e-Privacy 2017 - Processo al Cloud - I dati perduti.

e-Privacy 2017 - Processo al Cloud - I dati perduti - Tribunale di Venezia - 13-14 Ottobre 2017

Nell'ambito della conferenza annuale organizzata da Progetto Winston Smith ed Hermes - Centro Studi Trasparenza e Diritti Umani Digitali, il Prof. Avv. Alessandro del Ninno presenta una relazione intitolata "Il Cloud come modalità di trasferimento internazionale dei dati personali: criticità tecniche, legali e organizzative e soluzioni pratiche alla luce del Regolamento Generale UE sulla protezione dei dati personali 679/2016".

Di seguito, l'abstract dell'intervento:

L’internazionalizzazione dei mercati e la globalizzazione degli scenari tecnologici pongono nuove sfide alla protezione dei dati personali di clienti, consumatori, cittadini. I servizi di cloud computing, per le modalità della loro resa tecnica, rendono difficilmente applicabile in pratica lo stesso concetto giuridico-legale di “trasferimento all’estero di dati personali”: gli stessi dati possono essere trasferiti verso server di differenti Paesi in momenti diversi della stessa giornata. Quali le criticità e i rischi? Quali le risposte tecniche, organizzative e legali che sono state date dai legislatori e dalle Autorità privacy internazionali? La relazione si prefigge di offrire – in un’ottica pratica – l’analisi critica del quadro normativo di riferimento, dalla Comunicazione della Commissione relativa alla strategie UE in materia di cloud computing, alle Opinion del Gruppo dei Garanti UE sul cloud; dal parere dello European Data Protection Supervisor sul cloud alla risoluzione in materia della Conferenza internazionale delle Autorità di protezione dati e privacy di Montevideo, fino alle regole del Regolamento UE 679/2016 sulla protezione dei dati personali.
 
Di seguito, la presentazione del Convegno:

L’avvento del Cloud ha confermato i timori espressi sulla perdita di privacy e di identità digitale e sta anche producendo un effetto imprevisto: la perdita della Rete.

Internet è persa!

Da backup e contenitore di dati, il Cloud si è evoluto in fornitore virtuale di sistemi IT in grado di gestire infrastrutture aziendali senza server fisici e storage locali. Ogni sistema IT sembra oggi solo fatto di «comunicazione». Ma non di sola comunicazione è il tessuto della Rete: ci sono i dati personali e non, ci sono processi.

Il fluire dei dati nella Rete permette la distribuzione della conoscenza.

La conoscenza può essere scambiata con metodi tradizionali anche se i tubi di connessione si interrompono, anche quando si riversano i dati personali o aziendali alle Big Data Company. Al più possiamo lamentare una perdita di riservatezza, temere leak di informazioni, ma fintanto che i dati restano a disposizione di chi li ha prodotti la conoscenza in Rete resta patrimonio di tutti e allo stesso tempo sotto il diretto controllo di chi ne ha diritto.

Ma quando i dati, sia pubblici che personali, sono solo nel Cloud? Il Cloud non è parte della Rete; il Cloud è una proprietà privata di chi lo fornisce come servizio.

Molti usano il Cloud anche senza saperlo; certi servizi sono offerti (“gratuitamente” si dice, ma qual è il costo allora?) insieme a dispositivi, registrazioni e programmi, l'utente non ne percepisce neppure l’esistenza. Tutto funziona, la vita scorre felice, si può migrare da terminale all’altro, da uno smartphone all’altro, da un sistema operativo all’altro, purché vi sia un’apposita app.

Ma i dati dove sono?

Smartphone e tablet non hanno più i dati personali dentro di sé. Questi dispositivi sono relegati al ruolo di effimere "cache di dati". L’utente può accedere ai dati e pensa di averne il possesso. Accesso e possesso sembrano la stessa cosa. Eppure...

Anche solo sapere dove sono i propri dati, anche solo tentare di farne una copia di backup su un hard disk da tenere nel proprio cassetto sta diventando un’attività difficile, estrosa, rara, appannaggio di strambi hacker o paranoici professionali, talvolta neppure di loro. Molti servizi vantano di riconsegnare i dati agli utenti, ma a ben vedere gli restituiscono bagattelle con cui nessuno può far molto.

Le aziende, alla rincorsa del risparmio e dell'efficienza, hanno sostenuto il Cloud come panacea universale, si stanno rendendo conto che rischiano di perdere o hanno già perso il controllo dei proprio dati e dei propri processi?

È veramente questa la soluzione migliore? Quali sono i costi nascosti? Ci si può affidare al Cloud con la sola tutela di qualche penale su un contratto (quando c’è)? Le (costose, noiose) risorse locali veramente non hanno più alcun valore? Si possono gestire servizi critici in Cloud e la valutazione dei rischi residui basati sugli SLA dei fornitori («Oste, com’è il Cloud?») è corretta? I CEO, che vedono immediatamente i risparmi, valutano correttamente i rischi? I soci e gli investitori si stanno accorgendo di questo trasferimento di valore dalle aziende in cui hanno investito ai grandi operatori del Cloud?

A questo punto sarebbe illusorio chiedere alle aziende e alle persone di porsi il problema del considerare con spavento la perdita dei propri dati e processi, o di come fare per riconquistarli (hanno valutato e hanno deciso di perderli a ragion veduta, inutile riaprire il discorso). Vogliamo invece che si pongano il problema di aver perduto, con i propri dati e processi, i propri diritti, di fare impresa, di competere, di essere cittadini, di ottenere conoscenza e informazione.

La questione non è "se" li hanno perduti, perché li hanno persi ed è certo - ma fino a che punto. Fin dove si estende la perdita dei diritti sociali, economici, civili, politici, umani dei «figli del cloud»?

Link: Programma del Convegno e-Privacy 2017 Link: Abstract Relazione Del Ninno