La Data Protection nell'era del Cloud

27/07/2017 16:13


Commento a cura degli avv.ti Nicola Tilli e Giovanni Marra (Novastudia – SLT Partners)

Come ormai noto in data 05/05/2016 è stato pubblicato nella Gazzetta Ufficiale dell'Unione Europea il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 , relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE.


Il Regolamento ha lo scopo di offrire una disciplina uniforme in tutto il territorio UE, al fine di assicurare un elevato livello di protezione ed eliminare gli ostacoli inerenti la circolazione dei dati personali in ambito comunitario.


La deadline per l'adeguamento alle nuove disposizioni è stata fissata per il prossimo 25 maggio 2018. Tra le varie tematiche di ordine pratico in materia di Data Protection vi è il sempre più frequente utilizzo da parte delle imprese di piattaforme di Cloud Computing e cioè un sistema che memorizza ed elabora risorse di dati, attraverso la connettività di rete e il collegamento di server esterni, gestiti dal cd. "Cloud provider".


Tra i fattori che costituiscono un incentivo all'adozione dei servizi di cloud, secondo le imprese, figurano l'elevata scalabilità, la rapidità di accesso all'infrastruttura, l'ampia disponibilità, l'affidabilità e la velocità.


Quando si parla del rapporto tra Cloud Computing e sistemi di Data Protection, spesso si incappa in un falso problema, consistente nella ricerca di regole particolari o speciali che riguardano le modalità obbligatorie di preservazione dei dati nei casi di storage in cloud.


In realtà, ci si avvede poi che le regole di tutela della riservatezza dei dati in cloud hanno le stesse caratteristiche della tutela di tutti gli altri tipi di dati ovvero addossano le opportune responsabilità ai soggetti dedicati (DPO, responsabile del trattamento e relativi incaricati) e seguono le stesse linee generali di preservazione delle informazioni personali.


In tale contesto, anche aderendo all'orientamento contenuto nella sentenza della Corte di Giustizia dalla Corte di Giustizia (sentenza del 13 maggio 2014) devono intervenire le regole in materia di Data Protection, di cui il citato Regolamento UE fa parte, tenendo conto di soggetti e ruoli: da una parte vi è l'utilizzatore del sistema Cloud (l'impresa che se ne avvale) dall'altra il fornitore del servizio (appunto il Cloud provider).

Tuttavia, potrebbe risultare non agevole, con riguardo ai rapporti tra tutti i soggetti coinvolti nella filiera, intendere chi rivesta i ruoli di "Titolare" e di "Responsabile del trattamento" dei dati e il punto è decisivo in ordine all'attribuzione di compiti, ruoli e responsabilità.


Al di là, comunque, dei profili di responsabilità soggettiva, ciò che assume particolare rilevanza è l'elemento che distingue il servizio Cloud dagli altri servizi: la delocalizzazione transazionale del dato, essendo il sistema in Cloud conformato su una conservazione del dato in luoghi geografici differenti.


In tal senso il Regolamento UE, sotto il profilo del diritto applicabile, tende a uniformare il sistema rendendolo omogeneo dal punto di vista dell'applicazione di regole uguali in casi di storage di dati infra UE, ciò non senza considerare che, sempre secondo i principi del Regolamento, il nuovo sistema di regole impone a tutti i soggetti extra UE che trattino dati di cittadini e imprese UE di dover uniformarsi in pratica alle norme del Regolamento stesso in quanto anch'essi sono potenzialmente sanzionabili secondo il nuovo principio del cd. "sportello unico" (questa essendo una delle principali novità del Regolamento stesso che consiste nella possibilità per il cittadino europeo di rivolgersi alla propria autorità nazionale di controllo anche nei confronti di trattamenti illeciti dei suoi dati avvenuti su territori extra UE ad opera di soggetti extra UE).

Rimane invece sullo sfondo, il problema della giurisdizione applicabile al caso di specie in caso di contenzioso, anche se è difficile pensare ad un appalto di servizi da parte di una impresa italiana a soggetti professionali stranieri che non abbiano uno stretto criterio di collegamento con il territorio italiano dove normalmente risiedono i contatti commerciali delle nostre imprese: normalmente il servizio viene infatti affidato a Cloud Providers che abbiano almeno uno stabilimento in Italia, sicché ciò indurrà al rispetto del Regolamento UE e congiuntamente del Codice della privacy (d. lgs. n. 196/2003) .

Ovviamente diversa e da valutare sarebbe una relazione tra Cloud Provider e utilizzatore appartenenti a nazionalità e territori diversi: attesa l'applicazione necessaria del Regolamento Europeo per i casi di trattamento di dati di provenienza UE (motivi per cui il nuovo Regolamento si applicherà anche ai colossi americani quali Facebook e Google, sul cui coinvolgimento in realtà il Regolamento ha lavorato da principio con intento inclusivo in ordine alle loro responsabilità) non sarà da escludere l'applicazione congiunta della normativa nazionale del Cloud Provider che quantomeno la rivendicherà in relazione al principio di territorialità nazionale e occorrerà disciplinare il sito del giudizio secondo le regole del diritto internazionale privato da cui in questa sede dobbiamo prescindere.

In questo sistema, coerentemente con la disciplina generale, il gioco dei consensi informati delle parti coinvolte rimane essenziale: occorrerà il consenso informato dell'interessato al trattamento (il proprietario dei dati) più amplio possibile anche in relazione alla conservazione effettuata con nuovi strumenti tecnologici.

Occorrerà il consenso del titolare del trattamento (il cliente del provider) a spostare e delocalizzare geograficamente i dati in altre località transazionali; occorrerà, quindi, verificare se i dati possono essere adeguatamente trasferiti senza rischio di portabilità e operatività, interruzione, anomalie o guasti. In tale contesto risultano essenziali adeguate clausole contrattuali tra Cloud Provider e cliente che dovranno tener conto del quadro di sicurezza legislativa impostato dal legislatore comunitario.

Oltre a ciò, il trasferimento dei dati dai computer locali, nella fisica disponibilità e nel diretto controllo esercitabile dal titolare, verso sistemi remoti di proprietà di un terzo fornitore del servizio, presenta, accanto a potenziali utilità, anche aspetti che necessitano di specifica attenzione; l'utente perde il controllo diretto ed esclusivo del dato e affida la riservatezza e la disponibilità delle informazioni allocate sulla nuvola ai meccanismi di sicurezza adottati dal service provider.

Si tratta quindi di analizzare e regimentare un'attività di outsourcing dello storage di dati, in modo non differente da come si regolamentano tutte le attività professionali esternalizzate. Attenzione particolare va dedicata all'eventuale "catena di storages" ovvero al passaggio per sub-contratto dei dati dal fornitore dei servizi contrattualizzato ad altri service provider, diversi dal fornitore con cui l'utente ha stipulato il contratto, col rischio di non sapere quale dei gestori intermedi possa accedere ai dati.

Sotto il profilo dei livelli di sicurezza da adottare è opportuno accennare alle misure minime obbligatorie che devono essere osservate nel sistema cloud poiché il trattamento dei dati personali avviene con sistema telematico.

Queste misure minime, sanzionate in caso di difformità sostanziali sono

- l'autenticazione informatica,

- l'adozione di procedure di gestione delle credenziali di autenticazione,

- l'utilizzazione di un sistema di autorizzazione,

- l'aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici,

- la protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici,

- l'adozione di procedure per la custodia di copie di sicurezza,

- il ripristino della disponibilità dei dati e dei sistemi,

- l'adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari (art. 34 Codice privacy).

Per concludere la diffusione dei servizi di Cloud Computing ha quindi portato alla luce l'esistenza di importanti opportunità, soprattutto per le imprese.

Di conseguenza la protezione dei dati personali rappresenta un fattore di cruciale importanza nell'ambito della prestazione di servizi di cloud. Le misure tecniche e organizzative adottate a questo proposito, costituiranno nel futuro un vero e proprio elemento qualificante degli operatori che forniscono questi servizi, al punto da costituire un asset sul piano concorrenziale che consente alle imprese di competere rendendo maggiormente appetibile la propria offerta.