Cosa accade sotto il profilo privacy se decidiamo di trattare i dati personali sulla nuvola?
Sempre più spesso le aziende si servono di servizi forniti in modalità cloud per archiviare i dati ovvero per compiere operazioni sugli stessi.
La scelta di trasferire i dati personali sulla nuvola ha delle notevoli ripercussioni in termini privacy, da valutare attentamente prima di decidere di andare in questa direzione.
I servizi cloud comportano infatti delle criticità nella misura in il titolare del trattamento perde la disponibilità diretta del dato personale ma non per questo, di fronte all’ordinamento, viene meno la sua responsabilità se qualcosa va storto.
Innanzitutto può essere utile provare a fare chiarezza su alcuni aspetti su cui è facile fare confusione.
Quando mi rivolgo a un fornitore di servizi cloud per operazioni (per esempio, l’archiviazione) che comportano il trattamento di dati personali, chi è il titolare del trattamento?
A questa domanda si deve rispondere semplicemente affermando che il titolare del trattamento è il cliente cloud e non il fornitore dei servizi.
Il cliente cloud, peraltro, ha l’onere di nominare il fornitore come proprio incaricato del trattamento ma per l’ordinamento il soggetto responsabile resta sempre il cliente.
Questo vuol dire che il cliente dovrà guardare con attenzione le condizioni generali relative alla fornitura del servizio cloud, assicurandosi che le stesse siano conformi alla normativa privacy di volta in volta applicabile.
Il fatto di non disporre delle forza contrattuale necessaria per negoziare delle condizioni generali idonee a garantire il rispetto della normativa privacy, magari con colossi internazionali come Google, Microsoft, etc…, generalmente poco inclini a rivedere le proprie policy, non vale infatti ad esonerare il cliente dalle sue responsabilità in caso di violazioni.
Le verifiche da fare sono allora molte; per prima cosa, si dovrà prestare attenzione ad eventuali clausole del contratto che consentano al fornitore di trattare i dati personali per finalità proprie, diverse da quelle del cliente. Tale trattamento sarebbe illecito e comporterebbe la responsabilità del cliente (oltre ovviamente a quella del fornitore del servizio cloud). Qualora poi non sia proprio possibile ottenere l’eliminazione di tali clausole dalle condizioni generali e non si voglia incorrere in responsabilità connesse all’illecito trattamento, l’unica strategia possibile è quella di ottenere il consenso preventivo degli interessati al trasferimento dei dati al fornitore con la chiara indicazione delle finalità da quest’ultimo perseguite.
Occorrerà poi assicurarsi che il fornitore cloud adotti delle idonee misure di sicurezza per proteggere i dati da eventuali pericoli di perdita, cancellazione accidentale, accessi abusivi, etc…
Tra le misure di sicurezza da implementare rientrano anche adeguati sistemi di logging in grado di monitorare l’accesso ai dati; sicurezza dei dati, infatti, significa anche capacità di individuare gli eventuali responsabili di trattamenti illeciti.
Un profilo delicatissimo è poi quello della localizzazione dei dati; i fornitori cloud molto spesso utilizzano server dislocati in tutto il mondo e i dati passano da un Paese all’altro nell’arco della stessa giornata.
Ma tutto ciò può considerarsi lecito dal punto di vista della normativa privacy?
In linea di massima la risposta è negativa, a meno che non vengano adottati particolari accorgimenti a tutela dei diritti degli interessati.
Infatti i dati non possono essere trasferiti in qualsiasi Paese ma solo in quelli che offrono adeguate garanzie sotto il profilo del rispetto della privacy.
Se il trasferimento all’interno dell’Unione europea non pone alcun problema nella misura in cui tutti i Paesi membri condividono gli stessi principi, altrettanto non è possibile affermare con riferimento ai trasferimenti extra UE.
In tali ipotesi occorrerà verificare caso per caso se il Paese di destinazione offra garanzie analoghe a quelle condivise all’interno dell’Unione; a tal fine, però, il cliente cloud deve poter conoscere tutti i Paesi in cui i dati potranno essere trasferiti dal fornitore durante il periodo di durata del rapporto. Qualora si decida di rivolgersi a un fornitore cloud, costituisce poi una buona prassi quella di ottenere dall’interessato il consenso scritto al trasferimento dei dati nei Paesi extra UE indicati dal fornitore.
Un altro problema dei servizi cloud è quello rappresentato dai subfornitori; accade infatti molto spesso che i fornitori cloud, nella prestazione dei propri servizi, si avvalgano dell’opera di subofornitori che non hanno alcun rapporto contrattuale diretto con l’interessato.
Anche qui, però, il ricorso a subfornitori non può considerarsi libero ma è subordinato al rispetto di precisi limiti imposti dalla normativa privacy. Ed infatti, proprio per l’assenza di un rapporto contrattuale diretto con il subfornitore, il rischio è che il cliente cloud perda il controllo dei dati personali.
Questo però, a norma di legge, non può accadere.
E’ allora innanzitutto necessario che il contratto tra cliente e fornitore preveda espressamente la possibilità di utilizzare dei subfornitori nell’esecuzione della prestazione; in assenza di una previsione del genere, il trasferimento dei dati a soggetti non preventivamente autorizzati dal cliente/titolare del trattamento deve considerarsi vietato.
A parte questo il cliente deve poter conoscere in ogni momento la lista dei subfornitori che vengono in contatto con i dati; a tal fine, è necessario assicurarsi che il fornitore comunichi sempre la lista aggiornata dei soggetti terzi utilizzati nella prestazione del servizio.
Anche conoscendo l’elenco dei subfornitori, il cliente non avrebbe comunque alcun potere sugli stessi in assenza di rapporti contrattuali diretti.
Dal momento però che al cliente/titolare spetta il controllo dell’intera filiera degli incaricati del trattamento (e quindi anche dei subofornitori), il contratto tra fornitore e subfornitore deve essere strutturato nella forma del contratto del terzo, attribuendo al cliente specifici diritti ed azioni in relazione ai dati trattati dal subfornitore.
Se poi il subfornitore ha sede al di fuori dell’Unione europea, occorrerà assicurarsi che il Paese interessato offra adeguate garanzie sotto il profilo della tutela della privacy e in ogni caso, come si è già detto, è sempre meglio ottenere il consenso preventivo dell’interessato al trasferimento extra UE dei dati.
Un altro aspetto cui porre attenzione riguarda l’esercizio dei diritti degli interessati che deve essere sempre assicurato dal titolare del trattamento, anche quando si serve di servizi di cloud computing: diritto al controllo dei dati, all’aggiornamento, alla rettifica dei dati errati, etc…
Il contratto tra cliente cloud e fornitore va strutturato in modo tale che tali diritti non restino mai frustrati; in pratica, le condizioni generali dovranno prevedere l’obbligo del fornitore di collaborare con il cliente al fine di soddisfate le richieste provenienti dagli interessati.
Da non trascurare poi è il tema della portabilità dei dati; archiviando i dati sulla nuvola, il cliente non può perderne il controllo, anche nel caso in cui decida di rivolgersi a un altro fornitore.
Questo significa che lo standard impiegato per la conservazione dei dati dovrà essere interoperabile con quello in uso presso altri fornitori in modo tale che il passaggio da un fornitore all’altro sia sempre possibile, non comportando la perdita di alcun dato.
Un’ultima breve annotazione riguarda invece l’individuazione della legge applicabile in materia di privacy. La risposta a tale quesito deriva da quanto si è già detto circa il titolare del trattamento. Si è visto infatti che quest’ultimo coincide con il cliente cloud e non con il fornitore dei servizi. Ne consegue che se il cliente ha sede in Italia, la legge applicabile sarà quella italiana, anche qualora, in ipotesi, il fornitore di servizi sia stabilito negli Stati Uniti.
Si noti inoltre che la legge italiana si applica anche nella diversa ipotesi in cui un cliente stabilito al di fuori dell’Unione europea si serva di un fornitore di servizi cloud con sede in Italia; e ciò in quanto, in questi casi, ai fini dell’applicabilità della legge italiana è sufficiente che gli strumenti utilizzati per il trattamento siano ubicati nel nostro Paese.
Queste breve riflessioni dimostrano come la scelta di avvalersi di servizi di cloud computing deve essere ponderata alla luce non solo di considerazioni di carattere tecnico o economico ma anche ponendo la dovuta attenzione all’impatto che la stessa può avere sotto il profilo privacy.
Per un approfondimento sul tema si rinvia al parere n. 5/2012 del Gruppo articolo 29.
