vogliamo ancora prima, da quando è decaduto l'approccio del Safe Harbor.

La Corte di Giustizia Europea ha stabilito che il Privacy Shield di fatto non tutela le aziende e i cittadini europei di fronte a irregolarità nella gestione dei loro dati da pare di aziende statunitensi (ma non solo quelle). Il rischio del blocco del flusso di informazioni tra Europa e USA è stato evitato con l'approccio delle Standard Contractual Clauses, clausole contrattuali specifiche che le aziende USA definiscono proprio per questo ambito.
europe gdpr data privacy technology security 1434829 pxhere comQueste clausole devono prevedere misure specifiche - contrattuali, tecniche, organizzative - per la tutela della privacy dei dati. La grandissima parte dei cloud provider ha puntato sulla cifratura delle informazioni come garanzia di tutela. Se l'azienda che porta i dati sensibili in cloud li cifra e gestisce in proprio le chiavi di cifratura, i rischi di gestione impropria di quei dati sono azzerati.

Non è del tutto vero, ha invece spiegato l'EDPB. Nell'allegato 2 di un lungo documento spiega il modo corretto per implementare alcune misure tecniche a tutela della privacy. Qui si indica in modo specifico che nell'utilizzo di sistemi di cifratura le chiavi di encryption devono essere direttamente e unicamente controllate da chi esporta i dati (o da un'altra entità a cui è stato affidato questo compito) e risiedere nell'Area Economica Europea o in una nazione considerata affidabile.

Conseguenza: secondo l'EDPB non è compliant al GDPR cifrare i dati localizzati presso un provider statunitense usando un servizio per cui le chiavi di cifratura risiedono presso quel provider. O comunque non restano localizzate in nazioni "trusted". Questo perché quel provider potrebbe, per legge, essere forzato a cedere le chiavi di cifratura a qualche autorità locale, vanificando il senso della cifratura a scopo di tutela della privacy.

Un'azienda dovrebbe quindi organizzarsi per gestire in proprio le chiavi di cifratura. Oppure usare un servizio esterno che però sia del tutto "localizzato", idealmente, entro i confini dell'Unione.
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di SecurityOpenLab.it iscriviti alla nostra Newsletter gratuita.

Notizie correlate

Speciali Tutti gli speciali

Speciale

Sicurezza cloud native

Speciale

Backup e protezione dei dati

Speciale

Speciale video sorveglianza

Cyber security: prospettive 2021

Speciale

Come custodire al meglio i dati, dal backup in poi

Calendario Tutto

Apr 14
Così il ransomware mette al tappeto backup… e ripartenza. Cosa fare per evitare guai
Apr 20
Kaspersky - Storia di un attacco: così le minacce evasive mettono ko lo smart working
Apr 22
Cortina Digital Forum 2021

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter

contatori