Data protection: lost in the digital space? la privacy tra le nuvole digitali

1

Il discorso del Commissario Neelie Kroes, responsabile per l’Agenda digitale, al World Economic Forum di Davos del 27 gennaio 2011, “Towards a European Cloud Computing Strategy”

Il 27 gennaio, al World Economic Forum di Davos, il Commissario Kroes ha esposto la posizione della Commissione, Direzione Generale Information Society and Media, sul tema del cloud computing. In sintesi, la Commissione intende promuovere il più possibile l’utilizzo di tale innovazione, secondo un approccio pragmatico-sostanzialista. A tal fine, si individuano tre aree di intervento: 1. il quadro regolamentare, nell’ambito del quale viene inserito il tema della privacy e della protezione dati; 2. i presupposti (prerequisiti) tecnologici e commerciali (sicurezza dei sistemi, adozione degli standard tecnologici, sviluppo di contratti e accordi di servizio tipo); 3. gli stimoli economici al mercato attraverso la promozione di progetti pilota e appalti pubblici che prevedono il ricorso al cloud computing.

Si osserva, in proposito, che il rispetto dei requisiti per la protezione dei dati personali è significativamente ricondotto nel discorso della Kroes essenzialmente ad un problema di tipo giuridico-regolamentare (dalle forti implicazioni di diritto internazionale) piuttosto che come un aspetto fondamentale da garantire tout court anche sotto il profilo tecnologico (privacy by design) e manageriale-gestionale (misure di sicurezza, relazioni e impegni contrattuali, adempimento-esecuzione degli stessi). E, tuttavia, la circostanza, dichiarata in apertura di discorso, che alla tecnologia cloud non corrisponda ancora un concetto definito (anzi, che non ci si aspetti di pervenire ad una definizione universalmente riconosciuta della nozione), rende senz’altro più difficile la soluzione del problema regolamentare del cloud sub specie protezione dati.

La velocità e l’inesorabilità del trend tecnologico (“it will happen anyway”, dice la Kroes), in realtà, rende più pressante l’esigenza di colmare il vuoto giuridico (si pensi, per esempio, al problema dell’individuazione del data controller e del data processor, ovvero, con terminologia del Codice della privacy, del titolare del trattamento; oppure, alla determinazione della legge applicabile, o, ancora, alle garanzie per il trasferimento internazionale di dati personali) attualmente, innegabilmente, caratterizzante la materia. Certo, in ciascuna giurisdizione nazionale (ed in quella para-giurisdizione che possono essere le Autorità per la protezione dati) regole potranno comunque essere rinvenute (anche in via analogica, partendo dai principi generali o dalle codificazioni in vigore), ma tale applicazione ‘pretoria’, nel suo attenuato collegamento con regole specifiche, chiare, pubbliche, accessibili e rese note alla comunità tutta, sconta, in negativo, sul piano dell’effettività, del concretarsi nella vita dei consociati-operatori economici e non, il minor grado di prevedibilità e conoscibilità della regula iuris.

Non solo, dal punto di vista dell’enforcement, dell’attuazione in via amministrativa (o financo penale, nei casi più gravi di abuso e di danni per gli interessati) delle garanzie per i cittadini (e dei relativi obblighi per gli operatori economici) è senz’altro presente il rischio che la ‘nuvola digitale’ faccia di fatto da schermo a tali obblighi e diritti: insomma, un ‘paradiso’ (non ‘fiscale’, ma ‘privacy’: un “data heaven”) per sistemi di storage di dati la cui architettura è disegnata (anche) allo scopo di eludere o minimizzare gli oneri amministrativi legati alla disciplina protezionistica sulla raccolta e circolazione dei dati personali.

Inoltre, andando “fuori privacy”, si sottolinea che resta ancora da esplorare il tema dell’applicabilità della direttiva sul commercio elettronico (direttiva E-Commerce) ed, in particolare, della responsabilità del fornitore dei servizi cloud.

-          Il discorso del Commissario Neelie Kroes, responsabile per l’attuazione dell’Agenda digitale, è disponibile al seguente sito web della Commissione europea:

http://europa.eu/rapid/pressReleasesAction.do?reference=SPEECH/11/50&format=HTML&aged=0&language=EN&guiLanguage=en

-          Si ricorda, inoltre, che l’Agenzia comunitaria per la sicurezza delle reti (European Network and Information Security Agency - ENISA) si è pronunciata sugli aspetti relativi alla sicurezza con il Report “Cloud Computing Risk Assessment”, del 20 novembre 2009, disponibile al sito web dell’Agenzia:

http://www.enisa.europa.eu/act/rm/files/deliverables/cloud-computing-risk-assessment

e, più recentemente, sul tema specifico dell’analisi rischi/costi-benefici nell’utilizzo del cloud computing da parte delle amministrazioni pubbliche, con il Report “Security and Resilience in Governmental Clouds” del 17 gennaio 2011, disponibile anch’esso al sito web dell’ENISA:

http://www.enisa.europa.eu/act/rm/emerging-and-future-risk/deliverables/security-and-resilience-in-governmental-clouds

Nei due studi sono anche abbozzati, sia pure in modo impressionistico, gli elementi utili per l’analisi dei principali problemi giuridici posti dal cloud (cfr., da ultimo, l’allegato I – Legal analysis, del Report sul ricorso al cloud computing in ambito e-government).

Si sottolinea, altresì, che in quest’ultimo Report, che ipotizza come scenario applicativo dei servizi cloud quello della c.d. sanità elettronica (e-health), si fa diffusamente (p. 105 e da 108 a 110) riferimento alle linee guida del Garante per la protezione dei dati personali in tema di Fascicolo sanitario elettronico (Fse) e di dossier sanitario, del 16 luglio 2009, ed alle linee guida in tema di referti on line, del 19 novembre 2009.

-          Si segnala, infine, come utile indicazione bibliografica per una comprensione più generale del fenomeno, che “The Economist” ha dedicato un numero speciale (special report) al tema del cloud computing, con l’edizione del 23 ottobre 2008, ove si fa riferimento al cloud come alla nuova “internet of services”, ovvero alla fornitura di software e servizi web-based (ad esempio, tenuta dei libri paga e della contabilità aziendale, ma anche servizi di e-learning e multimediali) alla c.d. “periphery” (laddove i servizi, resi tramite le applications, incontrano i consumatori-clienti), quest’ultima rappresentata sempre più anche dai diversi e sempre nuovi strumenti della “internet of things”.

Share this article!

Share.

About Author