A più di un anno e mezzo dall’entrata in vigore del GDPR, dobbiamo constatare la totale impermeabilità alla norma da parte dei grandi fornitori di servizi cloud (Google, Microsoft ecc.) dove la speranza di vedersi sottoscrivere il contratto ex art. 28 GDPR è pari a zero.
Si è quindi costretti ad accettare i contratti predisposti da questi giganti, con seri rischi di condividere la titolarità di trattamenti che non ci servirebbero, che non abbiamo richiesto e cui, magari, siamo anche contrari.
Si lamenta, infatti, da più parti che i fornitori di servizi extra UE, spesso costituiti da aziende che offrono servizi software in cloud (SaaS, Software as a Service), vadano sovente oltre il mandato ricevuto.
In molti casi, questi software effettuano una profilazione degli utenti e, in alcuni contratti, viene indicato che questi dati vengono comunque condivisi con il titolare del trattamento. Sembrerebbe profilarsi, quindi, un problema di contitolarità del trattamento.
La profilazione effettuata in via autonoma dagli outsourcer, tuttavia, è da inquadrare.
Se è oggetto del mandato, nulla di che, a parte quando vedremo più sotto in relazione al contratto di conferimento dell’incarico.
Se non fosse oggetto del mandato, invece, ma fosse iniziativa autonoma dell’outsourcer, il problema si porrebbe e sembrerebbe derivare da una carenza di fondo della disciplina contrattuale.
Se ricadessimo nel caso dei giganti del cloud (Google, Microsoft ecc.) dovremmo adottare alcune regole che, come descritto nel successivo paragrafo GDPR e fornitori di servizi cloud: gestire i giganti del Web, consentono di gestirli al meglio.
Indice degli argomenti
Outsourcer extra UE “minori”: le regole da seguire
Nel caso, invece, si trattasse di aziende “minori”, dove ancora le dinamiche commerciali svolgono un ruolo che consente una relazione paritaria, occorrerebbe attenersi alle “regole”.
Il che significa che, nel momento in cui un titolare del trattamento decide di esternalizzare un servizio che implica il trattamento di dati personali, soprattutto quando questo servizio viene fornito da un soggetto stabilito in un paese extra UE, non solo dovrebbe preoccuparsi di fondare tale trasferimento su una corretta base giuridica, ma dovrebbe anche preoccuparsi di vincolare il fornitore allo stretto adempimento del mandato e delle precise istruzioni ricevute.
Tale ultima attenzione, infatti, riguarda qualunque esternalizzazione di trattamenti, anche qualora fosse effettuata tramite processor europei.
Il processor (responsabile), infatti, non deve discostarsi di un millimetro, quanto a finalità e modalità di trattamento, dalle istruzioni ricevute dal controller (titolare), pena la sua decadenza, ai sensi dell’art. 28, par. 10 del GDPR, dal mero ruolo di processor e l’assunzione del pieno ruolo – e della piena responsabilità – civile, amministrativa e penale – di titolare.
Il problema, però, riguarda soprattutto i titolari: se, infatti, il titolare del trattamento non è in grado di dimostrare un pieno e concreto controllo sul responsabile (outsourcer), come potrà garantire che il proprio dei servizi in outsourcing tratti i dati personali che gli sono stati affidati nel rispetto delle prescrizioni normative e delle istruzioni impartitegli?
Un contratto ex art. 28 GDPR dovrà quindi contenere, a mio avviso, oltre alle solite clausole previste dalla norma, anche una serie di clausole rafforzative delle stesse, le quali stabiliscano concrete e deterrenti penali, condizioni di risoluzione espressa, obblighi assicurativi ecc.
Questo modo di costruire il contratto che, a mio parere, è in sé prova di accountability, diventa ancor più necessario nel caso prospettato e cioè qualora il fornitore sia stabilito extra UE e sottratto quindi, di default, a quelle garanzie di sostanziale corrispondenza giuridica, processuale e giurisdizionale, che caratterizzano i rapporti tra due soggetti operanti entrambi all’interno dell’Unione Europea.
Dando già per scontato che il nostro fornitore extra UE appartenga ad uno Stato per il quale non vi sia alcuna decisione di adeguatezza da parte della Commissione Europea e che ci si trovi, inoltre, ad operare al di fuori della casistica riguardante i gruppi industriali multinazionali (che possono imporre alle consociate delle BCR, Binding Corporate Rules), la residua soluzione praticabile è quella delle “clausole standard” (o “clausole tipo”).
Le clausole standard sono le specifiche clausole contrattuali che il titolare del trattamento deve adottare per regolamentare i rapporti con il proprio fornitore extra UE e che deve redigere sulla scorta delle “clausole tipo di protezione dei dati adottate dalla Commissione secondo la procedura d’esame di cui all’articolo 93, paragrafo 2” GDPR, così come previsto dall’art. 46, par. 2, lett. c del GDPR stesso.
Ad oggi la Commissione Europea non ha adottato ancora alcun modello di clausole tipo, ma sul sito internet della Commissione stessa è dato ancora trovare pubblicate le clausole tipo approvate nel 2001, nel 2004 e nel 2010 ai sensi dell’art. 26, par. 4 dell’abrogata Direttiva 95/46/CE.
L’art. 97 par. 2, lett. a) del GDPR, nel trattare della relazione quadriennale con la quale la Commissione valuta l’applicazione e il funzionamento del capo V del Regolamento sul trasferimento di dati personali verso paesi terzi o organizzazioni internazionali, fa espresso riferimento alle decisioni di adeguatezza adottate sulla base dell’articolo 25, paragrafo 6, della direttiva 95/46/CE, che, quindi, rimangono, per implicito, nonostante l’abrogazione della direttiva, valide basi giuridiche giustificanti il trasferimento.
L’art. 97, par. 2 del GDPR non fa, invece, alcun riferimento all’art. 26, par. 4 della stessa direttiva, il quale regolamentava l’approvazione di clausole tipo idonee a garantire la sicurezza dei dati trasferiti in paesi exstra UE, anche se ciò pare più frutto di un refuso che di una precisa scelta politica.
L’ultrattività delle decisioni della Commissione sulle clausole tipo, peraltro, mi è stata anche confermata per vie informali dall’Ufficio del Garante nel corso del 2019.
Mi sento, quindi, di sostenere che il titolare del trattamento, prima di esternalizzare attività in paesi extra UE, dovrebbe curarsi di vincolare il proprio fornitore con un contratto tagliato su misura, contenente – come minimo – tutte le conferenti clausole tipo approvate dalla Commissione Europea nel 2010, nonché chiare istruzioni e limitazioni di trattamento, adeguate penali, condizioni di risoluzione espressa e l’obbligo di prestare una polizza assicurativa rilasciata da primaria compagnia internazionale per il caso in cui, nonostante la vincolatività del contratto, il fornitore agisse illecitamente di testa sua, comportando danni e sanzioni per il titolare.
In questo caso, sempre a mio modo di vedere, le eventuali iniziative autonome – ed illegittime – del fornitore extra UE (come nel caso prospettato, in cui l’outsourcer si mette a profilare gli utenti), non potrebbero altro che fargli assumere la qualità di titolare autonomo, totalmente svincolato dall’attività del Titolare europeo che lo ha delegato, il quale ultimo, tutt’al più, potrebbe essere chiamato a rispondere per non aver adeguatamente verificato le qualità di correttezza e affidabilità dell’outsourcer, ma con una responsabilità del tutto autonoma e diversa, da quella del proprio outsourcer.
Da qui l’utilità di una polizza assicurativa.
GDPR e fornitori di servizi cloud: gestire i giganti del Web
Laddove, invece, il fornitore extra UE avesse la sufficiente forza economica per imporre un proprio contratto “tipo” (come nel caso dei Giganti del Cloud), il rischio di essere invischiati in rapporti di contitolarità è altissimo, non potendo avere alcun controllo sulle clausole contrattuali imposte.
Posto, però, che il rapporto con i “giganti del cloud” è oggi divenuto praticamente inevitabile, operando gli stessi in un regime di oligopolio, fino ad uno sperato intervento normativo europeo sul cloud (vedi articolo dell’ex garante italiano Francesco Pizzetti pubblicato su AgendaDigitale.eu) che inquadri e regolamenti il fenomeno, occorrerà risolvere il problema agendo non tanto nell’ambito del rapporto con questi giganti, ma nel rapporto posto a monte, quello, cioè, con gli interessati.
Se un’azienda non può più fare a meno di un servizio erogato da un fornitore extra UE, se cioè, nel prestare i proprio servizi non può non adottare come componente “produttiva” il servizio in outsourcing offerto dal fornitore extra UE sul cloud, dovrà scandagliare bene l’applicabilità dell’art. 49, par. 1, lett. b) (“il trasferimento sia necessario all’esecuzione di un contratto concluso tra l’interessato e il titolare del trattamento ovvero all’esecuzione di misure precontrattuali adottate su istanza dell’interessato”) e, in tal caso, fornire un’adeguata informativa sul punto ai propri clienti/interessati.
Altrettanto dicasi, poi, qualora il fornitore extra UE effettuasse attività autonome non richieste, come la profilazione degli interessati.
Anche in tal caso l’informativa andrà resa in modo trasparente e chiaro, precisando se tale profilazione ha/non ha effetto sulle decisioni che il titolare prenderà nel rapporto con il cliente/interessato, o se viene utilizzata esclusivamente in via autonoma dal responsabile del trattamento extra UE, senza che il titolare abbia la possibilità giuridica di impedirglielo e questo non già a causa del contenuto di un (ingestibile) contratto regolante i rapporti di contitolarità, ma per la totale sudditanza commerciale, nota anche agli interessati.
Resta il fatto che, per tutelarsi verso possibili “fastidi” amministrativi e civili per l’utilizzo del cloud, ciò ancora non basta.
Non si può ignorare, infatti, l’orientamento del Garante Europeo, recentemente richiamato anche nel documento “Manuale RPD” (pagina 213) pubblicato dall’unione delle Autorità di controllo di Italia, Croazia, Spagna, Polonia e Bulgaria, nell’ambito del progetto formativo T4DATA, secondo il quale, nel caso di utilizzo di servizi cloud, si impone, sempre e comunque, una valutazione di impatto sulla protezione dei dati (DPIA), considerata l’intrinseca rischiosità dell’utilizzo di “cloud computing”:
“Come evidenziato dal GEPD nel suo dettagliato parere sull’utilizzo di servizi cloud da parte delle istituzioni dell’Ue (che dovrebbe essere studiato anche dai soggetti pubblici nazionali, visto che buona parte delle indicazioni sono valide anche nel contesto nazionale), il cloud computing pone rischi specifici che devono essere valutati con la massima attenzione dai titolari (con l’ausilio dei RPD). L’indicazione che ne emerge è che si possa ben ritenere che il cloud computing comporta rischi intrinsecamente elevati e necessiti, pertanto, di una valutazione di impatto”.
In sintesi, quindi, ciò che allo stato si può intanto fare è:
- individuare motivatamente la base di liceità del trasferimento extra UE nell’art. 49, par. 1, lett. b);
- fornire agli interessati una informativa inattaccabile sui ruoli, attività e finalità rispettivamente assunti da titolare e fornitore cloud;
- eseguire sempre, prima di adottare un fornitore cloud, una DPIA, adottando tutti gli accorgimenti tecnici e giuridici per limitare i rischi e gli impatti sul trattamento;
- sperare che il legislatore europeo intervenga quanto prima con una normativa ad hoc (o con chiarimenti su quella vigente) per consentire alle aziende di gestire il fenomeno “cloud”.
