Nell'esercizio della funzione di consulenza e di assistenza verso il titolare, il All privacy Entionline fornisce le seguenti prescrizioni inerenti l’utilizzo di device personali e servizi gratuiti su cloud di vario genere come, ad esempio:
- e-mail personali tramite webmail (gmail, outlook.com, libero mail, tiscali mail ecc..);
- servizi cloud storage come google drive, dropbox, onedrive ecc…;
- notebook personali;
- pendrive personali.
PRESCRIZIONI
Ormai è di largo uso l’utilizzo di servizi gratuiti di vario genere sul cloud, e di device personali. I dipendenti che li utilizzano ignorano il RISCHIO a cui espongono l'Ente di appartenenza sotto il profilo della sicurezza informatica. In particolare, l'utilizzo di servizi gratuiti di accesso ai dati e l'utilizzo di device personali, utilizzando la rete dell'Ente o trattando i dati di cui è titolare l'Ente, mettono a rischio la sicurezza dei dati stessi, come indicato anche nelle misure minime di sicurezza AGID a cui l'Ente si deve conformare.
Ciò premesso, lo scrivente All privacy Entionline dispone:
- di fornire adeguate istruzioni a tutti i dipendenti sull'utilizzo di servizi gratuiti di accesso ai dati e l'utilizzo di device personali al fine di ridurre il rischio di un utilizzo non consentito e, soprattutto, inconsapevole del livello di rischio;
- di dare attuazione alle suddette misure minime di sicurezza Agid;
- conformare l'utilizzo alle indicazioni del Garante "Cloud computing: indicazioni per l’utilizzo consapevole dei servizi" che offrono un primo insieme di indicazioni utili a tutti gli utenti di dimensioni contenute e di limitate risorse economiche (singoli, piccole o medie imprese, amministrazioni locali quali i piccoli comuni, ecc.) destinatari della crescente offerta di servizi di cloud computing (pubbliche o ibride), con l’obiettivo di favorire l'adozione consapevole e responsabile di tale tipologia di servizi. In particolare, conformare l'attività dell'Ente all'indicazione di assicurarsi la disponibilità dei dati in caso di necessità: nell'utilizzo dei servizi di cloud computing, in assenza di stringenti vincoli sulla qualità formalizzati attraverso il contratto con il fornitore,il Garante raccomanda di mantenere una copia di quei dati (anche se non personali) dalla cui perdita o indisponibilità potrebbero conseguire danni economici, per l’immagine o in generale relativi alla missione e alle finalità perseguite dall’utente. Ciò specie quando ci si affidi a servizi gratuiti o a basso costo quali, ad esempio, a servizi di hard-disk remoto, mail, soluzione per la conservazione documentale e così via, che potrebbero non presentare adeguate garanzie di disponibilità e prestazioni tipiche, invece, dei servizi professionali. Certamente, nel caso in cui i dati trattati non siano i propri, come avviene per pubbliche amministrazioni che raccolgono e detengono informazioni di terzi, l’adozione di servizi che non offrono adeguate garanzie di riservatezza e di continuità operativa può avere rilevanti ripercussioni nel patrimonio informativo dei soggetti cui i dati si riferiscono. In tal senso, il titolare del trattamento dei dati a fronte del contenimento di costi dovrà comunque provvedere al salvataggio (backup) dei dati allocati nella cloud, ad esempio creandone una copia locale (eventualmente sotto forma di archivio compresso), allo scopo di gestire gli eventuali rischi insiti nell’acquisizione di servizi che, pur con i vantaggi dell’economicità, potrebbero tuttavia non offrire sufficienti garanzie di affidabilità e di disponibilità.
Con l'occasione della presente prescrizione, si richiama la recente:
- SORVEGLIANZA COLLABORATIVA - RILIEVO RELATIVO ALL'UTILIZZO DI SOCIAL NETWORK > NECESSITA' DI DOTARSI DEL REGOLAMENTO PER L'UTILIZZO DI SOCIAL NETWORK
raccomandando all'Ente di adottare il suddetto regolamento.