Come bilanciare Cloud e GDPR per concentrare il proprio core business sullo sviluppo e l’erogazione di servizi a valore, rispettando al contempo le normative della privacy e assicurando alle aziende clienti sicurezza e continuità di business. È questo il tema che abbiamo affrontato recentemente nel corso di un Executive Cocktail che Digital4Trade ha organizzato a Milano in partnership con Aruba Business. Doverosa l’apertura dei lavori attraverso un’analisi di dettaglio del nuovo regolamento europeo in materia di protezione dei dati personali, affidata alla voce di Guglielmo Troiano, Senior Legal Consultant di Partners4Innovation, il quale si è soffermato, da principio, sull’importanza del dato. «In virtù del GDPR, conviene innanzitutto chiedersi cosa sia il dato – ha esordito Troiano – che, nell’accezione del nuovo regolamento, sta ad accertare qualsiasi informazione riguardante una persona fisica identificata o identificabile (in questo caso, una persona “interessata” da quel dato/ informazione). Questo perché la nuova normativa considera identificabile una persona fisica sia direttamente sia indirettamente. Ecco che allora la moltitudine di dati che può permettere questa identificazione si amplia notevolmente: il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale diventano dati in grado di fornire una informazione che può consentire l’identificazione di una persona».
Indice degli argomenti
GDPR: classificazione e trattamento dei dati nell’era del cloud
Nello specifico, Troiano ha dettagliato il tema fornendo alla platea la classificazione dei dati personali, così come stabilito dalla Foundation for Accountability Information:
1) PROVIDED DATA: forniti consapevolmente e volontariamente dati dagli individui, ad esempio quando si compila un modulo online;
2) OBSERVED DATA: raccolti automaticamente, ad esempio tramite cookie o sistemi di videosorveglianza collegati al riconoscimento facciale, domotica, elettrodomestici smart, IoT;
3) DERIVED DATA: prodotti da altri dati in modo relativamente semplice e diretto, ad esempio calcolando la redditività del cliente dal numero di visite a un negozio e agli oggetti acquistati;
4) INFERRED DATA: prodotti utilizzando un metodo analitico complesso per trovare le correlazioni tra i set di dati e utilizzarli per categorizzare o profilare le persone, ad esempio calcolare i punteggi di credito o predire i futuri risultati di salute. Si basano sulle probabilità e possono dunque essere meno “certi” dei dati derivati. L’analisi di Troiano è poi proseguita con una focalizzazione sul tema delle responsabilità e del trattamento dei dati, argomento oggi molto delicato se affrontato dalla prospettiva dell’accesso ai servizi cloud, ormai innegabile volano di business per il canale ICT italiano, in particolare per le piccole software house, i system integrator, le Web agency che sulle infrastrutture cloud (come quelle garantite da Aruba Business) costruiscono nuovi servizi per le proprie aziende clienti.
«In generale, quanto più ci si allontana dalla gestione dei dati, tanto più si è sgravati da responsabilità e adempimenti – ha evidenziato Troiano – ma quando la filiera si allunga (cloud provider, partner, subappaltatori, altri partner, end user) il trattamento dei dati non è più così semplice ed è necessario contrattualizzare bene le relazioni prevedendo chi è responsabile di cosa».
Cloud, un volano di crescita anche per le piccole realtà
Uno scenario che non deve tuttavia spaventare le realtà più piccole, come hanno avuto modo di confermare più volte durante il dibattito Stefano Mainetti, Codirettore Scientifico dell’Osservatorio Cloud & ICT as a Service del Politecnico di Milano, e Fabrizio Gibello, Sales Executive di Aruba Business. «Il mercato cloud in Italia è ormai maturo e la crescita è costante – dice Mainetti – a dimostrazione che le aziende hanno compreso il valore e l’efficacia del modello. Cloud pubblico e ibrido nell’ultimo anno sono cresciuti del 24%, nonostante le “preoccupazioni” legate alla sicurezza. Timori che in realtà, se analizziamo la percezione delle aziende rispetto alle possibili criticità del public cloud, si stanno affievolendo; sicurezza e compliance non sono più nella “zona rossa” delle preoccupazioni. La fiducia nei confronti dei cloud provider è quindi maturata e si sta consolidando».
Opportunità concrete di partnership
È Gibello poi ad entrare nel merito di questi temi, non solo portando al tavolo la diretta esperienza di Aruba Business che, dice il manager, «è una realtà che consolida una lunga storia di innovazione e crescita (quella di Aruba) nata dall’hosting e poi evolutasi fino all’eSecurity e al cloud, che si rivolge esclusivamente ai business partner non solo offrendo servizi IT “tradizionali” quali Web hosting, domini, ed e-Security ma anche percorsi e progetti in ottica cloud e data center creati e gestiti su misura». Ciò su cui insiste più volte Gibello è proprio la possibilità di instaurare una relazione di partnership concreta che consenta ai business partner di sviluppare e rivendere in autonomia i propri servizi, costruendo un portafoglio di servizi proprietario, senza tuttavia doversi dotare di un proprio data center oppure facendolo evolvere attraverso la scalabilità del cloud.
«È un’opportunità che oggi le aziende del canale possono sfruttare in totale sicurezza, anche dal punto di vista del GDPR – fa sapere in chiusura Gibello -. Aruba è tra i membri fondatori del CISPE – Cloud Infrastructure Services Providers in Europe, coalizione formata dai principali provider di infrastrutture cloud in Europa, che ha dato vita ad un Codice di Condotta per la protezione dei dati, che ha anticipato il GDPR, e disciplina il comportamento dei cloud provider che forniscono un servizio IaaS. Per i business partner significa potersi affidare ad un provider sapendo di essere totalmente compliant alle nuove regole del GDPR».