Stampa l'articolo Chiudi

Osservatorio Privacy

I soggetti della nuvola e le figure del nuovo Regolamento UE 679/2016


Avv. Cristiano Cominotto - Avv. Anna Minichiello – Dott. Francesco Curtarelli, AssistenzaLegalePremium.it

Sono già state individuate nei precedenti articoli le figure principali proprie del mondo cloud (cloud provider, cloud consumer, cloud broker, cloud auditor, cloud carrier).


Rispetto all'applicazione del GDPR, ciascuno di tali soggetti acquisisce di volta in volta un ruolo particolare in base alla situazione circostanziata in cui viene a trovarsi.

Ad esempio, un servizio online di storage offerto ai singoli utenti da un grande cloud provider vede quest'ultimo vestire i panni del titolare del trattamento, mentre i singoli clienti (cloud consumers) sono facilmente inquadrabili come interessati. In tale contesto si ha quindi un rapporto diretto tra i chi offre il servizio e chi usufruisce dello stesso e dunque è il medesimo cloud provider ad essere titolare del trattamento dei dati degli interessati (users). Se il titolare si vorrà avvalere di terzi soggetti che lo aiutino a trattare i dati secondo le finalità e i modi da lui stesso stabiliti, allora nominerà tali terzi soggetti responsabili del trattamento.


Diverso e più complesso è ad esempio il caso in cui un'impresa (titolare del trattamento), che tratta dati di propri clienti (interessati), decida di passare ad una gestione on line, usufruendo di una piattaforma cloud, affidandosi così ad un cloud provider che possa rispondere alle sue esigenze aziendali. In questo caso il cloud provider dovrà essere nominato responsabile del trattamento dei dati dei clienti dell'impresa.


La problematicità di questa seconda situazione si manifesta sotto più aspetti.


Per prima cosa l'impresa, in qualità di titolare del trattamento, deve garantire ai propri clienti l'osservanza di tutti i principi previsti dal GDPR, tutelando in questo modo i diritti degli interessati. Nel rispetto del Regolamento è dunque tenuta a nominare come responsabile del trattamento un soggetto che presenti, a sua volta, garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate a soddisfarei requisiti sanciti dal GDPR. Il primo ostacolo non indifferente sta quindi, per il titolare del trattamento, nel saper selezionare e scegliere quale tra i vari cloud provider sia quello più adatto al caso suo, valutando attentamente tutti i possibili fornitori di servizi non solo in base alla loro professionalità nello svolgimento del proprio core business, ma anche in base alla loro capacità di saper assolvere a quei compiti che il titolare devolverà al responsabile del trattamento nonché a quelli che il GDPR stesso assegna allo stesso. Un'errata individuazione del cloud provider, e quindi del responsabile del trattamento, può costare all'impresa, titolare del trattamento, una condanna per culpa in eligendo.

Il secondo enorme problema riguarda invece la reale capacità che l'Impresa, titolare del trattamento, ha di imporsi sul cloud provider-responsabile del trattamento. In base a quanto disposto dall'art. 28 GDPR, i trattamenti da parte di un responsabile sono disciplinati da un contratto che vincoli il responsabile del trattamento al titolare e che riguardi la materia disciplinata, la durata, la natura e la finalità del trattamento. In particolare il contratto deve prevedere che il responsabile del trattamento "tratti i dati personali soltanto su istruzione documentata del titolare del trattamento […]; assista il titolare con misure tecniche e organizzative […]; su scelta del titolare, cancelli o gli restituisca tutti i dati […]; metta a disposizione del titolare tutte le informazioni necessarie per dimostrare il rispetto degli obblighi e consenta e contribuisca alle attività di revisione, comprese le ispezioni, realizzati dal titolare del trattamento".


Se il cloud-provider (responsabile del trattamento) è un grande fornitore di servizi (come spesso accade), si comprende agevolmente come sia poco verosimile che ciascuna impresa-titolare del trattamento possa dettare le proprie condizioni rispetto al proprio trattamento o addirittura compiere delle ispezioni presso il cloud provider per verificare il rispetto degli obblighi gravanti su quest'ultimo. La sproporzione della forza contrattuale tra i grandi fornitori di servizi cloud e i loro clienti (ossia le imprese-titolari del trattamento), rende le disposizioni normative difficilmente applicabili: è infatti comunque impensabile ipotizzare che i grandi fornitori possano concludere singoli contratti ad hoc con ciascun loro cliente-titolare del trattamento. Questi ultimi sono quindi costretti ad accettare condizioni contrattuali standard predisposte dai cloud provider-responsabili del trattamento, senza poter far valere la propria posizione di titolari del trattamento.


Ecco quindi avvalorato e riconfermato come il momento di valutazione e di scelta del cloud provider-responsabile sia davvero quello di maggior importanza per un titolare che voglia usufruire di soluzioni cloud.


Una soluzione potrebbe essere quella di imporre a questi grandi fornitori tutta una serie di prescrizioni in ambito di misure di sicurezza e protezione dei dati personali (obbligo di ottenere e mantenere certificazioni…) e di far adottare agli stessi una contrattualistica standard che vada a colmare il gap di potere contrattuale esistente, tutelando le imprese-titolari del trattamento.

In tale direzione è stato di recente approvato il CISPE Code of Conduct (codice di condotta dei Cloud Infrastructure Service Provider d'Europa), che prevede tutta una serie di requisiti per i CISP in qualità di responsabili del trattamento.