Privacy, conservazione dei dati, diritto applicabile, responsabilità e protezione dei consumatori: queste le tematiche principali che la Commissione Europea intende affrontare con la massima priorità in materia di sviluppo tecnologico, con particolare riferimento al cloud computing. In attesa che sia reso noto nei prossimi giorni, sappiamo che il piano europeo si pone come obiettivo quello di sostenere e promuovere l’utilizzo della “nuvola” nelle imprese e nelle pubbliche amministrazioni, attraverso l’impiego della memorizzazione o archiviazione esterna dei dati nel tentativo di limitare i costi delle tecnologie dell’informazione e creare nuove opportunità di lavoro. Affrontare e adeguare ai nuovi standard i diversi aspetti normativi attuali costituisce il primo passo da compiere per attuare tale strategia e realizzare concretamente sistemi basati su accessibilità, efficienza e sicurezza dei processi informatici, esigenze che non possono più essere ignorate. Conto alla rovescia anche per l’entrata in scena del framework per i servizi mobili, pensato per salvaguardare la sicurezza degli accessi alle applicazioni mobili e alle API sul cloud.
Interoperabilità, standardizzazione, portabilità dei dati e i problemi connessi al furto d’identità sono altre questioni che richiederanno il massimo impegno da parte delle autorità competenti, nell’ottica di un rafforzamento del potenziale del cloud computing considerato, a buon diritto, il futuro delle amministrazioni e delle imprese, sia sul piano pubblico che privato. Il documento infatti pone l’accento sui doveri degli Stati membri, i quali “dovrebbero ricorrere alle tecnologie cloud nel settore pubblico sulla base di approcci comuni che permetteranno di aumentare le performance e ridurre i costi di gestione”. Proprio nell’ottica di rendere più agevole l’ utilizzo della nuvola da parte degli utenti, la Commissione Europea punta molto sulla standardizzazione e la governance globale del cloud, delegando all’ETSI (Istituto Europeo per gli Standard nelle Telecomunicazioni) lo sviluppo e il coordinamento di standard comuni e le relazioni con USA e Giappone, in vista di un’adozione di modelli uniformi sul piano della fiscalità dei servizi, della sicurezza e dei flussi di dati internazionale.
Sul fronte della protezione dei dati, la Commissione Europea dedica ben tre capitoli distinti alle questioni del diritto d’autore, della standardizzazione e delle sicurezza, con tanto di linee guida sull’applicazione del diritto europeo in materia di data protection, competenza giuridica e diritto applicabile.
Sull’aspetto della sicurezza occorre ricordare come recentemente in Italia sia intervenuta l’Autorità Garante per la protezione dei dati personali emanando le linee guida in materia di cloud computing. Secondo le linee guida, anzitutto occorre riconoscere il ruolo del Fornitore esterno mediante il rilascio di una apposita nomina a responsabile dei dati. La nomina ovviamente non può e non deve limitarsi ad essere un mero atto di formalizzazione ma deve avere contenuti atti a garantire al Titolare (colui che pone i dati in cloud) la presa in carico effettiva di oneri di protezione dei dati da parte del Fornitore. Ricordiamo che da sempre un principio razionale del Codice Privacy è stato quello di adottare un criterio da parte del Titolare, atto a garantire che le misure a protezione dei dati che dovrebbe attuare, in caso di esternalizzazione, siano garantite dal soggetto terzo che prende i dati in carico. Un aspetto singolare nelle linee guida è la precisazione che viene fatta dall’Autorità laddove indica necessario negoziare ma soprattutto ottenere le massime garanzie dal Fornitore anche se internazionale, senza poter addurre come esimente il fatto che i dati siano sottoposti all’estero a ben altra disciplina. La selezione del paese estero, se extraeuropeo, comporta l’onere di verificare preliminarmente la tipologia di normativa o comunque tutela che viene applicata dal paese di destinazione materiale per l’allocazione dei dati. L’adozione del sistema cloud poi non deve certo pregiudicare i diritti dell’interessato, dovendo pertanto essere onere del Titolare verificare costantemente disponibilità ed immediata reperibilità dei dati in caso di esercizio dei diritti di cui all’art. 7 del Codice privacy.
A parte le indicazioni delle linee guida, non dobbiamo dimenticare che pur dovendo garantire la sicurezza dei dati personali, è forse opportuno che il Titolare consideri che alla fine sono le informazioni aziendali nel loro complesso ad essere “esternalizzate” e quindi l’intervento di tutela non può e non deve arrestarsi all’ambito della privacy, ma deve necessariamente estendersi alle informazioni aziendali nella loro interezza.
Ecco quindi la necessità di analizzare bene il contratto standard che ci proporrà il Fornitore. Spesso il concetto di analisi si riduce a concludere che “questo è il loro contratto, possiamo farci poco”. In realtà il concetto è riduttivo, in quanto nella fase di scelta del Fornitore una analisi un po’ più approfondita potrà evitarci grosse magagne future.
Si pensi anzitutto alla fase di migrazione dei dati il giorno che interromperemo i rapporti con quel Fornitore: la mancata contemplazione di apposite clausole in merito a tempistiche, disponibilità dei dati, garanzie da perdite o danneggiamenti e non in ultimo, la mancanza di impegno da parte del Fornitore alla cancellazione dei dati in modo definitivo una volta migrati, non sono aspetti da tralasciare. Alcuni Fornitori internazionali ad esempio sono certificati 27001, e questo certamente la dice lunga sull’attenzione posta alle informazioni aziendali gestite in cloud.
L’altro aspetto da considerare è la verifica della destinazione geografica dei dati. È vero che così ragionando si snatura il concetto di cloud, ma è anche vero che se ieri avessi appoggiato i miei dati in paesi oggi a rischio di guerre civili, o con regimi ad alto rischio, oggi probabilmente non dormirei sonni tranquilli. Consideriamo ad esempio che un conto è avere i dati in Europa, un conto è averli in location extra-europee, dovendo differenziare ad esempio tra Stati Uniti – dove vige il Safe Harbor – e paesi nei quali il concetto di proprietà dei dati è labile.
Insomma, il cloud è il futuro secondo molti, e ci sono ampie possibilità che questo sia vero, ma questa evoluzione non deve essere affrontata con leggerezza, né sotto il profilo formale giuridico né sostanziale nel controllare tutti i parametri di garanzia dovuti. In ambito europeo è per l’appunto all’analisi il famigerato Regolamento che andrà a disciplinare l’argomento privacy in modo meno formale e più sostanziale (e sostanzioso, a quanto sembra) ed uno degli argomenti centrali è proprio il cloud, consapevoli che il frazionamento normativo a livello europeo ormai non è più sostenibile.
Avv. Valentina Frediani
www.consulentelegaleinformatico.it