“Safe Harbor” e gestione dei dati nel Cloud Computing
A fronte di ampia divulgazione dei servizi di Cloud Computing, occorre tener presente di alcuni (forse apparenti …) ostacoli da affrontare sul fronte legale, soprattutto alla luce di temi legati alla sicurezza ed alla Privacy, nonché all’allocazione territoriale dei dati.
Proprio la Privacy pone maggiori interrogativi. I trattamenti di dati personali richiedono un diligente studio dei rischi legati alla sicurezza e alla fruibilità delle informazioni, indipendentemente dalle modalità con le quali verranno trattati i dati.
Per quanto riguarda i rischi relativi al Cloud Computing anche il Garante per la protezione dei dati personali sottolinea la necessaria e specifica attenzione in diversi punti, tra i quali i più problematici sono il fatto che “l’utente, affidando i dati ai sistemi di un fornitore remoto, ne perde il controllo diretto ed esclusivo; la riservatezza e la disponibilità delle informazioni allocate sulla nuvola certamente dipendono anche dai meccanismi di sicurezza adottati dal service provider”; e che “la conservazione dei dati in luoghi geografici differenti ha riflessi immediati […] in relazione alle disposizioni nazionali che disciplinano il trattamento, l’archiviazione e la sicurezza dei dati” .
In relazione a questi punti una soluzione è stata individuata nella possibilità di applicare i principi di “Safe Harbor” (approdo sicuro) , individuati direttamente in un protocollo sviluppato dal US State Department, il 26 luglio 2000, in collaborazione con l’Unione Europea a seguito della direttiva 95/46/CE del Parlamento europeo e del Consiglio, la quale ultima dispone che i dati personali possano essere trasferiti solamente in paesi non appartenenti all´UE che garantiscano un livello “adeguato” di protezione della riservatezza. In sostanza, in relazione ai principi di approdo sicuro, una volta che una società statunitense è “certificata Safe Harbor”, si ritiene automaticamente “adeguata” da parte dell’UE per quanto riguarda la conservazione e il trattamento dei dati personali e sensibili provenienti dall’Europa.
I principi di “Safe Harbor” sono sostanzialmente sette e rispecchiano, su grandi linee, la direttiva in materia di protezione dei dati personali decreto legislativo 196 del 2003, appunto Decreto Privacy.
Tra gli stessi si evidenzia, in primo luogo, il dovere di informativa in merito al trattamento dati, seguendo il primo principio, le organizzazioni devono informare i singoli individui in merito “alle finalità per cui vengono raccolte e utilizzate le informazioni su di essi” oltre “alle modalità per contattare le organizzazioni in relazione ad eventuali quesiti o reclami, alla tipologia dei terzi a cui vengono fornite le informazioni […]”.
Il “Safe Harbor” poi tratta , nel secondo principio, l’obbligatorietà del consenso (chiamandolo “Scelta”), al trattamento da parte del diretto interessato. Le organizzazioni hanno l’obbligo di dare agli interessati la possibilità di scegliere (facoltà di rifiuto) se le informazioni personali che li riguardano vadano “(a) rivelate a terzi; ovvero (b) utilizzate per fini incompatibili con quelli per cui le informazioni stesse erano state originariamente raccolte o con quelli successivamente autorizzati dall´interessato”.
Analizzando il termine “terzo”, in questo caso, esso si riferisce ad un soggetto totalmente esterno all’organizzazione, e non al “terzo” che “agisce in qualità di rappresentante per eseguire uno o più compiti a nome dell´organizzazione ed obbedendo ad istruzioni da essa ricevute” (in un pratico esempio, potrebbe rientrare in quest’ultima definizione di “terzo”, il dottore commercialista, il consulente del lavoro, etc.). Il secondo principio, a tal riguardo, sostiene che al trasferimento dati, verso questi soggetti, “si applica per contro il principio del trasferimento successivo”, secondo il quale, il consenso non è richiesto quando tali rappresentanti “aderiscono ai principi dell´approdo sicuro, o rientrano nel campo d´applicazione della direttiva o di un´altra forma d´accertamento dell´idoneità, ovvero di stipulare con i terzi un accordo scritto che comporti per essi l´obbligo di offrire almeno lo stesso livello di protezione della riservatezza richiesto dai relativi principi”(ex terzo principio “Safe Harbor”).
In ordine al dovere di assicurare la sicurezza dei dati, il “Safe Harbor”, marca, poi, la necessità che le organizzazioni garantiscano sia la protezione dei dati personali “da perdita ed abusi nonché da accesso, rivelazione, alterazione e distruzione non autorizzati” (ex quarto principio), sia comunque, la possibilità agli individui (diretti interessati) di “accedere alle informazioni personali che li riguardano in possesso di una data organizzazione, ed altresì poterle correggere, emendare o cancellare” (ex sesto principio).
Considerato quanto sopra detto, si può confermare la convergenza dei principi “Safe Harbor” alle disposizioni normative EU in materia di Privacy. L’applicazione del “Safe Harbor” quindi al Cloud Computing renderebbe un po’ più sicura la possibilità di affidare i dati personali e sensibili a soggetti terzi, che, appunto, offrono risorse hardware e software distribuite in remoto e virtualizzate in Rete per la conservazione e la trasmissione dei dati personali e sensibili all’estero, in questo caso verso l’America. Tuttavia bisogna prestare attenzione, perché questo non significa che tutti i problemi relativi alla sicurezza dei dati, nell’ambito del Cloud Computing, siano risolti.
Primo perché le aziende USA non sono affatto considerate per essere campioni della riservatezza e tutela dei dati. Per una società statunitense che cerca di fare affari in Europa il “Safe Harbor” suona come un sogno che diventa realtà, infatti basta trovare un provider “certificato Safe Harbor” negli USA ed il gioco è fatto. Ancora i principi “Safe Harbor” non sono estensibili ad altri Paesi extra Ue. E terzo, l´Autorità Garante tedesca – con una pronuncia del 18 giugno 2010 – si è espressa nel senso di ritenere i principi sanciti dal Safe Harbor non idonei ad offrire adeguate garanzie di protezione dei dati nel contesto dei servizi Cloud. E’ consigliabile quindi, nel caso di utilizzo del Cloud Computing, scegliere server che siano fisicamente siti in territorio europeo ed il problema normativo viene a risolversi completamente.