Come risulta evidente dallo stesso titolo di questo intervento, è mio proposito oggi illustrare una delle più evidenti problematiche poste dal cloud computing, emergente fenomeno che è destinato a determinare un progressivo trasferimento dei dati dai computer locali verso i sistemi remoti dei cloud service provider. Esprime la volontà di comprendere se dall’impiego di questa nuova modalità di circolazione dei flussi informativi online discenda una semplice riedizione del dibattito già affrontato da dottrina e giurisprudenza sulla competenza giurisdizionale in Internet, oppure se questa evoluzione dell’utilizzo della tecnologia di Internet porti con sé inedite criticità che richiedono specifica attenzione. A tal fine, ritorniamo per un istante al 1996 quando l’attivista John Perry Barlow proclamava la Dichiarazione di Indipendenza del Cyberspazio. Rivolgendosi ai governi del mondo, egli affermava che essi non avrebbero avuto alcuna sovranità sui luoghi dove i cybernauti si sarebbero incontrati. Internet era visto come uno spazio a sé stante, un mondo virtuale privo di confini, nazioni e giurisdizioni. Un mondo che si trovava contemporaneamente dappertutto e da nessuna parte, ma comunque distinto dal mondo reale. In 15 anni il volto del mondo di Internet è cambiato radicalmente. All’epoca pochi lo abitavano ed esigue erano le attività che potevano essere compiute in questo spazio. Oggigiorno è sempre più difficile vedere Internet come un mondo separato. Internet non è più un luogo dove si sceglie di incontrarsi occasionalmente. Infatti, la sua espansione si estende, in misura crescente, in molteplici ambiti delle nostre vite, anche grazie alla proliferazione del numero, e delle tipologie, di dispositivi per accedervi e alla sua convergenza con altri strumenti in uso nella nostra quotidianità, quali la TV o persino gli elettrodomestici di casa. In altre parole, le nostre vite sono ormai immerse in una dimensione che era un tempo considerata come un separato Cyberspazio. Rimane, invece, più che mai vera la dimensione transnazionale delle attività che si svolgono nel mondo virtuale di Internet, e dei loro effetti. Con l’avvento di Internet, il concetto di ubicazione dei dati perde di significato pratico grazie alla facilità di accedervi da remoto, ovvero attraverso la rete informatica del Web, tuttavia mantiene un significato giuridico, peraltro variabile a seconda della rilevanza che il diritto ne dà. Tuttavia, mentre è vero che operatori e utenti di Internet si muovono all’interno di uno spazio virtuale in sé privo di confini territoriali, nel mondo reale la definizione della giurisdizione avviene assecondando il tradizionale principio di territorialità. Quest’allocazione della competenza giurisdizionale dipendeva implicitamente dal fatto che le distanze fisiche forniscono un disincentivo a rapporti transnazionali e, quindi, ad esempio, le transazioni commerciali erano per lo più localizzate all’interno di uno Stato. Con Internet, invece, le attività e le condotte transnazionali non sono più l’eccezione, bensì la norma. Persino le più piccole attività commerciali, una volta online, acquisiscono un ambito globale ed è per loro più difficoltoso limitare il raggio d’azione piuttosto che espanderlo. Di conseguenza le questioni giurisdizionali in Internet sono state sin da subito oggetto di particolare interesse, anche perché esse non si restringono ad una particolare area del diritto sostanziale ma, al contrario, colpiscono indifferentemente le fondamenta di innumerevoli aree del diritto. Giungiamo, infine, al cloud computing. Analizzando questa recente espressione dell’immenso potenziale della Rete sono effettivamente rinvenibili alcuni tratti distintivi aventi concrete ricadute transnazionali. In primo luogo, come chiarito dagli altri relatori, differenti sono i “modelli di servizio” del cloud computing, si parla infatti di servizi IaaS, PaaS, e SaaS. Tuttavia dev’essere notato che nel mercato del cloud computing si creano complesse catene di rapporti tra i cloud provider, la cui mutevole integrazione determina le sembianze di ogni singolo servizio cloud. Così, dietro ad un servizio prescelto da un cliente, ci possono essere altri cloud service provider, diversi dal fornitore con cui il cliente ha stipulato il contratto di servizio cloud, e spesso ciò avviene anche a sua insaputa. Per esempio, all’utente del servizio di storage Dropbox, Dropbbox fornisce SaaS. Tuttavia, per offrire questo servizio, Dropbox fa affidamento ai server che Amazon gli fornisce come IaaS. E’ pertanto la natura dell’offerta dei servizi cloud a contribuire alla stessa integrazione tra cloud providers. Nondimeno questa integrazione può essere anche frutto delle scelte compiute dal lato della domanda. Grazie al crescente aumento degli operatori nel mercato del cloud, si espande il ventaglio delle scelte a favore del consumatore. Egli non soltanto può scegliere tra diversi provider di uno stesso servizio, può altresì acquistare diversi servizi cloud offerti da diversi provider e successivamente combinarli in base alle proprie necessità. Questa domanda di integrazione che permette la personalizzazione dell’uso del cloud è già stata ampiamente riconosciuta dal mercato. Ad esempio, Google Apps Marketplace permette agli utenti di Google Apps di acquistare e utilizzare applicazioni cloud di altri fornitori che si integrano, e possono essere impiegate, nella suite Google Apps. L’integrabilità rappresenta il punto di forza dei servizi cloud perché elemento essenziale per garantire flessibilità di impiego e adattabilità alle diverse esigenze da parte di ogni cliente. La tendenza verso questo uso “sofisticato” del cloud è indubbiamente vantaggiosa per lo sviluppo di questo mercato, andando a beneficio sia della domanda sia dell’offerta di servizi cloud, tuttavia è in grado di complicare ulteriormente il già problematico elemento transfrontaliero dei flussi di informazione in Rete. Se si volessero disegnare le nuvole digitali riafferrando per un attimo l’immagine delle nuvole proveniente dall’originario ambito meteorologico, si dovrebbero tratteggiare delle stratificazioni (tra i diversi modelli di servizio IaaS, PaaS e Saas) nonché dei cumuli di nuvole tra le diverse gamme di servizi cloud. Combinando le stratificazioni dell’offerta dei servizi cloud con i cumuli che si sviluppano sul versante della domanda, sempre più arduo sarà determinare dove si collochino concretamente i dati lungo il percorso delle lunghe filiere di trasformazione dei servizi acquistati. Oltre a questa specificità “qualitativa”, il cloud ha in sé un secondo elemento critico di carattere quantitativo. Esso deriva dalla circostanza che ogni cloud provider può frequentemente trovarsi nella necessità di spostare i dati degli utenti per esigenze organizzative, tecniche o economiche da un luogo all’altro, talvolta con tempi e modi che egli stesso ha difficoltà a predeterminare. Si osservi, ad esempio, che i fornitori di servizi cloud, per garantire elevati standard di sicurezza e di accessibilità ai dati che vengono loro affidati, impiegano sottosistemi di storage che forniscono ridondanza multipla ai dati degli utenti. Questa replicazione avviene attraverso un’architettura di server dislocati in posizioni geografiche diverse per assicurare il costante accesso ai contenuti da parte dei clienti cloud. La ridondanza geografica, efficace strumento per ovviare ai rischi di sicurezza, ha però non trascurabili conseguenze per l’applicazione del diritto. Il profilo multi giurisdizionale dei flussi informativi nella rete Internet viene così ulteriormente moltiplicato dal numero delle ridondanze nelle diverse giurisdizioni. La questione è quindi se il cloud provider sia in grado, o abbia la volontà, di limitare l’ubicazione dei dati in diverse giurisdizioni. Nell’ipotesi in cui l’utente abbia un potere contrattuale forte, egli potrebbe effettivamente riuscire a negoziare questo aspetto con il provider. Tuttavia è impensabile che il provider voglia negoziare singolarmente ogni singolo servizio cloud erogato, soprattutto nei rapporti con la piccola impresa ed il consumatore. Ne consegue che, generalmente, l’utente di un servizio cloud non sarà in grado di localizzare da quale, o verso quale, server si trasferisce un suo determinato dato, e neppure tracciare il percorso di un dato tra i diversi server. Inoltre, il carattere distribuito del cloud computing può perfettamente implicare che, in un dato momento, i vari dati che compongono la nuvola di un utente siano sparsi tra diversi data center ubicati in giurisdizioni altrettanto diverse. La somma tra queste peculiarità qualitative e quantitative dei flussi informativi derivanti dall’impiego del cloud computing può determinare questioni giuridiche di estremo interesse. In questa sede prenderò come modello di riferimento il trasferimento transfrontaliero di dati di natura personale attraverso il cloud computing e l’applicazione della normativa europea a tutela della privacy. Come evidenziato dal dott. Di Gennaro, la tutela della privacy nel quadro della fornitura di servizi cloud è tra le problematiche più dibattute al momento, e per svariate ragioni. Non soltanto le cloud pubbliche rimangono spazi condivisi tra molti utenti diversi e la violazione della porzione di cloud del singolo utente rappresenta un rischio evidente, ma vi sono altri tradizionali temi connessi alla tutela della privacy nell’ambito delle tecnologie dell’informazione che vengono amplificati dall’architettura del cloud computing. La profilazione degli utenti cloud a scopi commerciali attraverso l’incrocio di nuvole diverse e l’accesso da remoto ai loro dati nel corso di indagini penali svolte dalle autorità giudiziarie (anche di paesi terzi) sono tra i più emblematici. Benché la direttiva n. 46 del 1995 non abbia definito il concetto di trasferimento, l’A29WP ha chiarito che il trasferimento di dati personali verso un server ubicato fuori dallo Spazio Economico Europeo (SEE) soggiace alla disciplina della direttiva per l’esportazione dei dati verso paesi terzi. La localizzazione geografica dei dati rappresenta pertanto il punto focale per l’applicazione della normativa europea sul trasferimento dei dati. Tuttavia, è bene anticipare, che le normative imperniate sul criterio di territorialità si scontrano fin da principio con l’architettura altamente virtualizzata del cloud computing in cui, come già detto, non è sempre possibile identificare con precisione l’ubicazione dei dati ed i loro spostamenti. Ritornando al testo della Direttiva, l’articolo 25 impone specifici vincoli per l’esportazione dei dati verso paesi terzi. Si applica indifferentemente al mondo offline ed online, condizionando pertanto anche trasferimento di dati personali verso Nuvole collocate in paesi terzi. Tra queste condizioni risalta il criterio di adeguatezza del livello di protezione garantito dal paese terzo ma figurano anche – in sua assenza – l’operatività di accordi ad hoc, vedasi il Safe Harbor statunitense o, ancora, l’impiego di strumenti contrattuali, sia nella forma di clausole contrattuali standard sia di clausole definite dalle parti, purché ritenuti adeguati dagli Stati membri e dalla Commissione europea. Tuttavia è altresì noto che queste limitazioni sono superabili attraverso le deroghe stabilite dall’articolo 26 della direttiva stessa, tra cui figura, prima di tutte, lo strumento del consenso grazie al quale il trasferimento dei dati risulta fattibile e legittimo. Il meccanismo enucleato dal combinato disposto degli articoli 25 e 26 della Direttiva è stato oggetto di molteplici critiche, in quanto ritenuto troppo ingombrante e troppo poco efficace per tutela dei dati personali. (Mi permetto un appunto divertente, ma al tempo stesso illustrativo, sull’inefficienza di questo meccanismo. Poiché l’articolo 25 impone vincoli ai trasferimenti verso paesi terzi, ma soltanto verso di essi, giunge al paradosso di incentivare l’impiego delle acque internazionali per la collocazione di data center da parte dei cloud provider al fine di sfuggire dalla sua applicazione). Un ulteriore aspetto problematico causato dal carattere eminentemente transnazionale del cloud computing riguarda il campo di applicazione della direttiva per la tutela dei dati personali. L’identificazione della legge applicabile viene disciplinata dall’articolo 4 che individua la portata delle norme della Direttiva sia nello SEE sia sul piano extraeuropeo. Anche in questo caso la localizzazione geografica è il criterio di riferimento, attraverso il luogo dello stabilimento del responsabile che effettua il trattamento dei dati ed il luogo degli strumenti per il trattamento dei dati. Come ampiamente riconosciuto dalla Commissione e dall’A29WP, questo criterio applicato ad Internet e , ancor più, l’interpretazione estensiva del secondo elemento del “ricorso a strumenti” collocati nell’UE aprono la strada ad una vasta applicabilità extraterritoriale delle normative europee in materia di tutela dei dati personali, talvolta anche quando il trattamento non ha collegamento reale con l’UE. Il cloud computing, nel caso frequente in cui i dati sono trattati e conservati su server dislocati su base globale, è un esempio complesso dell’applicazione delle disposizioni della Direttiva. Come detto, il luogo esatto in cui i dati sono collocati non è sempre noto e muta rapidamente. Inoltre, mentre l’impiego del criterio di localizzazione geografica limita il trasferimento transfrontaliero dei dati personali verso paesi extra-UE, esso estende l’applicabilità del diritto dell’UE sulla protezione dei dati verso paesi terzi, talvolta anche con conseguenze non auspicabili. Seppure l’A29WP abbia riconosciuto in una sua opinione del 2010 che un server non può essere considerato uno stabilimento ai fini della direttiva perché trattasi di una mera struttura tecnica, esso è comunque considerato uno strumento per il trattamento dei dati personali ai sensi dell’art. 4 lett. c). La presenza di server nell’UE, e di semplici strumenti come java scripts e cookie, fa pertanto scattare l’applicazione della Direttiva e, con essa, l’esposizione del responsabile del trattamento dei dati personali alle sue molteplici implementazioni nazionali (chiaramente nell’ipotesi in cui questi “strumenti” si trovino in paesi europei diversi) e a tutte quelle altre discipline in materia di privacy di cui paesi terzi avanzino giurisdizione prescrittiva. A questo proposito è bene precisare che, assecondando il contenuto della Direttiva, l’individuazione del responsabile del trattamento dei dati varierà in base al modello di servizio offerto all’interno dell’architettura del cloud computing. Infatti, quando i provider IaaS e PaaS (e in taluni casi anche SaaS) offrono mere infrastrutture d’uso, essi tendenzialmente neppure conoscono che tipo di informazioni vengono trattate usando i loro servizi. Ne consegue che la figura di data controller sarà per lo più il cloud provider in caso di SaaS. Viceversa, di un servizio IaaS, diverrà responsabile del trattamento dei dati lo stesso utilizzatore. A questa già complessa situazione, è ipotizzabile che si aggiunga ulteriore incertezza determinata dalla sempre maggiore integrazione dei servizi cloud, e quindi dalla sempre più ardua demarcazione degli ambiti di responsabilità tra vari soggetti coinvolti, oltre che dalla loro collocazione geografica, e dal luogo del trattamento dei dati. Possiamo, comunque, agevolmente affermare che in caso di nuvole transnazionali non risulta affatto difficoltoso per gli Stati asserire giurisdizione prescrittiva. Ostacoli, invece, ben più gravosi sorgono sul versante della giurisdizione applicativa, dove si corre il serio pericolo di vanificare l’applicazione extraterritoriale delle normative sulla protezione dei dati, soprattutto quando motivata da reali collegamenti con l’UE. Benché, su più versanti, tra cui anche in sede OCSE, si conducano importanti sforzi per avviare una cooperazione internazionale per l’enforcement delle normative per la tutela della privacy, rimane un dato di fatto che oggigiorno rimane ancora problematico ottenere un rimedio per siffatte violazioni nel caso in cui queste avvengano nel cyberspazio. Questi impedimenti sono accentuati nel cloud computing atteso che l’individuazione del locus delicti non è agevolmente determinabile. E’ importante, infine, sottolineare che violazioni della privacy possono derivare dalle stesse attività di enforcement degli Stati visto che, nel quadro di indagini penali, possono essere disposti accessi da remoto alle nuvole di potenziali sospettati. Riguardo a ciò è bene notare che lo US Patriot Act consente alle autorità statunitensi di accedere ai dati di qualsiasi fornitore di servizi cloud che sia statunitense, disponga di un ufficio negli Stati Uniti, o svolga sistematica o continua attività commerciale negli Stati Uniti, anche se i dati sono archiviati al di fuori dagli Stati Uniti. Ne deriva che i pericoli associati a tale legislazione non sono necessariamente ovviabili dalla scelta di un fornitore europeo di servizi cloud o di un server collocato sul suolo europeo; ciò non sarà infatti sufficiente a garantire che i dati siano al di là della portata della giurisdizione degli Stati Uniti e del Patriot Act. Giungendo al termine di questa disamina sulle questioni inerenti al trasferimento dei dati nel cloud computing, così come declinata all’ambito della tutela dei dati personali, appare chiaro come questo fenomeno presenti ulteriori elementi di criticità rispetto a quelli tipicamente emergenti dalla natura globale della rete Internet, e ciò a causa della sua caratteristica architettura. Il tema è assai complesso ed è possibile soltanto un rapido cenno alle varie soluzioni possibili. • Anzitutto l’estrema attenzione che la Direttiva ripone nei confronti della collocazione geografica dei dati tende ad oscurare il reale fine sottostante la disciplina europea, vale a dire la protezione dei dati stessi. Un ben più maturo approccio dovrebbe invece focalizzarsi sulle modalità di trattamento dei dati e non tanto sulla loro destinazione. Quando, ad esempio, i dati sono crittati e le chiavi di decrittaggio possiedono opportuni standard di sicurezza, l’ubicazione dei dati diviene irrilevante. Questo significa che la disciplina europea per la tutela dei dati personali, anche in vista del possibile futuro Regolamento in materia, dovrebbe impedire l’accesso non autorizzato a dati intellegibili anziché restringere tout court l’esportazione dei dati fuori dai confini UE. • Per quanto attiene, invece, alle abnormità derivanti dalla norma dell’art. 4 sul campo di applicazione della direttiva, sarebbe auspicabile una revisione dei criteri per la sua determinazione. Anzitutto, per l’area UE, l’applicazione del principio del paese d’origine, peraltro già adottato dalla direttiva e-commerce, eviterebbe sovrapposizioni e sovraesposizioni normative poiché un prestatore di servizi cloud che operasse in un altro paese europeo dovrebbe semplicemente rispettare la legge del proprio paese di origine. L’inserimento di questo principio suggellerebbe, inoltre, il progetto di armonizzazione completa della legislazione europea in materia di tutela dei dati personali che è in discussione negli ultimi mesi attraverso la bozza di regolamento. Quando, al contrario, il responsabile del trattamento è stabilito al di fuori dell’UE, appoggiando quanto sostenuto dall’A29WP, il campo di applicazione della normativa europea potrebbe concentrarsi sui cittadini dell’UE (al pari di quanto già avviene, ad esempio, in Australia) anziché poggiarsi sul c.d. criterio degli strumenti. In verità, alla luce della natura transnazionale di Internet e conseguentemente dei servizi cloud-based, la “virata” verso un principio di accountability per il trattamento dei dati personali potrebbe condurre ad una effettiva, ed efficiente, soluzione al trasferimento transfrontaliero di dati. Il Canada, in qualità di pioniere di questo approccio alla tutela, ha sancito nell’articolo 1 del suo Personal Information Protection and Electronic Documents Act (meglio noto come PIPEDA) del 2000 che “un’organizzazione è responsabile delle informazioni personali in suo possesso o custodia, comprese le informazioni che sono state trasferite a terzi per il trattamento”. In altri termini, al fine del trasferimento dei dati, mentre la normativa europea si focalizza sullo Stato terzo e sull’adeguatezza della sua disciplina per la protezione dei dati personali, il principio di “accountability” gravita attorno all’organizzazione che effettua l’elaborazione dei dati e sulla responsabilità giuridica che essa assume per il trattamento di quelli di natura personale. • Concluderò sottolineando che quando il diritto si propone adattarsi al nuovo contesto tecnologico, benché rimanga una scelta augurabile, rischia sempre una rapida obsolescenza. Il dirompente arrivo del cloud computing, come di altre innovazioni che l’hanno preceduto, conferma questo costante e celere mutamento della tecnologia. Evitare che la certezza del diritto si degradi in inadeguata fissità può risultare problematico, ma chiedere alla tecnologia di aiutare la regolamentazione giuridica della tecnologia stessa può consentire la necessaria adattabilità ai mutamenti. In questo senso, il regolamento in materia di tutela dei dati personali al momento sul tavolo delle istituzioni europee dovrebbe riconoscere espressamente l’elemento dinamico delle tecnologie dell’informazione e con esso ammettere l’impiego di strumenti PET (Privacy enhancing technologies) come sistemi di crittaggio e dispositivi per bloccare i cookie. Queste tecnologie promettono un grande sostegno per proteggere i dati personali dei cittadini europei, prevenendo quelle violazioni in Rete che difficilmente troverebbero “cura” in giurisdizioni estere e altresì contenendo l’accesso non autorizzato da parte di autorità straniere ai loro dati personali.
Cloud e trasferimento dei dati: le questioni giurisdizionali (DRAFT)
0
Share.
