I dati non personali: come creare valore garantendone la sicurezza e la portabilità. Codici di condotta e certificazioni

I dati costituiscono per l’Unione europea una priorità fondamentale per la crescita economica e lo sviluppo dell’economia digitale. In quest’ottica, i servizi cloud rappresentano l’asse centrale per estrarre il valore economico dai dati, memorizzandoli e condividendoli.

In tal senso, il Regolamento (UE) 2018/1807 in materia di dati non personali, promuove all’art. 6 l’elaborazione di codici di autoregolamentazione (c.d. codici di condotta), con l’intento di “contribuire a un’economia dei dati competitiva basata sui principi della trasparenza e dell’interoperabilità (…)”.

A tal fine, nell’ambito della portabilità dei dati non personali, la Commissione europea ha fissato i seguenti obiettivi:

• ridurre il rischio di blocco dei fornitori di servizi Cloud (c.d. vendor lock-in),
• rendere più fluido il mercato europeo dei servizi Cloud,
• consentire anche alle piccole imprese e ai nuovi operatori del mercato di competere in tale ambito,
• individuare obblighi di informazione minimi, aumentando in questo modo la fiducia dei clienti dei servizi Cloud,
• favorire gli approcci in materia di sistemi di certificazione, in materia di gestione della qualità, della sicurezza delle informazioni, della continuità operativa e della gestione ambientale.

In particolare, la Commissione europea ha individuato due gruppi di lavoro, rispettivamente per l’elaborazione dei codici di autoregolamentazione e per lo sviluppo della certificazione di sicurezza dei servizi cloud:

• Gruppo di lavoro SWIPO - Switching from Provider and Porting non-personal data
• Gruppo di lavoro CSPCERT WG - Cloud Service Provider Certification Working Group.
  
  

Gruppo di lavoro SWIPO

Il gruppo SWIPO AISBL è un’associazione multi-stakeholder composta da fornitori di servizi cloud (CSP – Cloud service Provider) e clienti (CSC – Cloud service Customer).

Dopo due anni di lavoro, il gruppo SWIPO ha annunciato la pubblicazione di due codici di condotta: uno sulla portabilità dei dati e uno sul Cloud switching, ottenendo, come evidenziato in un recentissimo articolo del 12 maggio 2021 pubblicato sul sito swipo.eu, un totale di ventuno dichiarazioni di adesione da parte dei fornitori di servizi Cloud.

Nello specifico il tema della portabilità è affrontato nel Codice dei servizi cloud Infrastructure as a service (Iaas) e quelle del cloud switching in quello dei servizi cloud Software as a service (Saas); gli stessi sono stati presentati per la prima volta in occasione della conferenza sull’economia dei dati tenutasi ad Helsinki al termine dell’anno 2019, con lo scopo di fornire una guida volontaria per i Cloud Provider e i Clienti Cloud, e soprattutto per favorire un maggiore flusso e portabilità dei dati in ottemperanza al Regolamento sui dati non personali.

Entrambi i Codici prevedono l’adesione da parte degli operatori del settore in maniera del tutto volontaria, e non si sostituiscono al cosiddetto “Cloud service agreement” (CSA), ossia un accordo formale tra il fornitore e il cliente di servizi cloud, con il quale vengono definite le modalità attraverso cui verrà fornito il servizio Cloud.

Gruppo di lavoro CSPCERT

Il gruppo CSPCERT è stato creato con l’obiettivo di sviluppare uno schema di certificazione Cloud europeo nel contesto della legge sulla sicurezza informatica e di fornire alla Commissione europea e all’ENISA (European Union Agency for Cybersecurity) una serie di raccomandazioni che dovranno essere prese in considerazione nell’implementazione dello schema di certificazione del Cloud.

L’idea alla base della certificazione dei servizi Cloud non è quella di proporre alla Commissione europea uno modello completamente nuovo, ma bensì quella di fornire uno schema basato su pratiche e standard già esistenti e utilizzati nel settore.

La proposta definitiva elaborata dal CSPCERT WG è stata finalizzata il 7 giugno 2019, e successivamente presentata alla Commissione europea e all’ENISA i successivi 12 e 13 giugno.

Il testo finale presentato dal gruppo di lavoro, contiene “raccomandazioni per l’implementazione dello schema di certificazione CSP”, e nello specifico può essere suddiviso in tre documenti principali:

1. Il primo documento analizza l’elaborazione degli obiettivi di sicurezza che uno schema di certificazione a livello europeo deve includere. Questi obiettivi di sicurezza si basano sull’analisi degli standard, dei sistemi e delle buone pratiche esistenti;
2. Il secondo documento disciplina invece l’analisi comparativa delle metodologie di valutazione della conformità più rilevanti, i loro approcci ed i loro elementi distintivi;
3. Infine, il terzo documento elabora i documenti precedenti, i risultati della consultazione aperta tenutasi durante gennaio - febbraio 2019 e fornisce contenuti aggiuntivi sotto forma di raccomandazioni per la Commissione europea e l’ENISA. Tra le raccomandazioni generali del CSPCERT WG formulate alla Commissione europea, è possibile evidenziare quella di:

• includere lo sviluppo di uno schema di certificazione della sicurezza del cloud a livello di UE nel programma di lavoro a rotazione dell’Unione europea per la certificazione della sicurezza informatica europea ai sensi della legge sulla sicurezza informatica;
• chiedere all’ENISA di preparare uno schema sulla base della proposta presentata dal gruppo di lavoro, come parte dell’esecuzione di tale programma di lavoro a rotazione dell’Unione.

In conclusione, come stabilito nel Regolamento europeo sui dati non personali, la Commissione europea valuterà l’impatto e l’effettiva attuazione dei codici di condotta entro il 29 novembre 2022. Questa attività valutativa si concentrerà in particolare sugli effetti che i codici di condotta avranno sulla fluidità e la competitività del mercato del Cloud per quanto riguarda i codici elaborati dal gruppo di lavoro SWIPO, e sull’esatto coordinamento con la legge in materia di cybersecurity per il gruppo di lavoro CSPCERT.