Cloud computing e protezione dei dati personali

Il cloud computing è un modello, ad oggi molto diffuso, di accesso a risorse software e hardware attraverso strumenti informatici decentralizzati.

Il cloud computing, o semplicemente “cloud”, rappresenta un modello, ad oggi particolarmente diffuso, di accesso a risorse software e hardware attraverso strumenti informatici decentralizzati.
I servizi di cloud computing consentono a tutti gli utenti che ne fanno richiesta di accedere a tecnologie avanzate (quali reti, server, storage, applicazioni e servizi) senza dover sostenere sforzi economici significativi (ma solo un abbonamento, piuttosto modico) e possono essere offerti congiuntamente dallo stesso fornitore (anche denominato provider) o, come di consueto, da diversi fornitori (che vendono i loro servizi sulla piattaforma del provider).

Indice

1. La protezione dei dati personali affidati al cloud


[1] [2]Un profilo di particolare rilevanza in materia di cloud computing riguarda la tutela della riservatezza dei dati personali. Il modello in questione prevede il trasferimento dei dati, generando molto spesso una circolazione transfrontaliera degli stessi.
Come è stato correttamente sottolineato[3], invero, il modello di distribuzione dei servizi IT è stato facilitato dalla velocità delle connessioni di rete e dalla possibilità di aggregare una quantità di potenza di calcolo, prima inimmaginabile, in enormi data center.
I fornitori di servizi cloud dispongono di data farm’ dislocate in varie parti del mondo, gestite secondo criteri di efficienza che implicano la mobilità dei dati archiviati nel ‘cloud’: questi dati, difatti, non risiedono stabilmente nello stesso server, ma vengono continuamente spostati da un server all’altro in base alla loro allocazione ottimale, in modo da ottenere una migliore gestione delle risorse IT.
Questo processo, tuttavia, può portare alla violazione della riservatezza non solo dei dati personali degli utenti, ma anche di interi database, ad esempio di operatori telefonici o di istituti di credito[4]. Ergo, nel caso in cui un cliente si avvalga di servizi di archiviazione dei dati sul cloud, i rischi di un attacco o di un accesso non autorizzato da parte di terzi aumenterebbero, soprattutto nel caso in cui il trasferimento dei dati avvenisse al di fuori dei confini europei.

2. GDPR e cloud computing


L’esigenza di proteggere i dati personali richiede l’individuazione di un titolare del trattamento che sia responsabile per eventuali violazioni del Regolamento generale sulla protezione dei dati che devono ricevere protezione indipendentemente dal territorio degli Stati (art. 3 GDPR).
Il problema dell’effettiva applicazione della tutela si sposta quindi dalla difficoltà di imporre la norma legislativa a quella di individuare il titolare del trattamento, la cui identificazione non è sempre facile ed immediata.
In realtà, nella pratica, sembra esserci una certa distanza tra il titolare del trattamento ai sensi dell’art. 4(7) GDPR (solitamente l’azienda cliente che si affida ad un fornitore di servizi cloud) e il responsabile del trattamento ai sensi dell’art. 4(8) (il fornitore di servizi cloud): dato che il settore in questione è spesso caratterizzato dall’esternalizzazione dei servizi, in sostanza, più lunga è la “catena” del cloud, più difficile diventa per il titolare del trattamento garantire la conformità al GDPR.
La crescente adozione di architetture operative che prevedono la compartimentazione e la suddivisione delle funzioni relative al trattamento dei dati, con competenze integrate e concorrenti, vede, infatti, la presenza di una pluralità di titolari del trattamento e un’integrazione delle rispettive competenze, relegando spesso la funzione del titolare del trattamento ad un ruolo più formale che sostanziale. Quest’ultimo, nelle organizzazioni complesse, ha il compito di definire le finalità del trattamento ed è responsabile in caso di trattamento illecito, ma spesso è privo di effettivo potere di determinazione e controllo sulle modalità di trattamento delegate a terzi[5].
Il flusso di dati risultante dalla fornitura di servizi di cloud computing può essere qualificato come un flusso tra due titolari autonomi del trattamento dei dati o tra un titolare del trattamento dei dati e un responsabile del trattamento dei dati. Nel primo caso, l’autonomia delle parti escluderebbe la responsabilità del cliente per qualsiasi illecito da parte del fornitore di servizi cloud; quando, d’altro canto, il fornitore del servizio cloud è considerato un autonomo titolare del trattamento, il cliente non avrebbe più alcuna funzione di gestione in relazione al trattamento dei dati effettuato tramite il servizio.

Potrebbero interessarti anche:

3. Il ruolo del fornitore (o provider) nella protezione dei dati


Si è molto dibattuto sulla qualificazione giuridica del fornitore, cioè se questa figura contrattuale possa essere ricondotta al ruolo di titolare o di responsabile del trattamento.
In virtù della natura dell’attività professionale esercitata dal fornitore di servizi cloud, la tesi maggioritaria tendeva ad attribuirgli la qualifica di responsabile del trattamento, cioè di soggetto giuridico incaricato, dal cliente, della conservazione dei dati, come se fosse una sorta di mandatario proprio in ragione della natura dell’attività espletata.
Al contrario, nelle relazioni business-to-business (B2B), l’utente del cloud ha lo status di ‘controller’, cioè di titolare del trattamento dei dati.
Tuttavia, a ben vedere, la qualificazione del fornitore di servizi cloud come responsabile del trattamento non può essere riconosciuta a priori: ciò sembrerebbe dipendere dal margine di potere contrattuale riconosciuto all’utilizzatore del cloud in sede di predisposizione della regolamentazione contrattuale.
Difatti, è possibile ricorrere alla figura dei cosiddetti “contitolari del trattamento” prevista dall’articolo 26 GDPR.
Il co-trattamento si realizza ogniqualvolta due o più titolari del trattamento determinino congiuntamente finalità e mezzi del trattamento: ciò è particolarmente opportuno per la gestione dei servizi di cloud computing dove può sussistere il rischio di confusione tra i vari ruoli[6].
Il GDPR è intervenuto in maniera molto marcata nella definizione degli obblighi a carico del fornitore, prevedendo agli articoli 28, 32 e 34 una serie di accorgimenti e misure di sicurezza tecniche e organizzative[7] che ciascun responsabile è tenuto ad adottare affinché i trattamenti offerti nell’erogazione del servizio possano soddisfare i requisiti dettati dal Regolamento stesso, al fine di garantire la massima tutela dei diritti degli interessati dal trattamento.

4. La figura del “cliente professionale”


Il tema della protezione dei dati personali diventa ancora più complesso quando il titolare del trattamento, in quanto professionista-imprenditore, utilizza servizi cloud per archiviare dati personali di terze parti. Aziende e professionisti, infatti, si affidano sempre di più alla tecnologia cloud per gestire aspetti del proprio business, esternalizzando l’archiviazione di documenti contenenti dati, anche sensibili, sia dei propri partner commerciali e/o collaboratori subordinati, sia dei propri clienti.
In questo contesto, quindi, è il cliente professionale che, nella scelta di un determinato servizio tra quelli disponibili sul web, definisce autonomamente le modalità di gestione ed il regime di sicurezza a cui sottoporre le informazioni in suo possesso. Ivi, allora il titolare dovrà aver cura di acquisire il consenso del diretto interessato al trattamento, anche prima di affidare tali dati al responsabile o, ancora, ad eventuali sub-responsabili.
Ciò nonostante, se a livello teorico è facile dedurre che l’onere ricada sul titolare del trattamento, nella pratica potrebbe risultare difficoltoso per quest’ultimo predisporre documenti informativi completi da sottoporre al diretto interessato del trattamento, in assenza del supporto e della collaborazione del fornitore del servizio cloud.
Occorre inoltre rilevare che, sebbene sia stata riconosciuta la possibilità di istituire tali reti di sub-responsabili nei rapporti B2B, il GDPR, finalizzato alla tutela dei dati personali delle persone fisiche, ne pone principalmente la responsabilità sul titolare del trattamento o, nel contesto cloud, sul cliente professionale.
La norma può essere desunta da una lettura dell’articolo 28(1) GDPR, che impone al titolare del trattamento l’obbligo di scegliere solo “responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato”, a pena di responsabilità e/o corresponsabilità[8]

5. Responsabilità e risarcimento dei danni ai sensi del GDPR


Per quanto riguarda, invece, il profilo sanzionatorio, l’art. 82 GDPR ha previsto due forme di responsabilità: una a carico del titolare del trattamento che risponde del danno cagionato dal suo trattamento in violazione del GDPR; l’altra a carico del responsabile che risponde del danno cagionato in caso di inosservanza degli obblighi previsti dal GDPR e ad esso specificatamente diretti o quando ha agito in modo non conforme o contrario alle legittime istruzioni del titolare del trattamento[9].
In quest’ultima ipotesi, nei rapporti B2B in ambito cloud, il responsabile del trattamento è tenuto a risarcire i danni, anche non patrimoniali, subiti dall’interessato, oltre a rispondere delle eventuali sanzioni amministrative irrogate dalle competenti autorità di controllo.

6. Conclusioni e possibili prospettive dirimenti


L’impressione che si ricava da queste premesse relative alle problematiche giuridiche del cloud, osservate attraverso il prisma privatistico, è quella di un tema che appare meritevole di ulteriori approfondimenti e analisi, data anche la rapidità dell’evoluzione tecnologica e legislativa.
Invero, oltre al ruolo svolto dalla normativa europea, sembrerebbe opportuno implementare uno schema contrattuale al fine di una migliore regolamentazione del cloud computing[10].
Dall’analisi della prassi commerciale emerge inoltre l‘assenza di qualsiasi tipo di garanzia, l‘esclusione di responsabilità per danni causati all’utente e la presenza di clausole limitative l’identificabilità dell’entità dei danni provocati dal fornitore del servizio cloud. La definizione del regime normativo, difatti, rappresenta un passaggio di fondamentale importanza: il provider è spesso localizzato oltre i confini nazionali, e i dati degli utenti vengono inviati, tramite la rete, a sistemi ubicati in Paesi il cui ordinamento giuridico prevede un regime di tutela della privacy inferiore rispetto a quello europeo.
È quindi necessario cercare di costruire una struttura negoziale equilibrata che consenta al cliente di avere maggiore certezza.
Poiché le soluzioni offerte nell’ambito del cloud computing sono rappresentate da un’ampia varietà di possibili modelli di servizio, combinazioni di tecnologie rese disponibili e software adottati, sarà necessario esplicitare nel contratto tutti i presupposti alla base della scelta della soluzione adottata e del fornitore del servizio.
Uno scenario alternativo o quantomeno concorrente, allora, potrebbe essere quello di ipotizzare una forma di ‘co-regolamentazione[11]’,in cui le regole siano suggerite dal mercato (magari attraverso il contributo degli stakeholders del settore, come la Cloud Security Alliance, e degli studiosi del diritto delle nuove tecnologie) e condivise dalle autorità di settore, secondo lo schema del ‘circolo regolatorio[12].
Si tratta, cioè, di un meccanismo che parte dal basso, dalla spinta regolativa del mercato, e introduce nel sistema delle regole – o quantomeno delle linee guida immediatamente operative – che possono poi, se necessario, essere prese in considerazione dal legislatore e tradotte in precetti normativi[13].
Nella letteratura americana, l’elaborazione di linee guida di “best practice” è vista come un modo positivo per regolamentare efficacemente tali rapporti contrattuali, in particolare per facilitare la portabilità dei dati nel cloud[14]: a ben vedere, i codici di condotta possono essere utili anche, più in generale, per definire meglio la politica del fornitore di servizi cloud in materia di conservazione dei dati personali degli utenti.

Ti interessano questi temi?


Salva questa pagina nella tua Area riservata di Diritto.it e riceverai le notifiche per tutte le pubblicazioni in materia.
Inoltre, con le nostre Newsletter riceverai settimanalmente tutte le novità normative e giurisprudenziali!
Iscriviti!

Iscriviti alla newsletter
Iscrizione completata

Grazie per esserti iscritto alla newsletter.

Seguici sui social


Bibliografia

    • Bassan F., “Potere dell’algoritmo e resistenza dei mercati in Italia”, Rubbettino, 2019.
    • Busca N., “Cloud computing e tutela della privacy nei rapporti commerciali B2B”,  in Studium juris, 2020, 26(11), 1336.
    • Di Giacomo L., “Cloud computing: che cos’è come funziona e perché conviene usarlo”, in diritto.it, 04/03/24.
    • Frosini T.E., “Il costituzionalismo nella società tecnologica”, in Dir. inf., 36(39), 2021, 474.
    • Malvagna U., Rabitti M., “Filiere produttive e Covid-19: tra rinegoziazione e co-regolamentazione”, in Nuovo dir. civ., 4(3), 2020, 369 ss.
    • Mantelero A., “GDPR tra novità e discontinuità – Gli autori del trattamento dati: titolare e responsabilità”, in Giur. it., 171(12), 2019, 2778.
    • Mantelero A., “La privacy all’epoca dei big data”, in V. Cuffaro, R. D’Orazio e V. Ricciuto (a cura di), “I dati personali nel diritto europeo”, Giappichelli, 2019, 1216.
    • Trubiani F., “I contratti di cloud computing: natura, contenuti e qualificazione giuridica”, in Dir. inf., 38(2), 2022, 395 ss.
    • Valle L. e altri, “Struttura dei contratti e trattamento dei dati personali nei servizi di cloud computing alla luce del nuovo Reg. 2016/679 UE” , in Contr. impr. Eur., 18(1), 2018, 399.
    • Żok K., “Cloud Computing Contracts as Contracts For The Supply Of Digital Content: Classification and Information Duty”, in Masaryk University Journal of Law and Technology, 13(2), 2019, 151.
    • Zoppini A., “Il diritto privato e i suoi confini”, Il Mulino, 2020, 28 ss.

    Note


    [1] Invero, il mercato del cloud è cresciuto in Italia, nel 2024, del 24% rispetto all’anno precedente, raggiungendo un valore di 6,8 miliardi di euro (dati del Report 2024 dell’Osservatorio Cloud Transformation del Politecnico di Milano).
    [2] Per un approfondimento si veda L. Di Giacomo, “Cloud computing: che cos’è come funziona e perché conviene usarlo”, in diritto.it, 04/03/24.
    [3] A. Mantelero, “La privacy all’epoca dei big data”, in V. Cuffaro, R. D’Orazio e V. Ricciuto (a cura di), “I dati personali nel diritto europeo”, Giappichelli, 2019, 1216.
    [4] T.E. Frosini, “Il costituzionalismo nella società tecnologica”, in Dir. inf., 36(39), 2021, 474.
    [5] A. Mantelero, “GDPR tra novità e discontinuità – Gli autori del trattamento dati: titolare e responsabilità”, in Giur. it., 171(12), 2019, 2778.
    [6] L. Valle e altri, “Struttura dei contratti e trattamento dei dati personali nei servizi di cloud computing alla luce del nuovo Reg. 2016/679 UE” , in Contr. impr. Eur., 18(1), 2018, 399.
    [7] Le misure di sicurezza imposte dal GDPR includono: la pseudonimizzazione, la cifratura dei dati personali, la capacità di garantire la riservatezza, l’integrità, la disponibilità e la resilienza di sistemi e servizi in via permanente, la capacità di ripristinare la disponibilità e l’accesso ai dati in caso di interruzioni fisiche o tecniche. Su questo punto, il Gruppo di lavoro per la protezione dei dati dell’articolo 29 della direttiva 95/46/CE aveva già espresso il proprio parere nel 2010 (parere n. 3 del 2010) secondo cui era necessario adottare un processo volto all’adozione di misure giuridiche, organizzative e tecniche per la protezione dei dati personali, anche attraverso l’elaborazione di specifici modelli organizzativi, volti anche a dimostrare che le operazioni di trattamento dei dati già effettuate erano state eseguite nel rispetto del Regolamento europeo sulla privacy allora vigente.
    [8] Sul punto, si veda la decisione dell’Autorità svedese per la protezione dei dati, dell’11 dicembre 2020, (disponibile su https://edpb.europa.eu/news/national-news/2020/university-failed- sufficiently-protect-sensitive-personal-data_it) che ha multato l’Università di Umeå di 550.000 corone svedesi per violazione delle normative sulla protezione dei dati. Nello specifico, tuttavia, non è stata imposta alcuna sanzione ai sensi del GDPR poiché gli eventi si erano verificati prima della sua entrata in vigore. L’Università di Umeå, tra le altre violazioni, avrebbe elaborato ed archiviato i dati personali, relativi alla vita sessuale e alla salute, dei suoi dipendenti nel servizio cloud di una nota azienda americana, senza designare un responsabile del trattamento appropriato. La decisione del Garante svedese della protezione dei dati appare rilevante in quanto segue le orme della nota sentenza “Schrems II” (Corte di Giustizia Europea, 16 luglio 2020, C-3111/18) sostenendo che il trasferimento di dati personali in un cloud situato negli Stati Uniti innescherebbe di per sé un rischio elevato per tali dati poiché gli interessati sarebbero limitati nella loro capacità di far valere i propri diritti.
    [9] N. Busca, “Cloud computing e tutela della privacy nei rapporti commerciali B2B”,  in Studium juris, 2020, 26(11), 1336.
    [10] F. Trubiani, “I contratti di cloud computing: natura, contenuti e qualificazione giuridica”, in Dir. inf., 38(2), 2022, 395 ss.
    [11] Il termine “co-regolamentazione” è per sua natura ambiguo. L’espressione è spesso utilizzata come termine generico per riferirsi a forme di cooperazione tra mercato e autorità che sono strumentali al perseguimento di obiettivi regolatori. La co-regolamentazione è generalmente intesa come una forma di regolamentazione degli stakeholder che è promossa, indirizzata, guidata o controllata da una terza parte (sia essa un organismo ufficiale o un regolatore indipendente) solitamente dotata di poteri di scrutinio, controllo e, in alcuni casi, sanzionatori. Sul problema della co-regolamentazione si veda U. Malvagna, M. Rabitti, “Filiere produttive e Covid-19: tra rinegoziazione e co-regolamentazione”, in Nuovo dir. civ., 4(3), 2020, 369 ss.
    [12] F. Bassan, “Potere dell’algoritmo e resistenza dei mercati in Italia”, Rubbettino, 2019.
    [13] D’altro canto, come ha sottolineato A. Zoppini, “Il diritto privato e i suoi confini”, Il Mulino, 2020, 28 ss., vi sono regole e principi (come quelli condivisi nel commercio internazionale) che si impongono nei rapporti privati con la loro stessa forza e che, in quanto riconosciuti e condivisi, svolgono una funzione normativa indipendentemente dalla loro adozione formale.
    [14] K Żok, “Cloud Computing Contracts as Contracts For The Supply Of Digital Content: Classification and Information Duty”, in Masaryk University Journal of Law and Technology, 13(2), 2019, 151.

    Fabiana Magnolo

    Scrivi un commento

    Accedi per poter inserire un commento