Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

SOLUZIONI PRIVACY

Cloud computing e GDPR: regole di accountability per il trasferimento dei dati all’estero

Sono molti, alla luce del GDPR, gli aspetti “privacy” da tenere in considerazione nell’uso di un servizio di cloud computing, soprattutto quando tale servizio effettua un trasferimento di dati in Paesi esterni alla UE. Ecco le regole di accountability per effettuare le verifiche del caso sul servizio cloud prescelto

21 Nov 2019
A

I servizi in cloud computing rappresentano, soprattutto per imprese e professionisti, un utile strumento di archiviazione e gestione di documenti e dati personali. Con la definitiva entrata in vigore del GDPR, però, sono molti gli aspetti legati alla privacy da tenere in considerazione nell’uso di un servizio in cloud.

In particolare, richiedono specifiche attenzioni la scelta di quali dati immettere sulla cosiddetta “nuvola” e le caratteristiche possedute dal servizio cloud prescelto.

Cosa si intende per cloud computing

Prima di esaminare le problematiche privacy legate all’utilizzo di tecnologie in cloud, è utile cercare di comprendere meglio che cosa si intende con tale espressione, la quale, come si vedrà, può assumere significati ben più ampi rispetto a quanto si è portati in un primo momento ad immaginare.

Il cloud computing è, in sintesi, un sistema che consente di affidare a un provider esterno specializzato la gestione di una o più risorse informatiche che, da quel momento, verranno erogate via web.

Più precisamente, il National Insitute of Standards and Tecnology (NIST) ha definito il cloud computing come «a model for enabling ubiquitous, convenient, on-demand network access to a shared pool of configurable computing resources (e.g., networks, servers, storage, applications, and services) that can be rapidly provisioned and released with minimal management effort or service provider interaction»[1].

In sostanza, il cloud computing è l’infrastruttura di un fornitore (denominato Cloud Service Provider o CSP) che, attraverso internet, consente all’utente di accedere ad un insieme di risorse, utilizzando spazi “on-line” di memorizzazione, software o ambienti di sviluppo senza che dette risorse risiedano nei suoi sistemi informatici, ma semplicemente accedendovi tramite server remoti gestiti, appunto, da terze parti[2].

Il grande vantaggio per l’utente è quello di avere a disposizione una grande memoria di massa senza dover sopportare il costo legato all’infrastruttura, che, invece, è mantenuta dal Cloud Service Provider e dallo stesso fornita.

Nell’ottica di una maggiore comprensione, è utile distinguere tra il c.d. Private Cloud Computing e il c.d. Public Cloud Computing.

Per Private Cloud Computing, in particolare, si intende quella infrastruttura informatica dedicata per lo più alle esigenze di una singola organizzazione, ubicata nei suoi locali o affidata in gestione ad un terzo, nei confronti del quale il titolare dei dati può però esercitare un controllo puntuale[3].

Si parla invece di Public Cloud Computing con riferimento a quelle infrastrutture «di proprietà di un fornitore specializzato nell’erogazione di servizi che mette a disposizione di utenti, aziende o amministrazioni i propri sistemi attraverso la condivisione e l’erogazione via Internet di applicazioni informatiche, di capacità elaborativa e di “stoccaggio” dati. La fruizione di tali servizi avviene tramite la rete Internet e implica il trasferimento dei soli dati o anche dell’attività di elaborazione presso i sistemi del fornitore del servizio»[4]. In questo caso il fornitore assume un ruolo importante in ordine all’efficacia delle misure adottate per garantire la protezione delle informazioni che gli sono state affidate.

Con l’espressione Hybrid Cloud si fa riferimento, invece, a quelle “nuvole” che prevedono l’utilizzo di servizi erogati da infrastrutture private accanto a servizi acquisiti da cloud pubblici; infine, con l’espressione Community Cloud si fa riferimento a quei servizi in cui l’infrastruttura è condivisa da diverse organizzazioni a beneficio di una specifica comunità di utenti.

I servizi di cloud computing possono poi essere distinti in base alla tipologia di servizio offerto. Si parla infatti di:

  1. IaaS o Infrastructure-as-a-Service quando il fornitore mette a disposizione risorse hardware virtualizzate, affinché l’utente possa creare e gestire una propria infrastruttura sul cloud, senza preoccuparsi dell’allocazione delle risorse;
  2. PaaS o Platform-as-a-Service per indicare quel servizio in cloud attraverso il quale una piattaforma software viene fornita tramite internet come servizio. Il provider offre quindi delle soluzioni di sviluppo software in base alle esigenze del cliente, di solito uno sviluppatore, il quale le utilizza per sviluppare e ospitare soluzioni applicative proprie che a sua volta intende fornire a terzi;
  3. SaaS o Software-as-a-Service quando un modello cloud prevede come servizio l’erogazione di software e applicativi tramite internet, accessibili attraverso l’utilizzo di un’interfaccia client. Un importante servizio cloud SaaS è rappresentato da alcuni programmi di gestione della posta elettronica (es. gmail);
  4. Storage-as-a-service o “Archiviazione come servizio” con riferimento a quegli strumenti con cui l’utente finale può archiviare e condividere dati da remoto (es. Dropbox).

Cloud computing e GDPR: vantaggi e svantaggi

Come brevemente già accennato, l’utilizzo di servizi in cloud comporta notevoli vantaggi per le imprese, i professionisti e la Pubblica Amministrazione, soprattutto in ragione dell’abbattimento della spesa di tipo informatico.

A tale indiscutibile vantaggio si aggiungono quelli legati alla riduzione degli spazi fisici e dei costi ad essi connessi, nonché i vantaggi derivanti dalla comodità di avere a disposizione le proprie informazioni e i propri dati praticamente in ogni luogo e in ogni momento, semplicemente tramite una connessione internet.

I servizi cloud possono infine rappresentare, in alcuni casi, ottimi strumenti al servizio delle imprese e del professionista per il backup delle informazioni possedute.

Agli evidenti vantaggi qui descritti si affiancano anche alcune importanti problematiche, inerenti per lo più alla riservatezza dei dati caricati sulla “nuvola”, alla sicurezza degli stessi, alla dipendenza da uno specifico fornitore, all’individuazione della legge applicabile e alla disciplina sull’accesso ai dati[5].

Una delle maggiori problematiche relative alla riservatezza è poi rappresentata dal c.d. fenomeno del loss of control, ossia dal rischio per l’utente di perdere il controllo sui dati immessi nella “nuvola”.

La delicatezza delle questioni rappresentate emerge con maggior evidenza se si considera la responsabilità riconosciuta dal GDPR in capo al titolare del trattamento, il quale, insieme al responsabile, deve mettere in atto, ai sensi dell’art. 32, comma 1, lett. b), misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio.

WHITEPAPER
Cybersecurity: come superare le vulnerabilità delle tecniche di Intelligenza Artificiale
Sicurezza
Sicurezza

Tali misure comprendono, tra le altre, “la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento”. Il Garante per Protezione dei Dati Personali ha infatti sottolineato che: «l’adozione di servizi esternalizzati non esime le imprese e le amministrazioni pubbliche, che se ne avvalgono per la gestione del proprio patrimonio informativo, dalla responsabilità che vengono loro attribuite, in particolare, dalla disciplina in materia di protezione dei dati personali»[6].

Cloud computing e GDPR: trasferimento dati in Paesi esterni all’UE

Al problema della perdita di controllo dei dati è strettamente connesso il rischio che il CSP trasferisca i dati caricati sulla “nuvola” in Paesi terzi rispetto all’Unione Europea.

Il provider ha infatti la possibilità di modificare il data center su cui vengono “archiviate” le informazioni, a volte anche senza che l’utente finale abbia la possibilità di venirlo a sapere.

Il problema descritto non si pone quando il trasferimento avviene all’interno dei confini dell’Unione europea, in quanto l’art. 1, par. 3, GDPR prevede espressamente che «la libera circolazione dei dati personali nell’Unione non può essere limitata né vietata per motivi attinenti alla protezione delle persone fisiche con riguardo al trattamento dei dati personali».

Per quanto riguarda, invece, il trasferimento dei dati in Paesi esterni all’Unione è necessario che l’utente/titolare del trattamento adotti particolari cautele al fine di (cercare di) garantire ai dati personali un adeguato livello di protezione.

L’utente al momento della scelta del provider deve infatti prestare attenzione ai documenti contrattuali, ai Service Legal Agreement, e a tutta la documentazione esistente anche in materia di privacy, valutando accuratamente anche l’impatto che possibili minacce e vulnerabilità possono avere sui dati personali trattati.

Di fondamentale importanza è poi la verifica della compliance alla normativa privacy da parte del fornitore del servizio cloud, anche in ragione del fatto che, di solito, lo stesso ricopre il ruolo di responsabile del trattamento.

L’utente dovrebbe poi verificare che, nel caso di possibile trasferimento dei dati all’estero da parte del CSP, ricorra una delle ipotesi previste dal GDPR che rendono lecito detto trasferimento.

Il Regolamento n. 2016/679, al Capo V, infatti, prevede una specifica e particolare disciplina che introduce anche nuovi[7] strumenti di regolamentazione del trasferimento transfrontaliero, con l’obiettivo di garantire la tutela offerta dalla disciplina europea anche in caso i dati vengano allocati fuori dai confini UE. Ed è verso questo obiettivo che le imprese e i professionisti devono indirizzare le proprie scelte quando adottano un servizio in cloud.

Tra gli strumenti offerti dal GDPR in materia di trasferimento dati in Paesi extra U.E. rientrano, nello specifico, le decisioni di adeguatezza della Commissione, le c.d. “garanzie adeguate”, tra cui le clausole contrattuali standard, e le c.d. binding corporate rules.

Ai sensi dell’art. 45 il trasferimento di dati personali è ammesso se il Paese destinatario garantisce un livello di protezione adeguato a quello europeo. L’art. 45 statuisce infatti che «il trasferimento di dati personali verso un paese terzo o un’organizzazione internazionale è ammesso se la Commissione ha deciso che il paese terzo, un territorio o uno o più settori specifici all’interno del paese terzo, o l’organizzazione internazionale in questione garantiscono un livello di protezione adeguato. In tal caso il trasferimento non necessita di autorizzazioni specifiche». Si parla in questo caso di trasferimento sulla base di una decisione di adeguatezza.

L’art. 46 del GDPR prevede poi la possibilità di trasferimento dei dati personali verso Paesi terzi anche in mancanza di una decisione di adeguatezza, ma solo a condizione che il Paese destinatario abbia fornito garanzie adeguate e che gli interessati dispongano di diritti azionabili e mezzi di ricorso effettivi.

Le garanzie adeguate ex art. 46, che consentono il trasferimento senza che lo stesso debba essere sottoposto all’autorizzazione di un’Autorità Garante, sono:

  1. uno strumento giuridicamente vincolante e avente efficacia esecutiva tra autorità pubbliche o organismi pubblici;
  2. le norme vincolanti d’impresa in conformità dell’articolo 47;
  3. le clausole tipo di protezione dei dati adottate dalla Commissione secondo la procedura d’esame di cui all’articolo 93, paragrafo 2;
  4. le clausole tipo di protezione dei dati adottate da un’autorità di controllo e approvate dalla Commissione secondo la procedura d’esame di cui all’articolo 93, paragrafo 2;
  5. un codice di condotta approvato a norma dell’articolo 40, unitamente all’impegno vincolante ed esecutivo da parte del titolare del trattamento o del responsabile del trattamento nel paese terzo ad applicare le garanzie adeguate, anche per quanto riguarda i diritti degli interessati;
  6. un meccanismo di certificazione approvato a norma dell’articolo 42, unitamente all’impegno vincolante ed esigibile da parte del titolare del trattamento o del responsabile del trattamento nel paese terzo ad applicare le garanzie adeguate, anche per quanto riguarda i diritti degli interessati.

Possono inoltre costituire garanzie adeguate, fatta salva però l’autorizzazione dell’Autorità di controllo:

  1. le clausole contrattuali tra il titolare del trattamento o il responsabile del trattamento e il titolare del trattamento, il responsabile del trattamento o il destinatario dei dati personali nel paese terzo o nell’organizzazione internazionale;
  2. le disposizioni da inserire in accordi amministrativi tra autorità pubbliche o organismi pubblici che comprendono diritti effettivi e azionabili per gli interessati.

La Commissione europea e le autorità di controllo nazionali possono adottare clausole tipo (c.d. clausole contrattuali standard), valide ai sensi dell’art. 46, che se incorporate dall’esportatore nel contratto utilizzato per il trasferimento garantiscono che i dati saranno trattati conformemente ai principi stabiliti nel Regolamento europeo anche nel Paese di destinazione.

L’art. 47 prevede poi le c.d. binding corporate rules (BCR) le quali si concretizzano in un documento contenente una serie di clausole che fissano principi vincolanti per tutte le società appartenenti ad uno stesso gruppo d’impresa, consentendo il trasferimento solo tra le aziende che abbiano tra loro uno specifico legame societario.

L’art. 49 del Regolamento, infine, prevede un complesso di deroghe in virtù delle quali è legittimo trasferire dati personali in Paesi terzi anche in mancanza dei presupposti sopra menzionati. Tali deroghe consistono:

  1. nel consenso esplicito dell’interessato al trasferimento proposto, dopo essere stato informato dei possibili rischi di siffatto trasferimento, dovuti alla mancanza di una decisione di adeguatezza e di garanzie adeguate;
  2. nella necessità del trasferimento per l’esecuzione di un contratto concluso tra l’interessato e il titolare del trattamento ovvero all’esecuzione di misure precontrattuali adottate su istanza dell’interessato;
  3. nella necessità dovuta ad importanti motivi di interesse pubblico;
  4. nella necessità di accertare, esercitare o difendere un diritto in sede giudiziaria o tutelare gli interessi vitali dell’interessato o di altre persone, qualora l’interessato si trovi nell’incapacità fisica o giuridica di prestare il proprio consenso;
  5. nel trasferimento effettuato a partire da un registro che, a norma del diritto dell’Unione o degli Stati membri, mira a fornire informazioni al pubblico e può esser consultato tanto dal pubblico in generale quanto da chiunque sia in grado di dimostrare un legittimo interesse, solo a condizione che sussistano i requisiti per la consultazione previsti dal diritto dell’Unione o degli Stati membri;
  6. nella necessità di perseguire gli interessi legittimi cogenti del titolare del trattamento, su cui non prevalgono gli interessi o i diritti e le libertà dell’interessato, e qualora il titolare e del trattamento abbia valutato tutte le circostanze relative al trasferimento e sulla base di tale valutazione abbia fornito garanzie adeguate relativamente alla protezione dei dati personali.

Il GDPR prevede quindi disposizioni che consentono il trasferimento all’estero dei dati a determinate condizioni. Tuttavia, non appare infrequente che le aziende e i professionisti – specie se di piccole o medie dimensioni – non abbiano strumenti adeguati per verificare il ricorrere puntuale di tali condizioni né per verificare a tutti gli effetti la compliance del CSP alla normativa.

A quanto sopra si aggiunga però che l’art. 13, paragrafo 1, lett. f) prevede un chiaro obbligo per il titolare del trattamento di fornire all’interessato anche informazioni circa «l’intenzione (…) di trasferire dati personali a un paese terzo o a un’organizzazione internazionale e l’esistenza o l’assenza di una decisione di adeguatezza della Commissione o, nel caso dei trasferimenti di cui all’articolo 46 o 47, o all’articolo 49, paragrafo 1, secondo comma, il riferimento alle garanzie appropriate o opportune e i mezzi per ottenere una copia di tali garanzie o il luogo dove sono state rese disponibili».

Ci si chiede, quindi, cosa succede se il professionista e le imprese dichiarano di non aver alcuna diretta «intenzione» di trasferire dati personali in un Paese terzo o a un’organizzazione internazionale, ma esclusivamente quella di avvalersi di servizi cloud che tale trasferimento di fatto lo operano.

In realtà, più propriamente, sussiste un’intenzione in tal senso da parte dell’impresa o del professionista, titolari del trattamento, già nel momento in cui essi decidono di avvalersi di un servizio cloud che contempla la possibilità di tale trasferimento.

Non c’è alcun dubbio, quindi, sul fatto che sussista per il titolare del trattamento l’obbligo di cui al citato art. 13 di fornire un’adeguata informativa al proprio cliente, anche specificando che ci si avvale di servizi in cloud che potrebbero avere data center collocati in Paesi terzi. Il titolare del trattamento deve infatti adoperarsi affinché il soggetto interessato sia effettivamente e pienamente consapevole di come vengono trattati i propri dati.

Cloud computing e GDPR: il consenso dell’interessato

Altra questione riguarda poi la possibilità di ottenere il consenso del soggetto interessato nel caso in cui l’azienda o il professionista non riescano ad effettuare tutte le verifiche necessarie.

Stando alla lettera dell’art. 49 GDPR, il consenso deve però essere ottenuto dopo che si è informato l’interessato dei possibili rischi dovuti alla mancanza di una decisione di adeguatezza e di garanzie adeguate.

Il che presuppone che il professionista o l’impresa, anche di piccole o medie dimensioni, sappiano che i data center utilizzati dal CSP si collocano in Paesi esterni all’Unione europea per i quali mancano o una decisione di adeguatezza o, comunque, garanzie adeguate.

Informazioni che spesso, anche se non agevolmente, sono reperibili nella documentazione sottoscritta al momento della scelta del provider e che, quindi, avrebbero dovuto influenzare ab origine la decisione del titolare del trattamento sul fornitore stesso.

Dubbi sorgono poi per l’ipotesi in cui il soggetto interessato dovesse negare il proprio consenso all’utilizzo di un servizio cloud, anche al fine di evitare un possibile trasferimento all’estero dei propri dati.

Ci si chiede, infatti, se in tale ipotesi sia veramente possibile per il titolare del trattamento non utilizzare alcun tipo di servizio in cloud, dovendosi far rientrare tra questi anche i servizi di gestione delle e-mail, che, come visto, rappresentano un cloud di tipo SaaS.

Ragione vuole però che il titolare del trattamento, in caso di mancato consenso e di impossibilità a verificare la reale “posizione” dei dati e l’esistenza delle “garanzie” previste dal GDPR, si astenga dall’utilizzo del servizio cloud, con evidenti problematiche conseguenti.

Conclusione

La questione resta quindi aperta ad un dibattito serio e concreto, che tenga certamente conto della tutela dell’interessato, ma anche delle effettive necessità e capacità delle imprese e dei professionisti, soprattutto se di piccole o medie dimensioni.

Come già detto, è di fondamentale importanza che il titolare del trattamento presti molta cautela nella scelta del servizio cloud da utilizzare e, soprattutto, nella scelta dei dati da caricare sulla “nuvola”.

Su tale ultimo aspetto, una particolare attenzione va posta nell’ipotesi in cui i dati caricati siano qualificabili come sensibili. Il Garante Privacy ha infatti affermato che «alcune informazioni che si intende inserire sui sistemi del fornitore di servizio, per loro intrinseca natura, quali ad esempio i dati sanitari, genetici, reddituali, biometrici o quelli coperti da segreto industriale, possono esigere particolari misure di sicurezza. In tali casi, poiché dal relativo inserimento nella cloud consegue comunque una attenuazione, seppur parziale, della capacità di controllo esercitabile dall’utente, ed una esposizione di tali informazioni a rischi non sempre prevedibili di potenziale perdita o di accesso non consentito, l’utente medesimo dovrebbe valutare con responsabile attenzione se ricorrere al servizio di cloud computing oppure mantenere in house il trattamento di tali tipi di dati»[8].

Due ultime raccomandazioni infine: in primo luogo si ritiene necessario che il personale preposto al trattamento dei dati, anche attraverso i servizi offerti dal cloud, sia costantemente e adeguatamente formato e consapevole dei rischi connessi all’utilizzo di questa tecnologia.

WHITEPAPER
I Servizi Gestiti possono essere un’attività estremamente redditizia. Quali gli strumenti utili?

Da ultimo, è necessario che la scelta aziendale di ricorrere al cloud sia oggetto di una valutazione attenta, professionale e precisa anche da parte del DPO[9] – se presente -.

NOTE

  1. Il National Insitute of Standards and Tecnology (NIST) è un’agenzia USA, appartenente al Dipartimento del Commercio e che si occupa della gestione delle tecnologie e di promuovere l’economia USA attraverso la collaborazione con l’industria, al fine di sviluppare standard, linee guida, tecnologie e metodologie che favoriscono la produzione e il commercio. Per la definizione riportata cfr. The NIST Definition of Cloud Computing.
  2. MANTELERO, Il contratto per l’erogazione alle imprese di servizi di cloud computing, in Contr. Imp., 2012, p. 1216 – citato da VALLE, RUSSO, LOCATELLO e BONZAGNI, Privacy e contratti di cloud computing, in TOSI, Privacy Digitale. Riservatezza e protezione dei dati personali tra GDPR e nuovo Codice Privacy, 2019, p. 507
  3. Garante Privacy, Vademecum sul Cloud Computing, 2012, p. 9
  4. Ibidem
  5. SOFFIENTINI, Privacy. Protezione e trattamento dei dati, 2018, p. 426
  6. Garante Privacy, Cloud Computing: indicazioni per l’utilizzo consapevole dei servizi, p. 11
  7. Rispetto alla precedente Direttiva 95/46/CE del 24 ottobre 1995 relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati
  8. Garante Privacy, Cloud Computing: indicazioni per l’utilizzo consapevole dei servizi, p. 16
  9. SOFFIENTINI, op. cit., p. 431
@RIPRODUZIONE RISERVATA

Articolo 1 di 5