Standard CISPE e GDPR: tutto quello che c’è da sapere

Standard CISPE e GDPR: tutto quello che c’è da sapere

Il dibattito sull’adeguamento degli standard tecnologici alle nuove normative per la privacy sembra non finire mai: per via della sua innata complessità, infatti, passa per numerose considerazioni. Se quelle di ordine tecnico riguardano un incremento del livello di privacy e una maggiore sicurezza, quelle burocratiche e amministrative tendono – ormai da molti mesi – ad intrecciarsi con le prime. Il legame tra regolamentazione e servizi internet è, per certi versi, considerato addirittura insolito o bizzarro da alcuni: questo perché, storicamente, molti territori del web sono rimasti un vero e proprio far west, in cui ognuno fa come crede, semplicemente, senza badare a nessuna regola (e nella speranza di non ricevere sanzioni). Le cose, tuttavia, sembrano destinate a cambiare, una volta per sempre.

Ad esempio moltissimi studi legali sono, oggi (al contrario di quanto avveniva in passato), estremamente aggiornati sui temi della privacy e del GDPR (Regolamento Generale sulla Protezione dei Dati), e questo comporta che debbano conoscere almeno un minimo come funzionino le tecnologie IT, e quali siano i rispettivi limiti e contesti. Un argomento di grande interesse anche dal punto di vista normativo, in effetti, considerando che ogni giorno i nostri nomi, indirizzi IP, numeri di carta e password transitano su internet in una miriade di casi diversi (acquisti online, iscrizione a servizi di ogni genere e via dicendo). Le regole imposte dalla UE hanno chiarito definitivamente un aspetto importante: le aziende non possono prendersi forzosamente i nostri dati, farci remaketing senza esplicito opt-in, usarli per inviare spam oppure, ancora, rivenderli a terzi.

Il livello di riservatezza tutelato formalmente dal regolamento europeo per la privacy, tuttavia, è solo una parte del discorso. A parte esso, infatti, esiste anche un argomento meno noto al grande pubblico (ma altrettanto importante) che è noto come standard CISPE (Cloud Infrastructure Services Providers in Europe). Pertanto proveremo a fornire qualche chiarimento utile in merito, per inquadrare meglio come esse finiscano per compensarsi a vicenda.

Dal GDPR al CISPE

Come sappiamo il decreto privacy, promosso a livello europeo ormai dal 28 maggio 2018, ha posto l’accento su importanti tematiche: soprattutto quelle relative al trattamento dei dati personali per quello che riguarda social network e sistemi informativi che trattino anagrafiche, anche parziali (es. nome, telefono o indirizzo email), di ogni utente. Si tratta di un argomento che tanti considerano sopravvalutato, in effetti, sia per superficialità sia sulla falsariga di una certa confusione interpretativa relativa agli obblighi ed alle norme da rispettare. Di sicuro l’introduzione del GDPR si è incentrato su un’estrema attenzione alla riservatezza dei dati utilizzati da siti e app, e ovviamente anche altri servizi come cloud ed email: come abbiamo ribadito in più occasioni, del resto, queste ultime rimangono uno strumento principe in ambito comunicativo, e soprattutto durante la divulgazione e la trasmissione di dati sensibili non bisognerebbe prendere sottogamba l’aspetto relativo alla tutela della privacy. Il GDPR stesso, del resto, ha messo definitivamente in chiaro gli aspetti da tenere in conto, in ambito normativo, in primis sulla responsabilità del trattamento dei dati (che in molti casi era vaga, nebulosa se non del tutto assente) e in secondo luogo sugli obblighi che i gestori di quei dati personali devono rispettare.

Che cos’è il codice di condotta CISPE

Come si collochi lo standard CISPE in questo ambito è subito detto: si tratta di una coalizione tra aziende, nata nel 2016, alla quale hanno aderito circa 20 provider di servizi in cloud, distribuiti in vari paesi europei. La cosa interessante è che esso già era a conoscenza di ciò che sarebbe diventato il GDPR in seguito, per cui ha finito per allinearsi in anticipo alle disposizioni creando un vero e proprio CoC (Code of Conduct, ovvero Codice di condotta): esso serve a garantire il controllo e la proprietà assoluta dei dati personali degli utenti. Lo ha fatto mediante alcuni punti ben focalizzati, infatti, tra cui l’uso di standard di sicurezza per la comunicazione, il principio di ripartizione di responsabilità tra utenti e provider e, in definitiva, l’imposizione di una maggiore trasparenza tra gli attori in gioco.

In un contesto del genere l’introduzione, per i principali provider di servizi, del CISPE è stata determinata da un mix tra l’aspetto tecnologico e quello burocratico-amministrativo, in modo da fornire specifiche chiare, in ambito tecnico, a chi dovrà occuparsi di garantire quanto stabilito. Qualsiasi webmaster dovrebbe sapere bene, per fare un esempio popolare, che l’adeguamento del GDPR sui vari siti è stato soggetto a varie ambiguità implementative, motivo per cui moltissimi si sono scontrati con la difficoltà di adeguarsi ad un qualcosa per cui, di fatto, non c’erano vere e proprie specifiche tecniche, ma solo indicazioni generali (condivisibili, ovviamente, quanto troppo nebulose). Dietro il CISPE, pertanto, si celano vari aspetti che definiscono un codice comportamentale non ambiguo e dal taglio tecnico per quello che riguarda il trattamento dei dati da parte delle piattaforme digitali. Questo interesserà tipicamente i servizi in cloud di fascia medio-alta, ovvero pensati per le aziende strutturate come per i liberi professionisti, ma si potrebbe estendere a qualsiasi altro genere di web service, email o SaaS.

Il CISPE è legato al GDPR perché, in qualche modo, ne ha anticipato forma e sostanza: è stato concepito per fornire direttive esplicite alle varie piattaforme che lavorano sul cloud, in modo che le stesse possano fornire maggiori garanzie ai propri clienti in termini di privacy. Questo si traduce, a livello pratico, nel fatto che non è più consentito sfruttare le banche dati con le anagrafiche ed i dati personali degli utenti per effettuare data mining, profilazione e operazioni di remarketing senza previa autorizzazione degli interessati.

Al tempo stesso, il CISPE fornisce un’indicazione sui requisiti tecnici che devono rispettare le infrastrutture cloud in tal senso, in particolare sul fatto di essere content agnostic: un’espressione che significa, in altri termini, che le piattaforme devono garantire tecnicamente la riservatezza delle informazioni che fanno gestire ai propri clienti. Per un servizio di posta elettronica, ad esempio, questo significa che il provider del servizio non può materialmente accedere alle mail in entrata ed in uscita di qualsiasi clienti: cosa che dovrebbe essere ovvia, ma che alla prova dei fatti ha sempre suscitato qualche dubbio in più di un esperto informatico (soprattutto nel caso in cui, ad esempio, vedevamo apparire annunci pubblicitari molto a tema tra le righe delle nostre webmail gratuite).

Secondo lo standard CISPE, poi, il provider deve garantire questo diritto in modo egualitario per qualsiasi cliente, a prescindere dall’uso che egli farà del servizio e dal tipo di pacchetto commerciale prescelto.

CISPE, GDPR e email

Il mondo del GDPR e del CISPE è subentrato anche nell’ambito dell’invio e della ricezione di email, uno strumento ancora fortemente radicato in ambito professionale e aziendale: ed è per questo che, alla prova dei fatti, i servizi di posta elettronica hanno dovuto mettersi in regola sia da un lato che dall’altro.

Se è vero che il GDPR si è prestato almeno in parte all’interpretazione soggettiva di direttive per molti versi generiche, senza veri e propri approfondimenti tecnici a riguardo, il CISPE ha quantomeno il merito di essere riuscito a formalizzare la questione in modo più preciso, tanto che molti servizi di posta professionale come Truemail vengono da tempo offerti in linea con le direttive create da questo standard. Questo è importante soprattutto per chi, con le email, trasmette e riceve ogni giorno dati particolarmente sensibili, per cui dovrebbe (almeno alla lunga) valutare la possibilità di sfruttare la crittografia per massimizzare la sicurezza della comunicazione.

Non sembrano esistere scappatoie in tal senso, anche perché il GDPR ha confermato apertamente che le regole da seguire valgono anche per le aziende fuori dalla UE (quelle americane, ad esempio, che facciano uso di servizi o abbiano clienti europei), che spesso sfruttavano quella posizione geografica per aggirare le regole non soltanto in ambito privacy, purtroppo. Senza tirare in ballo discorsi che andrebbero al di là del focus di questo articolo, pertanto, sono dell’idea che il CISPE abbia dato una standardizzazione utile e costruttiva ad un ambito che era poco, o per nulla, regolarizzato.

C’è da augurarsi che questi argomenti possano, un giorno, diventare la normalità e liberarsi dall’idea fuorviante che si tratti di cose incomprensibili, inutili o puramente didascaliche: l’uso consapevole, libero e sicuro della tecnologia dovrà per forza passare per una regolamentazione chiara. Un insieme di norme che siano comunemente accettate, e che siano comprensibili da chiunque: sia dalle aziende che dovranno delegarne la gestione che, soprattutto, dagli utenti finali.

0 voti


Informazioni sull'autore

Salvatore Capolupo

Consulente SEO, ingegnere informatico e fondatore di Trovalost.it, Pagare.online, Lipercubo.it e tanti altri. Di solito passo inosservato e non ne approfitto.