Pe langa beneficiile aduse companiilor, stocarea de date in cloud ridica, in primul rand, o serie de probleme de securitate, precum procesarea si stocarea datelor cu caracter personal ale utilizatorilor (de exemplu: nume, telefon, CNP, adresa, etc.), mai ales din cauza cadrului legislativ national deficitar.
La nivelul Uniunii Europene, lucrurile sunt pe cale de imbunatatire, intrucat in viitorul apropiat se intentioneaza adoptarea unui Regulament privind protectia persoanelor fizice referitor la prelucrarea datelor cu caracter personal si libera circulatie a acestor date. Forma actuala prefigureaza infiintarea unei autoritati de supraveghere a datelor cu caracter personal la nivel UE, precum si amenzi considerabile, in cazul nerespectarii regimului protectiei datelor cu caracter personal. Odata adoptat, Regulamentul se va aplica direct in statele membre ale Uniunii Europene.
In acest context, a fost adoptat Avizul nr. 5/2012 privind ,,cloud computing” de catre Grupul de Lucru pentru Protectia Datelor instiuit in temeiul articolului 29 Directiva 95/46/CE privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si libera circulatie a acestor date.
In ciuda beneficiilor recunoscute ale cloud computing din punct de vedere economic, cat si societal, Avizul subliniaza modul in care introducerea la scara larga a serviciilor de cloud computing poate genera o serie de dificultati asociate protectiei datelor, determinate in special de lipsa controlului utilizatorului serviciilor de tip ,,cloud” asupra protectiei datelor cu caracter personal, precum si de informatiile insuficiente cu privire la modalitatea, locul si entitatea de prelucrare / sub-prelucrare a datelor.
Avizul ofera insa orientari clare privind cerintele de securitate pe care orice prestator de servicii cloud (PSC) trebuie sa indeplineasca in mod obligatoriu. Astfel, orice PSC trebuie sa asigure toate cerintele clasice de securitate a datelor si anume disponibilitatea, integritatea si confidentialitatea, dar si sa aiba in vedere ca protectia datelor nu se limiteaza numai la securitatea acestora, ci si la transparenta, izolare, posibilitatea de interventie si portabilitate pentru a respecta dreptul persoanelor la protectia datelor, consacrat prin Art. 8 din Carta drepturilor fundamentale a Uniunii Europene.
Riscurile in ceea ce priveste protectia datelor asociate cloud computing si mijloace la dispozitia PSC pentru protejarea datelor
Potrivit specialistului Accace, printre principalele riscuri la care utilizatorul este expus cand doreste sa utilizeze servicii cloud se numara lipsa transparentei asupra lantului de externalizare / subcontractare a prelucrarii de date cu caracter personal de catre prestatori, lipsa unui cadru global comun al portabilitatii datelor si incertitudinea cu privire la admisibilitatea transferului de date cu caracter personal catre furnizorii de servicii de cloud computing stabiliti in afara SEE.
Cel mai bun exemplu privind lipsa transparentei fiind cazul in care furnizorul serviciilor cloud subcontracteaza catre terti o serie de servicii care implica prelucrarea de date cu caracter personal. In aceasta situatie, cea mai simpla solutie pentru a se asigura protectia utilizatorului, ar fi ca prin regulament sa se impuna introducerea unor clauze contractuale care sa permita subcontractarea serviciilor de prelucrare doar cu acordul utilizatorului.
Respectarea principiilor fundamentale privind protectia datelor (ex. transparenta, specificarea si limitarea scopului, stergerea datelor cu caracter personal imediat ce pastrarea lor nu mai este necesara) ar trebui detaliata si reglementata in contractul dintre furnizorul de servicii si utilizator, iar furnizorul de servicii ar trebui sa-si structureze activitatea si serviciul oferit astfel incat sa poata asigura respectarea acestor principii.
Libera circulatie a datelor cu caracter personal catre tarile din afara SEE este conditionata de un nivel adecvat de protectie a datelor oferit de tara sau destinatarul datelor. In caz contrar, trebuie luate masuri de protectie de catre operator si co-operatorii sai si/sau de persoanele imputernicite. Cu toate acestea, cloud computing se bazeaza pe o lipsa totala a unei locatii stabile a datelor in cadrul retelei furnizorului de cloud computing. Datele se pot afla intr-un centru de date la ora 14:00 si in alta parte de pe glob la ora 16:00, utilizatorul aflandu-se foarte rar in pozitia de a putea cunoaste in timp real unde sunt localizate, stocate sau transferate datele. In acest context, instrumentele legale traditionale care furnizeaza un cadru de reglementare a transferurilor de date catre tari terte din afara UE care nu ofera o protectie adecvata au anumite limite. De aceea, in contractele incheiate cu utilizatorii pot fi introduse garantii suplimentare referitoare la securitatea datelor, de exemplu, ingloband expertiza si resursele partilor terte capabile sa evalueze caracterul adecvat al PSC prin diferite sisteme de audit, standardizare si certificare.
La nivel national, desi nu se face referire expresa la serviciile de tip cloud, protectia datelor cu caracter personal este reglementata de Legea nr. 677/2001 privind protectia persoanelor cu privire la prelucrarea datelor cu caracter personal si libera circulatie a acestora. In conformitate cu prevederile Art. 2 alin. (1), legea se aplica prelucrarilor de date cu caracter personal efectuate, in tot sau in parte, prin mijloace automate, precum si prin alte mijloace decat cele automate, a datelor cu caracter personal. Intra sub incidenta prezentei legi urmatoarele categorii de operatori:
- Operatorii stabiliti in Romania;
- Misiunile diplomatice / Oficiile consulare ale Romaniei;
- Operatorii care nu sunt stabiliti in Romania, dar care utilizeaza mijloace de orice natura situate pe teritoriul Romaniei.
Principiile fundamentale ale legislatiei UE privind protectia datelor (de exemplu, transparenta, specificarea si limitarea scopului, stergerea datelor cu caracter personal imediat ce pastrarea lor nu mai este necesara, precum si adoptarea de masuri tehnice si organizationale in scopul asigurarii unui nivel adecvat de protectie si securitate a datelor) se regasesc si in Legea nr. 677/2001, care stabileste si masurile de sanctionare a incalcarii acestora. Amenzile pentru incalcarea dispozitiilor Legii 677/2001 variaza intre 500 lei si 50.000 lei, in functie de dispozitia ce a fost incalcata si gravitatea incalcarii acesteia. Constatarea si aplicarea sanctiunilor se face de catre Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal (ANSPDCP).
De ce statul nu utilizeaza servicii cloud?
Specialistul Accace apreciaza ca lipsa transparentei asupra lantului de externalizare / subcontractare a prelucrarii de date cu caracter personal de catre furnizorul de servicii cloud, lipsa unui cadru global comun al portabilitatii datelor si incertitudinea cu privire la admisibilitatea transferului de date cu caracter personal catre furnizorii de servicii de cloud computing stabiliti in afara SEE, sunt probabil riscuri la care statul, ca potential utilizator de servicii cloud, este expus, si pe care, cel putin in actualul cadru legislativ, nu doreste sa si le asume.
Contact:
Nicoleta Boaru Corporate Services Manager nicoleta.boaru@accace.com
