La scelta di utilizzare servizi in cloud per la conservazione dei dati e la gestione delle applicazioni aziendali, implica una serie di valutazioni tecnologiche, organizzative ed economiche sulla fattibilità e sostenibilità di tale soluzione.

Nell’ambito di tale processo decisionale, tuttavia, molto spesso viene sottovalutato l’aspetto privacy e le problematiche correlate alla possibilità che le informazioni aziendali siano accessibili anche da parte di soggetti terzi.  

Quando si sceglie di utilizzare un servizio cloud è necessario tenere in debita in considerazione il fatto che le Forze dell’Ordine (Guardia di Finanza, Polizia Postale…) possano richiedere al fornitore di accedere alle informazioni conservate e ai dispositivi utilizzati dalla nostra azienda.

Con l’obiettivo di disciplinare l’accesso ai dati e ai dispositivi da parte delle Forze dell’Ordine, Apple ha da poco rilasciato una nuova privacy policy aziendale che definisce le modalità per la gestione del processo di richiesta delle Forze dell’Ordine.  

Sulla base delle nuove disposizioni privacy interne, quando arriva una richiesta di informazioni da parte delle Forze dell’Ordine, Apple avvia una verifica preliminare sulla legittimità di tale richiesta e procede alla comunicazione delle informazioni richieste solo nel caso essa risulti lecita ai sensi di legge.

Le informazioni che Apple può rilasciare alle Forze dell’Ordine sono le seguenti:

• Dati relativi ad un account iCloud (nome, indirizzo, email, telefono, collegamenti iCloud, indirizzo IP…)
• Dati e contenuti salvati in iCloud (documenti, backup, foto, contatti, calendari, iMessage, SMS, MMS, segreteria telefonica…)
• Log di posta elettronica iCloud (comunicazioni in entrata e in uscita, ora, data, e-mail del mittente e dei destinatari…)
• Informazioni sulla posizione di iPhone, iPad, iPod touch, Mac
• Informazioni sulle comunicazioni FaceTime (registri di chiamata, durata….)
• Dati raccolti in fase di registrazione di un dispositivo (Mac, iPhone, iPad, iPod, Apple TV…) tra cui, nome, indirizzo, indirizzo email, numero di telefono…
• Informazioni sul dispositivo e sulle periferiche (MAC address, numero di serie, IMEI, MEID, UDID…)
• Informazioni relative ai contatti intercorsi con il Servizio Clienti di Apple
• Informazioni relative all’utilizzo di un account iTunes (dati anagrafici, acquisti, transazioni, download, connessioni IP…)
• Informazioni relative agli acquisti on-line su Apple Store (nome, indirizzo, telefono, e-mail, numero di serie del prodotto, importo, IP, carta di credito, data e ora della transazione…)
• Informazioni sulle Carte regalo iTunes (acquisti, negozio, località, data, ora…)
• Informazioni su Game Center (Log di connessione, Indirizzi IP, Record Transazionali…)

Inoltre, le Forze dell’Ordine possono richiedere anche a Apple l’eliminazione di un accont o di un ID Apple.

Per tali motivi, prima di procedere all’utilizzo di servizi cloud in azienda, deve essere svolta un’attenta analisi preliminare privacy sull’impatto che questo tipo di gestione dei dati può comportare per il business aziendale.

In particolare è necessario effettuare una puntuale analisi dei rischi privacy al fine di valutare quali informazioni e dati personali è possibile conservare in cloud, tenendo conto di eventuali obblighi di segretezza o di segreto professionale e di eventuali restrizioni alla comunicazione imposte da clausole contrattuali o da disposizioni legislative,  regolamentari o amministrative.

Dr. Eric Falzone - IT Law Compliance Advisor - Partner EUCS