GDPR e web hosting: indicazioni base per l’adeguamento. Come si è adeguato Digital Ocean

GDPR e web hosting: indicazioni base per l’adeguamento. Come si è adeguato Digital Ocean

Approvata già nel 2016, la regolamentazione ufficiale nota come General Data Protection Regulation (GDPR)  si integra con la precedente Directive 95/46/EC europea introdotta nel lontano 1995, e tende a sostituirne ed aggiornare, almeno in parte, lo spirito. Lo scopo del GDPR è quello di potenziare sicurezza e privacy degli utenti finali dei nostri servizi online, prevedendo e pianificando per ogni stato europeo la possibilità di introdurre nuove ed ulteriori (più precise) regolamentazione in fatto di privacy.

Nota: si specifica che quella che segue, ancora una volta, non è un parere legale e non è la soluzione definitiva a tutti i problemi: la questione, peraltro, sembra essere molto soggettiva e variabile a seconda dei contesti. In pratica, ogni sito finisce per fare storia a sè. Per cui, attenendomi a quelli che sono i regolamenti del GDPR per come sono riuscito ad intenderli, cercherò di estrarne i punti salienti nella speranza che possa essere utile ai tanti che ancora non sanno bene cosa fare.

Sul GDPR in arrivo anche per i tanti siti web in circolazione sono tante le attività che andrebbero programmate e realizzate, e che già da molto tempo andavano messe in conto. Volendo provare una sintesi (cosa forse impossibile, in molti casi, dentro un singolo articolo) di ciò che bisognerebbe fare per quanto riguarda gli hosting web e chi offre servizi analoghi di email, cloud, ecc., metterei (per quello che riguarda i siti web, quantomeno) due punti tra i to-do:

  1. potenziare l’usabilità degli strumenti per la gestione degli account (e dei dati personali) dell’utente;
  2. esporre in modo ancora più semplice e chiaro le condizioni a cui gli utenti sono soggetti, a livello di privacy.

Ma a livello di realtà di web hosting, nello specifico, come dovrebbe avvenire l’adeguamento? Mi sono fatto un’idea e ne parlo qui, basandomi soprattutto su quello che hanno fatto alcune tra le realtà internazionali più importanti in fatto di hosting.

Pubblicità

DigitalOcean: introduzione

Digital Ocean garantisce formalmente un adeguamento al GDPR entro la data fatidica del 25 maggio 2018, puntando su un aspetto semplice e comprensibile per tutti gli utenti, quale la realizzazione di software di qualità. Nonostante si sia detto che il GDPR non è stato scritto da programmatori o per programmatori, in realtà molti suoi punti coincidono con regole e good practices utili per realizzare buoni prodotti software. L’adeguamento allo stato dell’arte per quello che riguarda i software usati dai servizi di hosting riguarda, nello specifico, la protezione dei dati personali, che poi sono quelli che come clienti gli hosting web si ritrovano a dover trattare digitalmente. In questo molto dipende dai pannelli di controllo usati per la gestione degli utenti, dall’uso di fattori di sicurezza come i certificati SSL, da come questi pannelli sono stati realizzati e (volendo trovare un criterio agevole da verificare, che potrebbe tuttavia non essere adeguato a tutti i casi) da quando e quanto di frequente vengano aggiornati.

LEGGI ANCHE:  Colocation nel settore web hosting: che cos'è, e a cosa serve

L’uso di cPanel, Plesk, e via dicendo va benissimo a mio modo di vedere in ottica GDPR nella misura in cui queste aziende annunciano di volersi adeguare alla normativa, perchè poi sarà loro compito adeguarsi. Nel caso di DigitalOcean, di base loro forniscono delle semplici droplet configurabili a piacere, che poi non sono altro che macchine virtuali su cui possiamo far girare un sistema operativo (tipicamente Linux) e configurarlo come preferiamo: per WordPress, per Joomla!, per Node.JS e così via.

Insomma è sempre la solita storia: la valutazione va effettuata caso per caso, ma in linea di massima la cosa che i servizi di hosting dovranno effettuare è quella di aggiornare software e condizioni d’uso dei propri servizi al meglio dello stato dell’arte attuale, e per quanto per molti non sia chiaro il reale punto d’arrivo ciò avviene semplicemente perchè lo stesso non è definibile a priori: del resto non è questo lo scopo della normativa, e quello che conta (a mio avviso, ovviamente) è riuscire anche solo ad abolire tutte le bad practices e limitare i potenziali problemi di privacy che si potrebbero verificare nel tempo.

DPA e DP di Digital Ocean

I punti sviluppati da Digital Ocean nello specifico sono due:

Il DPA (Data Processing Agreement) non è altro che un documento integrativo dei classici termini di servizio, che parte da una serie di definizioni formali, definire i ruoli delle parti in gioco (cliente, servizio di hosting, …), indica gli obblighi del cliente finale (tra cui l’essere un Controller dei dati che inserisce sul web, apparentemente, mediante servizio di hosting), indica anche quelli del servizio di hosting (trattare i dati per gli scopi necessari, processarli ecc.), specifica la natura delle attività svolte (che per DO sono: memorizzazione dei dati, supporto tecnico ed eventuali disclousure) e dei dati posseduti da DO stessa. Si passa poi alla definizione di un Sub-Processor intermediario del trattamento dei dati, sicurezza nel trattamenti dei dati personali, che in particolare vengono elencati dettagliatamente mediante una serie di trattamenti specifici. Per la verità alcuni passaggi fanno riferimento a termini che sono apparentemente solo burocratici, e che non so fino a che punto possano davvero essere comprensibili per l’utente finale. Del resto la UE ha molto insistito sul concetto – pienamente condivisibile, del resto – che le condizioni d’uso dei servizi debbano essere comprensibili e scritte in modo semplice e chiaro, per cui mi sarei aspettato qualcosa di diverso in questa sede.  Tuttavia è anche probabile  che queste indicazioni siano dovute a requisiti specifici che debbano soddisfare loro come azienda che fornisce servizi di VPS (e per come li fornisce), per cui mi aspetto che in questo ogni servizio di hosting debba regolarsi in modo soggettivo.

LEGGI ANCHE:  Cybersquatting: cos'è, perchè è diffuso e come proteggersi

La sezione sulla Data Portability, invece, specifica in modo esplicito come fare a scaricare i propri dati personali, cioè come ogni utente finale del servizio di hosting VPS Digital Ocean debba e possa procurarsi gli stessi. In questo, la cosa interessante è che l’azienda fa riferimento ai dati personali come dati del sito web, quindi i file che carichiamo personalmente, quelli del sito e che permettono ai web services di funzionare. Le tecniche descritte sono quelle, si scrive, con cui l’utente dovrebbe essere già familiare, ovvero:

  • strategie di backup del sito web;
  • trasferimento file via SFTP / FileZilla;
  • trasferimento file via FTP / FileZilla;
  • trasferimento file via rsync di Linux.

Aggiornamento dei termini di servizio in funzione GDPR

Un compito finale che un po’ tutti stiamo facendo anche sui nostri siti web, del resto, è quello di aggiornare le Privacy Policy del nostro sito web ed i termini di servizio dello stesso, evidenziando a seconda dei casi cosa faremo dei dati personali dell’utente, avendo l’accortezza di ricordare che per dati personali si intendono anche quelli lasciati dall’utente in modo involontario durante la navigazione. Lo sforzo della UE sembra proteso, in questo, a far capire agli utenti come davvero funziona il web, senza nascondere più nulla sul trattamento di questi dati ed esplicitando la cosa per un uso consapevole da parte degli utenti finali dei siti e dei servizi web.

 

Ti piace questo articolo?

1 voto

Su Trovalost.it puntiamo sulla qualità dei contenuti da quando siamo nati: la tua sincera valutazione può aiutarci a migliorare ogni giorno.

GDPR e web hosting: indicazioni base per l’adeguamento. Come si è adeguato Digital Ocean

Votato 10 / 10, da 1 utenti