Cloud computing e protezione dati personali

Cloud computing e protezione dati personali

Cloud è un neologismo che indica qualsiasi servizio di elaborazione realizzato direttamente nella rete Internet.

Il cloud computing è "un modello di infrastrutture informatiche che consente di disporre, tramite internet, di un insieme di risorse di calcolo (ad es. reti, server, storage, applicazioni e servizi) che possono essere rapidamente erogate come un servizio" (AgID). In breve invece di trattare i dati sul nostro computer (aziendale o di casa), i dati vengono inviati ad un fornitore di servizi esterno che opera l'elaborazione direttamente sui suoi server. In tal modo l'azienda può avere contemporaneamente: risparmio di costi, maggiore potenza di elaborazione, maggiore flessibilità e possibilità di connessione ai dati da diversi dispositivi e località, maggiore sicurezza. 

Numerosi servizi sono offerti tramite elaborazione in cloud, non solo le mail, ma anche i servizi di storage (backup online), di contabilità, anagrafe, prenotazione, word processing e così via. L'adozione di tali tecnologie può, però, comportare rischi per i dati personali che sono inviati a terze parti: 
- i dati non risiedono più sui server del titolare ma sono allocati su quelli del fornitore di cloud, i quali server potrebbero anche trovarsi fisicamente al di fuori dello spazio SEE; 
- l'infrastruttura è condivisa con diversi committenti per cui va garantita la separazione almeno logica dei dati e la sicurezza degli stessi; 
- l'utilizzo avviene via Internet, per cui la velocità di connessione impatta sulla qualità del servizio, inoltre entrano in gioco le problematiche di sicurezza delle comunicazioni. 

 

Cloud computing

Il cloud potrebbe essere un'infrastruttura dedicata alla singola azienda (private cloud), ma più spesso è un'infrastruttura fornita da un'azienda terza a una serie di soggetti doversi (public cloud). Il cloud computing rende possibile l'utilizzazione di servizi di vario tipo semplicemente collegandosi a server remoti gestiti dal cloud provider, senza quindi caricare le risorse sul proprio sisema informatico. L'unica risorsa necessaria è la connessione alla rete in modo da potersi collegare ai server del cloud provider. In quest'ottica è fondamentale il contratto di fruizione del servizio, non essendo più l'utente il proprietario della risorsa (cioè il software).

Si distinguono tre tipi: 
- SaaS (Software as a Service): fornisce l'accesso al software applicativo (software on demand), senza necessità di installazione, configurazione o altro (esempi: Google Apps, Microsoft Office 365); 
- PaaS (Platform as a Service): fornisce piattaforme di eleborazione con sistema operativo, ambiente di esecuzione del linguaggio di programmazione, database, server web, ecc... (esempi: AWS Elastic Beanstalk, Google App Engine); 
- IaaS (Infrastructure as a Service): è fornita l'infrastruttura informatica, le macchine fisiche o virtuali e altre risorse quali firewall, sistemi di bilanciamento del carico, indirizzi IP, ecc... (esempi: Amazon EC2, Windows Azure). 

 

Contratto di cloud computing

Il contratto di cloud computing non ha una struttura propria ma ricorre a diversi schemi negoziali tipici (contratto misto), come l'appalto di servizi, il contratto di licenza, ma anche il contratto di deposito e somministrazione. L'appalto di servizi consiste nella prestazione di un'attività che si realizza nell'obbligo di fornire un servizio a fronte di un corrispettivo, quindi un obbligo di facere. Ad esempio potrebbe essere la fornitura di memoria di massa (hosting) sui server del provider e di altri servizi collegati. Ovviamente l'obbligazione assunta dal provider dovrà essere inevitabilmente di risultato. Occorre però dire che, a differenza dell'appalto, il contratto di cloud computing non riguarda un servizio realizzato ad hoc per il cliente, per cui è più correttamente applicabile la somministrazione di servizi (art. 1560 c.c. e seguenti) che, inoltre, non prevede collaudo e divieto di subappalto (così consentendo l'avvalersi di subresponsabili). Il contratto di licenza specifica, invece, le modalità di utilizzazione del servizio da parte dell'utente (contratto d'uso), indicando eventuali modalità di ridistribuzione e imponendo dei vincoli. Ovviamente è necessario che il cloud provider assicuri la continuità della prestazione.
Il SaaS è generalmente riconducibile ai contratti di appalto, somministrazione, outsourcing, mentre IaaS e PaaS al contratto di locazione, con i mezzi controllati dal provider e i contenuti dal cliente. 

Nella redazione dei contratti di cloud è frequente l'inserimento di ulteriori clausole, come l'esternalizzazione (outsourcing) di servizi, specialmente per le aziende. Anche l'outsourcing è una forma di appalto di servizi qualificato con il quale vengono esternalizzate attività produttive dell'azienda, quindi non solo strutture ma anche risorse umane.

I contratti di cloud computing sono costituiti da vari documenti:
- le condizioni generali del servizio (Terms of service); 
- Service Level Agreement (SLA); 
- la policy relativa al comportamento delle parti (Acceptable Use Policy); 
- il contratto di elaborazione dati (DPA), che contiene le clausole riguardanti la protezione dei dati personali. 

I contenuti concernono i profili generali del contratto, cioè durata, corrispettivo, giurisdizione, e i profili informativi, cioè la gestione delle informazioni immesse nel cloud. 

 

Cloud provider: responsabile o titolare congiunto? 

Originariamente il fornitore di servizi cloud veniva considerato quale responsabile del trattamento rispetto all'azienda o al soggetto che deposita i dati nel cloud, che è titolare del trattamento. In tal senso dovrà essere stipulato un contratto di elaborazione dati (Data Protection Agreement), e il titolare risponderà delle scelte dei responsabili (ad esempio se il fornitore di cloud non è conforme alle norme). Esistono anche specifici obblighi di trasparenza relativamente ai soggetti che offrono servizi di elaborazione al titolare. Di contro il fornitore di servizi cloud ha specifici obblighi in materia di misure di sicurezza e organizzative per tutelare i dati personali elaborati per conto del titolare. E' ovvio che la distinzione trova un suo specifico limite nella considerazione che generalmente è il provider di servizi cloud a stabilire le condizioni nelle quali il titolare del trattamento può usufruire dei suoi servizi, laddove in base alla normativa, invece, dovrebbe essere il titolare a decidere finalità e mezzi. 

Il fornitore di cloud, quale responsabile, risponde per i danni occorsi ad un interessato solo in caso di non corretto adempimento degli obblighi previsti dalle norme in capo al responsabile stesso, oppure se ha agito in modo difforme rispetto alla istruzioni del titolare del trattamento. Nel caso in cui ne risponda, il fornitore di cloud risponde in solido col titolare per l'intero danno (potendo però avere eventuale diritto di regresso per la quota). Il fornitore, inoltre, in genere si serve di una serie di sub-responsabili del trattamento, e di autorizzati, tutti soggetti che accedono ai dati personali. E' ovvio che il fornitore deve osservare la massima trasparenza sui soggetti della catena del trattamento che accedono ai dati, indicando a quali soggetti (almeno per categorie) i dati sono o possono essere comunicati. 

In base ad una decisione del giugno 2022 del Garante sloveno (IP – 0612-23/2019/19), più correttamente il fornitore di servizi cloud deve essere ritenuto un titolare congiunto rispetto al suo cliente (titolare del trattamento), in quanto fornisce un livello di astrazione tale che il titolare non ha più alcuna influenza sulla scelta dei mezzi del trattamento, compreso i mezzi essenziali. In tal senso il titolare non è più in grado di esercitare il principio di responsabilizzazione nei confronti dei suoi clienti (interessati). Per cui è più corretto un inquadramento che ripartisce meglio le responsabilità. Il cloud provider non è un soggetto che agisce per conto del titolare, quanto piuttosto un soggetto che prende decisioni in autonomia che contribuiscono all’attuazione delle finalità stabilite del titolare, col risultato che le decisioni dei due soggetti sono convergenti, si integrano a vicenda e sono entrambe necessarie al trattamento in modo tale da avere un impatto tangibile sulla determinazione delle finalità e dei mezzi del trattamento. 

Per cui i contitolari dovranno stipulare un contratto di elaborazione dati che ripartisce le responsabilità tra loro. 

 

Trasferimento e localizzazione dei dati

Molti dei cloud provider hanno i server all'estero, per cui occorre attentamente analizzare le problematiche relative al trasferimento dei dati. La regolamentazione in materia è dettata dal regolamento europeo GDPR (Capo V). 

Il fornitore di servizi cloud dovrebbe osservare la massima trasparenza in materia di luoghi dove il trattamento viene effettivamente posto in essere. In considerazione del fatto che i grandi fornitori di tali servizi gestiscono in maniera dinamica i dati, i quali possono essere spostati con facilità da un server all'altro, casomai in regioni completamente differenti, oppure frammentati in diverse località (ridondanza) per ragioni di sicurezza. La localizzazione dei dati è ormai un concetto giuridico fondamentale in considerazione del fatto che il trasferimento dei dati al di fuori dell'Unione europea è permesso solo in presenza di specifiche garanzie. Di contro per i dati non personali il Regolamento 2018/1807 prevede il divieto di obblighi di localizzazione dei dati, a meno che non siano giustificati da motivi di sicurezza pubblica nel rispetto del principio di proporzionalità.

 

Giurisdizione e responsabilità

Le norme europee (regolamento CE n. 593/2008, sostitutivo della Convenzione di Roma del 19 giugno 1980, e Convenzione di Bruxelles) stabiliscono l'applicabilità al contratto di cloud computing della legge dello Stato in cui risiede il consumatore. Inoltre il legislatore italiano esclude che il consumatore possa essere privato della tutela minima richiesta dal Codice del Consumo (art. 143: 1. I diritti attribuiti al consumatore dal codice sono irrinunciabili. E' nulla ogni pattuizione in contrasto con le disposizioni del codice. 2. Ove le parti abbiano scelto di applicare al contratto una legislazione diversa da quella italiana, al consumatore devono comunque essere riconosciute le condizioni minime di tutela previste dal codice).

Frequenti, però, sono le clausole per limitare la responsabilità del cloud provider, principalmente quelle derogatorie del foro competente. Il diritto internazionale, infatti,  consente di determinare convenzionalmente l'ordinamento al quale è soggetto il contratto (spesso le leggi dell'Irlanda del Nord in quanto lì hanno la sede europea i principali provider di cloud). Ovviamente spesso si tratta di clausole vessatorie e come tali vanno trattate. 

Ai fini della valutazione della giuridizione, comunque, occorre sempre tenere presente anche la localizzazione dei dati, e quindi dei server, ad esempio per procedere con un sequestro dei contenuti. 

Con riferimento alla responsabilità, ovviamente occorre tenere presente la gestione dei dati, quindi sia il cliente del provider di cloud che il gestore del cloud medesimo. A tal proposito il Codice dell'Amministrazione Digitale (CAD art. 64, co.2-quinquies) prevede l'esenzione da responsabilità per i provider qualora l'accesso ai dati avvenga tramite sistema di autenticazione SPID, appunto perché l'utente è identificato con certezza e quindi l'attività è a lui ascrivibile.  

 

Misure di sicurezza

Un aspetto fondamentale riguarda le misure di sicurezza implementate dal fornitore di cloud computing. Sia delle strutture fisiche (locali) che dell'architettura hardware e software. 

Un'azienda che ha intenzione di utilizzare un servizio di cloud dovrà necessariamente mappare i dati che saranno elaborati esternamente, per stabilire il livello di tutela relativo alle varie categorie di dati. E' ovvio che i dati a trattamento speciale richiedono una sicurezza decisamente maggiore rispetto ai normali dati personali. 
In tale prospettiva sarà, quindi, necessario ottenere le seguenti informazioni dal provider di cloud: 
- l'eventuale utilizzo di tecnologie di archiviazione con separazione (fisica o logica) dei dati tra i vari "clienti" del provider; 
- l'eventuale utilizzo di sistemi di etichettatura per impedire che i dati vengano replicati in determinati paesi o regioni; 
- l'eventuale utilizzo di sistemi di cifratura dei dati e di gestione delle policy di accesso, con registrazione degli accessi tramite log; 
- l'eventuale utilizzo di sistemi di comunicazione sicura (SSL/TLS) per l'accesso ai dati via browser. 

Un aspetto importante riguarda la cifratura dei dati, generalmente fornita per la trasmissione o lo storage dei dati ma non nella fase di elaborazione, in quanto spesso il dato viene utilizzato dalla piattaforma per alimentare un sistema di intelligenza artificiale. 

 

Cloud e Pubblica Amministrazione

Il 17 gennaio 2023 l'EDPB ha adottato le sue raccomandazioni per l'utilizzo di servizi cloud da parte dei soggetti pubblici, raccomandazioni che si focalizzano in particolare sulle problematiche dei servizi forniti da aziende che hanno sede al di fuori dell'Unione europea (vedi trasferimenti extra UE). 

 ------------

Contattami per una consulenza su questo argomento.