Una delle prime scelte da fare quando si realizza un nuovo sito aziendale riguarda il provider del servizio di hosting. Si tratta del servizio che fornisce lo spazio web e che consente di pubblicare il sito e di renderlo accessibile a tutti gli utenti della Rete.

Si tratta di una scelta importante sotto diversi aspetti. La qualità del fornitore, infatti, si misura sotto diversi parametri, come ad esempio la velocità con la quale consente il caricamento delle pagine ai visitatori del sito, oppure la sua localizzazione, che consente di ottimizzare la navigazione da parte di utenti che si trovano in diverse parti del mondo.

Ma è una scelta che ha diverse implicazioni anche sotto il profilo della protezione dei dati personali, specialmente nel caso di siti che trattano in modo esteso i dati dei clienti. Ciò avviene, per esempio, nei siti di eCommerce o nei siti che permettono agli utenti di condividere informazioni.

Molto spesso questa scelta viene delegata dall’impresa allo sviluppatore del sito. Ma le scelte, in questo caso, potrebbero essere limitate ad aspetti di puro marketing o tecnici. È invece importante che la scelta sia condivisa dall’impresa. Sottovalutare gli obblighi del GDPR nella scelta dell’hosting provider del sito può portare infatti a responsabilità dell’impresa.

Gli aspetti da considerare sono diversi. Alcuni variano caso per caso, in base alle caratteristiche del sito; altri sono comuni. Esaminiamo di seguito i cinque aspetti più comuni da tenere in considerazione per scegliere un fornitore di hosting per il sito aziendale conforme al GDPR.

Localizzazione del provider e dei data center

Va anzitutto verificato dove è stabilito il fornitore e dove si trovano i suoi data center.

Se il fornitore di hosting web ha i propri data center al di fuori dell’Unione europea, il caricamento di dati personali sul suo spazio costituisce, in base al GDPR trasferimento di dati.

In base alle regole sulla protezione dei dati personali, il trasferimento di dati verso Paesi terzi richiede che siano rispettati alcuni requisiti formali (ne abbiamo parlato anche qui).

Nel caso in cui non si rispettino le regole sul trasferimento dei dati, il titolare del sito commette un vero e proprio trattamento illecito di dati personali. In caso di contestazioni o controlli del Garante potrebbero essere applicate le sanzioni previste dal GDPR.

Molto spesso la scelta di un fornitore stabilito fuori dall’Europa non è giustificato da particolari esigenze tecniche o commerciali. Il più delle volte, questi servizi vengono scelti per motivi esclusivamente economici. Tuttavia, un risparmio immediato di poche manciate di euro all’anno può portare a dover fronteggiare adempimenti molto complessi o rischi significativi.

Per evitare ogni problema e non doversi sobbarcare l’onere di giustificare il trasferimento dei dati personali è sufficiente scegliere un fornitore di servizi stabilito nell’Unione europea.

Nel caso in cui esigenze specifiche rendano necessario scegliere hosting provider stabiliti in Paesi terzi, andranno soddisfatti tutti i requisiti previsti dal GDPR; a cominciare dalla scelta di una adeguata base giuridica (ad esempio le clausole contrattuali standard approvate dalla Commissione). Dovrà inoltre essere svolta una adeguata valutazione dell’impatto del trasferimento sugli interessati.

Numero di siti gestiti

Molto spesso i servizi di hosting più economici prevedono formule di hosting condiviso. Si tratta di servizi in cui lo stesso server gestisce diversi siti contemporaneamente, condividendone le risorse tecniche.

Questa soluzione, che ha il pregio di contenere il costo del servizio, può tuttavia portare a potenziali rischi per la sicurezza, rendendo questa forma di hosting web poco conforme al GDPR.

Se il sistema non è correttamente configurato, infatti, un attacco che dovesse colpire uno dei siti web ospitati nel server potrebbe estendersi anche a tutti gli altri.  Ciò, oltre a determinare un potenziali danno di immagine, potrebbe avere anche ripercussioni gravi sotto il profilo della protezione dei dati.

La compromissione dei dati personali presenti sul proprio sito web costituisce una violazione di dati personali in base al GDPR. Nel caso di violazione dell’hosting web dove si trova il sito aziendale, il titolare potrebbe essere costretto a notificare la violazione al Garante. Nei casi più gravi, potrebbe inoltre essere tenuto a comunicare la violazione agli interessati.

Anche in questo caso, occorre valutare volta per volta quale sia il servizio di hosting web più indicato, soppesando il rapporto tra esigenze di sicurezza e costi. Per esempio, per un sito “vetrina” o nel quale non si fanno particolari trattamenti di dati personali, la scelta di un servizio di hosting web condiviso potrebbe non dare problemi di conformità con il GDPR.

Viceversa, nel caso di siti che effettuano trattamenti di dati personali particolarmente incisivi (ad esempio, trattano dati personali “particolari”), potrebbe essere più indicata la scelta di servizi hosting più sicuri. Ad esempio, scegliendo un servizio di hosting web “dedicato”, nel quale tutte le risorse del server sono dedicate ad un unico soggetto.

Ridondanza e backup

Un altro aspetto da verificare per scegliere un hosting web per il proprio sito conforme al GDPR riguarda gli strumenti di backup e di business continuity utilizzati dal fornitore.

L’importanza dei servizi di backup nella conformità al GDPR dell’hosting web

In particolare, occorre verificare se il provider metta a disposizione, anche opzionalmente, un servizio di backup dei dati gestiti e con quale periodicità. Va valutato se questo servizio riguarda soltanto i database o anche i file conservati nello spazio hosting.

L’utilizzo di un sistema di backup è fondamentale, anche per un sito web, per consentire il rispristino dei dati in caso di incidente grave. Maggiori sono le cadenze in cui sono effettuate e conservate le copie di backup, migliore sarà la possibilità di ripristinare efficacemente il sito.

Anche in questo caso, le caratteristiche dell’hosting web vanno valutate in base alle caratteristiche del sito ed alle sue esigenze di conformità al GDPR. Un sito web “statico” o aggiornato con poca frequenza potrà avere delle politiche di backup meno ravvicinate. Per

Per siti che prevedono continui aggiornamenti o caricamenti di dati, le politiche di backup devono essere molto più ravvicinate.

Le politiche di continuità

Inoltre, è il caso di verificare quali garanzie fornisce il provider sulla continuità del servizio.

Un fornitore di hosting web che garantisca una continuità al 99.99% sarà più conforme al GDPR, in quanto limita la possibilità che, in caso di incidenti di sicurezza, gli utenti perdano l’accesso ai propri dati. L’impossibilità di accedere, anche temporaneamente, ai dati costituisce infatti una violazione di dati rilevante in base alla legge.

Le esigenze di continuità dovranno essere valutate attentamente nella scelta del fornitore di servizi. Se si intende realizzare un sito per comunicare agli utenti dati ai quali devono essere sempre in grado di accedere sarà necessario adottare misure di continuità molto elevate.

Certificazioni di sicurezza del web hosting provider e conformità al GDPR

Un ulteriore aspetto da valutare nella scelta del provider riguarda il fatto che si tratti di un operatore dotato di certificazioni di qualità in base a standard internazionali.

Secondo il GDPR, il provider di servizi di hosting web è un responsabile del trattamento nominato dal titolare del sito. In base all’art. 28 del GDPR, il titolare è tenuto a verificare che il responsabile possieda dei requisiti di idoneità allo svolgimento dei trattamenti affidati. In altre parole, il titolare deve verificare che il fornitore di servizi abbia un livello di professionalità adeguato a gestire un servizio di hosting web che protegga i dati dalle minacce informatiche.

Si tratta di una verifica che non è sempre facile. Il titolare non è infatti in grado di conoscere le caratteristiche dei sistemi e dell’organizzazione del provider, né di valutare sotto il profilo tecnico la qualità del fornitore.

Per questo, l’adempimento di questo onere previsto dal GDPR è più facile se il web hosting provider può vantare il possesso di alcune certificazioni legate alla sicurezza dei sistemi. Tra le più importanti si possono richiamare le certificazioni ISO 27001, ISO 27018, SOC 1, SOC 2, SOC3.

Politica sugli aggiornamenti

Infine, nella scelta del provider, è importante verificare che il fornitore si impegni a effettuare costantemente gli aggiornamenti di tutti i sistemi e dei servizi messi a disposizione.

Secondo i principi del GDPR è preferibile un hosting web che garantisce la costante installazione degli aggiornamenti di sicurezza sui propri sistemi. In questo modo, è più facile che falle di sicurezza e bug siano risolti non appena diventano noti, impendendo così ad hacker e criminali di utilizzarli per violare il sito aziendale.

Hosting web provider, GDPR e titolare del sito: le responsabilità

La scelta del fornitore di servizi hosting non è un aspetto secondario per il titolare di un sito. In base al GDPR il titolare è sempre tenuto a verificare che i dati personali che controlla siano gestiti in sicurezza e da operatori competenti. Nel caso di violazioni, anche se dipendenti dall’hosting provider, è il titolare a rispondere in prima persona, anche nei confronti degli interessati.