Home / Blog / Il cloud computing come servizio tecnologico esternalizzato: profili privacy

Il cloud computing come servizio tecnologico esternalizzato: profili privacy

Inserito da Valentina Frediani 13 Giugno 2013 in Cloud, Privacy e tutela delle informazioni

Cloud e dati al sicuroIl cloud computing è un sistema ed un concetto in piena evoluzione, il cui utilizzo nel panorama aziendale ha sempre maggior successo.
Dietro al concetto di “nuvola informatica”(questa la traduzione di cloud computing) vi sono un insieme di tecnologie che permettono, tipicamente sotto forma di un servizio offerto da un provider al cliente, di memorizzare, archiviare e elaborare dati grazie all’utilizzo di risorse hardware  o software distribuite in rete.
Esistono varie tipologie di cloud computing: si parla di public cloud quando ci si basa su di un modello standard di cloud computing, nel quale un provider rende disponibili al pubblico sul Web delle risorse come applicazioni o capacità di archiviazione; al contrario il  private cloud è basato su di una rete o un  data center di proprietà che utilizzino tecnologie di cloud computing, quali ad esempio la virtualizzazione. Caratterisca identificativa del private cloud è il fatto che quest´ultimo sia gestito direttamente dalla stessa azienda che lo utilizza. Infine il  cloud ibrido che si basa sulla combinazione dei due sistemi sopraesposti.

Per quanto invece riguarda le tipologie di servizi che vengono forniti tramite il cloud computing si parla di tre differenti modalità:

  • il Software as a service(Saas) in cui il servizio si costituisce nell´utilizzo di programmi installati su di un server remoto, non utilizzando quindi programmi fisicamente presenti sul computer;
  • Data as a service(Daas) che consiste in un servizio che rende disponibile, tramite il web, l´accesso degli utenti a dati tramite qualsiasi applicazione come se l´utente stesso li avesse sul proprio pc;
  • Hardware as a service ovverosia un servizio tramite il qule l´utente invia dati ad un computer affinché un terzo computer li elabori

Le classificazioni sustanti sono propedeutiche ad una analisi degli aspetti contrattuali e delle “vulnerabilità” giuridiche che potrebbero essere connesse ad una cattiva gestione dei contenuti degli accordi.

Intanto partiamo individuando i soggetti che possono stipulare i contratti che andremo ad analizzare. Le figure sono principalmente tre: il Fornitore di servizi, il cliente amministratore ed il cliente finale. Il fornitore offre dei servizi come la gestione fisica del server, funzioni di storage, l´utilizzo di applicazioni complete, secondo un modello esemplificabile con il “pay per use”; il cliente amministratore sceglie e configura i servizi offerti dal fornitore, offrendo generalmente un valore aggiunto come  le applicazioni software. Infine il cliente finale è colui che utilizza i servizi “finiti” come configurati dal cliente amministratore e predisposti dal fornitore.
Sotto il profilo privacy, un passaggio rilevante è quello connesso alla paternità dei dati destinati al cloud: è sempre opportuno regolamentare, per iscritto, gli aspetti riguardanti la proprietà dei dati (e dei software eventualmente utilizzati); è consigliabile indubbiamente statuire la proprietà dei beni utilizzati per la fornitura del servizio oltre che affermare con certezza il diritto alla restituzione dei dati oggetto di trasferimento o comunque utilizzati, una volta che si estingua il rapporto.

Preme evidenziare come sia necessario porre attenzione – e dunque apporre specifiche clausole – per quanto riguarda la proprietà di marchi, brevetti e dei codici sorgenti dei programmi utilizzati, affinché non sorgano successive controversie sull’effettiva proprietà.
Dal punto di vista della privacy preliminarmente appare opportuno siglare un accordo che vincoli il fornitore di servizi alla segretezza dei dati trattati, anche in funzione di una protezione di informazioni preziose per l’azienda (si pensi al know-how).
E poi imprescindibile la nomina, nel caso dei fornitori, a responsabile del trattamento ed il conseguente rispetto, soprattutto ma non solamente, delle norme del D.lgs 196/2003 che regolano le modalità di trattamento e le misure di sicurezza da adottare per proteggere i dati trattati.

Nel caso, non infrequente, di trasferimento dei dati personali all’estero bisogna innanzitutto considerare il paese destinatario: se infatti si trattasse di paesi facenti parte dell´Unione Europea la libera circolazione dei dati non porrebbe limite alcuno al trasferimento (esistono servizi cloud che tramite Privacy Level Agrement, permettono di circoscrivere la circolazione dei dati  nei confini UE).
Se non si ha la certezza della permanenza dei dati entro i succitati confini e il paese destinatario non ha un c.d. Livello adeguato (come ad esempio Svizzera, Canada o Argentina i  cui sistemi di protezione e trasmissione dei dati garantiscono  un livello di sicurezza ritenuto adeguato e conforme a quello mantenuto all´interno dell´UE) sarà invece necessario adottare alcuni accorgimenti: l’ottenimento del consenso da parte dell´interessato, la creazione di contratti ad hoc che regolino tali aspetti consentendo il mantenimento dei livelli di protezione richiesti o ancora il ricorso ai c.d. “safe harbor” (accordi internazionali che settano degli standard comuni rispettati dai firmatari come forma di garanzia per il trasferimento i dati).

Ulteriore attenzione deve prestarsi nel caso in cui si decida di cambiare fornitore di servizio, al fine di garantirsi una qualsiasi forma di assistenza per il trasferimento dei dati dopo che il contratto sia venuto meno. Senza poi dimenticare l´inserimento di una clausola che ponga il divieto di subappaltare il servizio fornito, in modo tale da non frammentare troppo la fornitura e perdere il controllo dei dati trattati.
Per quanto riguarda la legge applicabile ai fini di eventuali controversie derivanti dal contratto è necessario accertarsi della collocazione dei server, perché si possa dare esecuzione ai provvedimenti emessi da tribunali italiani sarà necessario che i server si trovino dove il giudice italiano è competente. Se così non fosse per la determinazione del foro competente e soprattutto delle norme applicabili si dovrà seguire il criterio dello stabilimento del Titolare secondo il quale si applica la legge del territorio nel quale il Titolare ha il proprio stabilimento principale, indipendentemente dalla dislocazione dei vari server. In subordine, se non vi siano cioè stabilimenti nel territorio dell´UE, si adotterà il principio secondo il quale la competenza si determina sulla base del luogo dove si trovano gli strumenti utilizzati per il trattamento.

In merito al trasferimento transfrontaliero dei dati il “nostro” Codice della privacy regola sia l´eventualità che i dati vengano trasferiti all´interno dell´Unione sia il caso in cui vengano trasferirti verso paesi terzi(non facenti parte dell´UE).
L´articolo 42  regola il primo caso, sancendo la ibera circolazione dei dati,”Le disposizioni del presente codice non possono essere applicate in modo tale da restringere o vietare la libera circolazione dei dati personali fra gli Stati membri dell´Unione europea…”. Risulta evidente come non vi siano particolari ostacoli al trasferimento di dati, purché tutelate dalle disposizioni  della Direttiva 95/46 e dunque facenti parte dell´Unione.

Più complesso il caso del trasferimento verso paesi terzi, in quanto l´articolo 43 prevede delle restrizioni consentendo il trasferimento solo quando:
• l´interessato ha manifestato il proprio consenso espresso o, se si tratta di dati sensibili, in forma scritta;
• è necessario per l´esecuzione di obblighi derivanti da un contratto
• è necessario per la salvaguardia di un interesse pubblico
• è necessario per la salvaguardia della vita o dell´incolumità fisica di un terzo
• è necessario ai fini dello svolgimento delle investigazioni difensive
• è effettuato in accoglimento di una richiesta di accesso ai documenti amministrativi
• è necessario per esclusivi scopi scientifici o statistici, ovvero per esclusivi scopi storici
• il trattamento concerne dati riguardanti persone giuridiche, enti o associazioni.

Dunque i casi in cui è possibile un trasferimento sono tassativamente enumerati nel Codice ed anzi all´articolo 45 si fa un esplicito divieto di trasferire dati personali qualora “l´ordinamento del Paese di destinazione o di transito dei dati non assicura un livello di tutela delle persone adeguato”.

Continuando nell´analisi si ponga particolare attenzione alla figura dei responsabili, i quali come sappiamo determinano le condizioni e mezzi con cui si volge il trattamento e possono essere affiancati da dei corresponsabili, che determinano, per iscritto, le rispettive responsabilità in merito al rispetto degli obblighi derivanti dal presente regolamento, con particolare riguardo alle procedure e ai meccanismi per l´esercizio dei diritti dell´interessato. Si noti bene che nel caso in cui  dalle documenti che regolano tale distribuzione di responsabilità non risulti chiaro l´effettiva divisione dei compiti, ´interessato potrà esercitare i propri diritti nei confronti di uno qualsiasi dei responsabili, in quanto questi ne rispondono solidalmente.

Importante notare come secondo il Codice privacy-all´articolo 27- se l´incaricato del trattamento risulti determinante per quanto concerne le finalità, i mezzi o i metodi di trattamento dei dati o non agisca soltanto su istruzione del responsabile del trattamento, è considerato corresponsabile del trattamento e dunque risponde parimenti.
Un ultimo aspetto riguardante l´esecuzione dei trattamenti su commissione; si tratta di una tipologia di trattamento che deve essere disciplinata da un contratto o atto scritto giuridicamente valido che vincoli l´incaricato del trattamento-colui che materialmente accede e utilizza i dati- al responsabile del trattamento stesso.
Ovviamente il Codice regola il contenuto di questo atto o contratto: infatti l´incaricato dovrà agire solo su istruzione del responsabile, impiegare soltanto personale che s´impegni a mantenere la riservatezza( o ne sia comunque vincolato), prendere tutte le misure di sicurezza necessarie e richieste, potrà ricorrere ad altri incaricato solo previa autorizzazione del responsabile.

Dovrà poi creare, unitamente al responsabile, le condizioni tecniche e organizzative necessarie affinché l´interessato possa esercitare i suoi diritti, coadiuvare il responsabile nel rispetto degli obblighi sanciti. Ed ancora dovrà trasmettere, ultimato il trattamento, tutti i risultati al responsabile non facendo altro uso, dovrà poi mettere a disposizione del responsabile le informazioni necessarie al controllo sull´effettivo rispetto degli obblighi stessi, ed infine avrà un generico obbligo di tenere in considerazione il principio della tutela dei dati personali fin dalla progettazione e come default.

Infine i mezzi o i metodi di trattamento dei dati o non agisce soltanto su istruzione del responsabile del trattamento, è considerato corresponsabile del trattamento ai sensi dell´articolo 24.

Don`t copy text!