Mentre molte realtà ancora arrancano sui temi della compliance al GDPR, c’è chi al Regolamento Europeo per la protezione dei dati personali ha pensato per tempo e oggi è in grado di dare risposte certe sia ai propri clienti, sia ai propri partner.
Aruba, ad esempio.
“Non potevano non essere pronti”, racconta Stefano Sordi, Chief Marketing Officer della società, che parla di un impegno di lunga data e a lungo termine.
“Abbiamo iniziato a lavorare su questo tema fin dal 2016, soprattutto a livello infrastrutturale e cloud. Sapevamo quel che sarebbe successo e sapevamo soprattutto quali erano i tre pilastri sui quali avremmo dovuto costruire la nostra proposition: chiarire dove sono i dati, che uso se ne fa, a chi è in capo la responsabilità della loro gestione e del loro trattamento”.
Sordi spiega come per Aruba queste siano le fondamenta di una strategia cloud.
Un cloud che per la società fin dall’inizio era pensato per essere “schematizzabile” nella logica del GDPR.
Indice degli argomenti
Nessun dato Aruba soggetto alle norme degli USA
A partire dal fatto che tutti i data center di Aruba si trovano in Europa.
“La nostra infrastruttura cloud, ma anche quella di posta elettronica o di hosting, non sono soggette alle leggi e alle norme Usa”, prosegue Sordi spiegando che “negli USA ci sono norme diverse dal quelle Europe e oggi il GDPR offre ampie garanzie agli utenti in termini di trattamento dei dati. Sicuramente con questo Regolamento l’Europa è all’avanguardia in questo campo e ciò è un valore per gli utenti e per le aziende che offrono servizi”.
Per questo Aruba ritiene di essere l’unico provider di caratura europea a non aver collocato alcun data center negli Stati Uniti.
“I dati che stanno nei server all’interno dei nostri data center sono sotto la gestione dei nostri clienti e noi non vi accediamo in nessun modo: il nostro ruolo è quello di gestire l’infrastruttura. Altra cosa sono di dati anagrafici dei clienti che invece sono sotto la nostra gestione, ma che noi usiamo solo al fine di prestare il servizio acquistato e che mai cediamo a terzi per altri motivi. Abbiamo deciso di chiarire che siamo una società di diritto italiano e i dati di cui siamo titolari sono custoditi in Italia. Né facciamo commercio dei dati”.
Il ruolo del CISPE e il Codice di Condotta
È questo un altro punto che a Sordi preme chiarire.
Aruba è infatti tra i soci fondatori di CISPE, Cloud Infrastructure Service Providers in Europe, l’associazione dei provider di infrastruttura cloud, nata per dare a questi operatori una voce più forte a livello europeo.
Il CISPE, cui hanno aderito finora più di 20 provider di infrastrutture cloud attivi in 15 Paesi europei, sta lavorando a un Codice di Condotta (CoC) e al momento, già è attivo un marchio di garanzia ‘Cispe service-declared’ con il quale vengono identificati i servizi a norma di questo stesso codice, tra cui il Private Cloud, Public Cloud, Cloud Backup e il Cloud Object Storage di Aruba.
“Le regole sulle quali il CISPE lavora – spiega Sordi – sono ancora più stringenti rispetto al GDPR: non è possibile fare data mining, data profiling e altre operazioni di data science”.
Stiamo parlando di un Codice di Condotta sul quale sta lavorando, all’interno dell’Unione Europea, il Working party 29, oggi EDPB (European Data protection Board) che ha già dato un primo parere favorevole, tanto da far ben sperare che nel giro di pochi mesi la proposta si traduca nella redazione del primo codice europeo pensato per normare i dati nel cloud.
Evitare il lock-in, focus su Open Cloud Foundation
Ma non c’è solo la privacy.
L’altro tema sul quale Aruba mantiene accesa l’attenzione è quello del data lock-in, ovvero la difficoltà di spostare i propri dati qualora si decida di passare da un cloud provider a un altro.
In questo caso, Aruba aderisce a OCF, Open Cloud Foundation, un’associazione di aziende tecnologiche che si è posta l’obiettivo di elaborare un framework che assicuri l’apertura del cloud, evitando da un lato la nascita di nuovi sistemi a silos, dall’altro, che operatori cloud di prima grandezza possano imporre al mercato degli “standard” che si caratterizzerebbero inevitabilmente come chiusi e limiterebbero la dinamicità del mercato.
L’impatto sui partner di canale di questo approccio al cloud
Se tutto quanto abbiamo fin qui detto rappresenta una garanzia per le imprese che vogliono valutare l’adozione di una piattaforma cloud, a maggior ragione lo è per i partner con i quali Aruba opera.
“Il nostro partner è un’azienda che vuole avere la consapevolezza di lavorare con qualcuno che fornisca tutte le necessarie tutele”.
Di fatto, spiega Sordi, il rivenditore funge da intermediario e deve avere la certezza che tutto quanto è a monte sia a norma.
Rispetto ai dati, infatti, il rivenditore dovrà valutare prima di tutto dove stanno questi dati, in quale luogo fisico, poi dovrà capire a che livello di protezione sono sottoposti per evitarne furti o la perdita e, in caso succeda, quali siano i tempi di ripristino: insomma dovrà fare un’autovalutazione dell’infrastruttura che usa, poi definire processi e policy di gestione dei dati che amministra – in modo da raggiungere la conformità – in generale, è l’insieme delle scelte tecniche e delle politiche di gestione dei dati che permettono di abbattere i rischi.
È un cambio di ruolo, quello che prospetta Aruba.
“Fino a ieri le principali preoccupazioni dei nostri partner erano legate all’uptime dei servizi e alle prestazioni, oggi allo stesso livello c’è la protezione dei dati, ed in questo ambito, il nostro approccio è quello della trasparenza e delle garanzie espresse anche con certificazioni e con l’adesione a codici di condotta; se poi si deve fare un progetto personalizzato, allora forniamo anche una consulenza specifica”.
Effetto-GDPR sui servizi
Questo principio è ancor più valido oggi che l’hybrid cloud rappresenta l’approccio di riferimento al cloud: il rivenditore è una figura nodale, che ha bisogno di appoggiarsi a partner che diano tutte le necessarie garanzie, “compresa la possibilità di effettuare ispezioni dell’infrastruttura stessa, come prevede la normativa”.
E quanto il GDPR stia influenzando il mercato, lo dimostrano anche alcuni segnali che vengono direttamente dagli insight di Aruba.
“Sta crescendo moltissimo il disaster recovery in cloud, in particolare il Disaster Recovery as a Service, di fatto richiesto da GDPR per le sue caratteristiche di integrità, resilienza, rapido ripristino. E poi parliamo di cloud backup, di business continuity, anche in relazione al continuo aumento dei dati”.
La sostenibilità e un nuovo data center a Roma
C’è un ultimo tema sul quale Sordi porta l’attenzione ed è quello della sostenibilità.
“A tendere, non ci sarà spazio sul mercato per chi non ha data center green. Arriveranno anche nuove norme che spingono verso una green data economy”.
Ed è su questa linea che si inserisce l’ultimo grande progetto annunciato nelle scorse settimane dalla società: un nuovo Data Center a Roma, che dunque va ad aggiungersi a quello aperto un anno fa a Ponte San Pietro.
“Si tratta di un data center analogo a quello di Milano e andrà a completare insieme alla struttura di Arezzo il più grande e moderno network di data center italiani”.
È una struttura ancora in fase di progettazione, destinata a entrare in esercizio nel 2020 e per la quale Aruba prevede un investimento di 300 milioni di euro.
“Sarà il data center per il mondo enterprise e per la pubblica amministrazione, con il quale andremo a indirizzare sia il mondo delle aziende pubbliche, sia di quelle private, oltre che per il mondo Finance e il Banking, per i quali sono previste architetture specifiche”.
Per Aruba è il primo investimento di questa natura e di questa dimensione a Roma, “e mi piace pensare alla rinascita digitale di Roma favorita da una azienda italiana”.