Opportunità del GDPR: perché conviene il cloud (e quale)

Mi soffermo oggi su un aspetto in particolare – tra i tanti che introduce – del GDPR, ovvero quello delle nuove responsabilità introdotte per i titolari dei dati (data controller) e gli incaricati (data processor).
Non voglio ovviamente entrare nei dettagli (e non è mio compito), l’obiettivo di fornire alcuni spunti di riflessione così da permettere anche a chi non è addetto ai lavori, di poter capire se la strada intrapresa è quella giusta o meno.
Partiamo da qui: data controller e data processor. Chi sono? Il data controller è il titolare dei dati, che non significa “padrone dei dati” ma solamente del trattamento di essi, ovvero ha la capacità di determinarne finalità e mezzi per il trattamento stesso. Esempio: un negozio di abbigliamento è il data controller dei dati dei suoi clienti che usa per ottenere e gestire le carte fedeltà. Il data processor è il responsabile del trattamento, ovvero un soggetto esterno (se c’è) che entra in gioco quando il responsabile decide di delegare parte del trattamento dei dati. Esempio: un fornitore che custodia i dati nel proprio data center.
Ora, considerate le nuove richieste che il GDPR impone nel trattamento dei dati, soprattutto in termini di sicurezza, disponibilità e affidabilità, l’opzione – per una azienda – di affidarsi ad un partner/fornitore esterno per il trattamento dei dati, diventa qualcosa di interessante, che vale la pena analizzare.
Inoltre, il nuovo concetto di responsabilità solidale, fa sì che l’interessato che si ritenga leso nei suoi diritti da un trattamento non corretto, potrà rivolgersi sia al titolare che al responsabile (data controller o data processor): è una differenza sostanziale rispetto alla normativa vigente, dovete conseguenze risarcitorie e sanzionatorie sono a carico solo del titolare dei dati.
Anche per questo motivo, consiglio caldamente di evitare soluzioni GDPR “fai da te”, ma di affidarsi ad un partner di comprovata esperienza e certificato. E’ possibile quindi sfruttare questa opportunità per diminuire i rischi dell’azienda demandando ad un outsourcing competente le attività di trattamento dei dati, rimanendo focalizzati sul proprio business.