Il Software as a Service (saas) e le ripercussioni sulla privacy

Al momento stai visualizzando Il Software as a Service (saas) e le ripercussioni sulla privacy

Il Software as a Service (saas)è una grande risorsa per aziende ed enti pubblici, può però comportare pesanti ripercussioni sulla privacy se non viene integrato e pianificato correttamente.

SaaS: che cosa si intende?

Per Software as a Service (SaaS) si intende un modello di distribuzione di software in cui un provider sviluppa, mantiene e distribuisce l’applicativo in cloud. L’accesso al software è disponibile pagando tramite abbonamento e in generale sulle forme di tipo pay-as-you-go. Questi software non vengono installati dagli utenti perchè sono distribuiti istantaneamente tramite il cloud. Per fare due esempi che chiariscano la definizione, sono SaaS sia Google Docs che Microsoft office 365: quindi SaaS non riferisce ad un mondo oscuro e lontano, ma alla quotidianità che molti di noi già vivono nella sfera lavorativa e privata.

La proliferazione del SaaS, se non pianificata, è un problema

La proliferazione del SaaS (Software-as-a-Service) è un fenomeno decisamente trascurato, se non addirittura ignorato in qualche azienda. Si verifica quando il numero di applicazioni cloud di terze parti utilizzate su una rete raggiunge una vetta in cui gli amministratori non riescono più a gestirle in modo efficace.

La facilità di approvvigionamento, implementazione e utilizzo di applicazioni SaaS ha reso questo tipo di “shadow IT” più facile da gestire che in passato. Come dire: in rete posso trovare di tutto, anche una demo gratuita che posso utilizzare (o addirittura copiare) per risolvere un problema o migliorare la mia produttività. Chiedere autorizzazioni, magari pagarne l’uso o informare chi di dovere, potrebbe essere visto come una perdita di tempo o un aggravio di costi. Poi, talvolta, un po’ di inventiva da problem solver potrebbe essere ben vista nelle aziende. Le implicazioni però vanno ben oltre.

SaaS: quali implicazioni possibili?

Sul punto ricordiamo che le applicazioni SaaS possono essere utilizzate direttamente sul Web senza installare alcun software. Ciò porta indiscutibilmente a problemi di prevenzione: con queste applicazioni sono gestiti dati aziendali che il singolo utente ha a disposizione per le mansioni svolte e per determinati scopi. L’uso di questi sistemi al di fuori di uno strettissimo controllo aziendale configura violazione delle norme in materia di protezione dati. Non solo: in presenza di una policy aziendale conforme al GDPR, un caso come quello sopra descritto la vìola e determina data breach.

Perchè? Per averne conferma basta rispondere a due domande:

1. questa attività è stata preventivamente autorizzata dall’azienda?
2. gli interessati hanno dato un consenso preventivo e informato per detta attività?

Per approfondire > La filiera della privacy nelle aziende

Stiamo parlando di casi limite?

Qualcuno potrebbe obiettarlo, ma noi riteniamo di no. Ricordiamoci, ad esempio, che l’incremento dello smart working e, in generale, della possibilità di agire da remoto, magari anche con strumenti non aziendali, hanno lasciato i singoli operatori sempre più liberi di ricorrere a strumenti esterni e non verificati senza alcun controllo o supervisione da parte di chi è deputato al controllo della privacy e dallo stesso titolare. Chissà se ci si chiede prima di utilizzare questi “stratagemmi” se il software sia compatibile anche con i sistemi aziendali e quali danni agli stessi potrebbe arrecare.

E quindi, quali rischi?

Possiamo intanto muovere dalla già citata certezza che una simile forma di trattamento sicuramente non sia prevista dai protocolli aziendali. Non solo: si aggiunge l’altissima probabilità che i dati rimangano nel cloud e nelle memorie del soggetto fornitore. Ciò si traduce in perdita di dati e ulteriore verosimile collocazione non autorizzata di dati aziendali al di fuori del normale ambiente operativo o, addirittura, in altra giurisdizione (chi usa questi sistemi si preoccupa di verificare dove si trova il server o il cloud? Ne dubitiamo).

Quella del Software as a Service, sicuramente una risorsa per ogni azienda o ente pubblico, può rivelarsi una problematica piena di oscuri risvolti giuridici se non ben gestita o, peggio ancora, non autorizzata.

SaaS in sicurezza e conformità: qualche spunto

In primo luogo i contratti di SaaS non possono prescindere da una loro valutazione e collocazione all’interno della filiera privacy aziendale. Devono tenere conto, però, anche delle rispettive posizioni contrattuali e responsabilità delle parti.

Inoltre ogni Titolare deve essere lungimirante, se non addirittura prevedere, i possibili comportamenti non ortodossi dei propri dipendenti, quantomeno quelli più probabili sulla base dell’attività svolta e della tipologia di dati trattati dai singoli.

Mai come in questo delicato settore formazione, lettere di incarico e, in primis, i contratti, devono essere adeguatamente considerati.

Per approfondire > I tanti aspetti della security policy e i rischi reali per i dati


Cerchi piattaforme per adempiere a 360° al GDPR ed evitare sanzioni? Vedi qui!
Oppure ti serve formazione? O un consulente privacy? Abbiamo quel che cerchi!