Regolamento Europeo e Cloud: nuove regole per la nuvola

24/02/2014
di Alessandro Cecchetti

Uno dei principali effetti determinati dalla globalizzazione riguarda la possibilità di trasferire enormi quantità di dati all’estero. L’abbattimento delle distanze geografiche e l’estensione di quelle virtuali ha consentito infatti la connessione tra più server collocati in paesi diversi, favorendo l’inarrestabile diffusione di servizi cloud computing. Lo sviluppo tecnologico nella maggioranza dei casi non è avanzato di pari passo rispetto a quello normativo, dando vita a lacune giurisprudenziali estremamente complesse ed articolate. Tali gap hanno imposto al Legislatore comunitario miglioramenti e prese di posizione, che nell’attuale proposta di Regolamento, si sono tradotte in garanzie quali clausole contrattuali o norme vincolanti, nell’ottica di garantire un quanto più possibile elevato standard di protezione dei dati, favorendo al tempo stesso la circolazione dei dati oltre i confini nazionali.

Gli scarsi controlli sui dati uniti ad un’insufficiente informazione sui rischi derivanti da un trattamento non a norma costituiscono senza dubbio i principali rischi che gravano sul binomio privacy-cloud computing.

Lo stesso Gruppo di Lavoro articolo 29 ha analizzato dettagliatamente la questione della mancanza  di accertamenti sui dati, redigendo una dettagliata casistica di ciò che può avvenire come diretta conseguenza:

  • Mancanza di disponibilità a causa di una scarsa interoperabilità
  • Deficit nell’integrità dei dati dovuta alla condivisione di risorse
  • Scarsa riservatezza nella fase di condivisione dei dati
  • Difficoltà di intervento connessa  alle articolate dinamiche del processo di esternalizzazione

Cloud e Regolamento EuropeoSul fronte della consapevolezza dei rischi derivanti da una limitata conoscenza delle dinamiche del trattamento dati è fondamentale che gli interessati siano informati non solo in merito all’identità dei soggetti a cui affidano i propri dati (responsabili del trattamento), ma anche sulle finalità dello stesso.

Tra le questioni che il Regolamento non trascura di affrontare vi è quella relativa al trasferimento internazionale di dati personali, ribadendo la necessità della loro protezione anche nei casi di trasferimenti oltre i confini dello spazio economico europeo (SEE).

Il principio generale che disciplina il trasferimento dati viene descritto nell’art. 40 del Regolamento, inesistente nella precedente Direttiva. L’articolo sancisce che:

Il trasferimento di dati personali oggetto di un trattamento o destinati ad essere oggetto di un trattamento dopo un trasferimento successivo di dati personali da un paese terzo o un’organizzazione internazionale, compreso il trasferimento successivo di dati personali da un paese terzo o un’organizzazione  internazionale verso un altro paese terzo o un’altra organizzazione internazionale, è ammesso soltanto se il responsabile del trattamento o l’incaricato del trattamento rispettano le condizioni indicate nel presente capo, fatte salve le altre disposizioni del presente regolamento.

Il successivo articolo, l’art. 42, facendo eco all’art. 25 dell’attuale direttiva 95/46/CE, stabilisce i criteri, le condizioni e le procedure riferite all’adozione di una decisione di adeguatezza della Commissione. Nell’articolo si legge che “il trasferimento è ammesso se la Commissione ha deciso che il paese terzo […] garantisce un livello di protezione adeguato. In tal caso il trasferimento non necessita di ulteriori autorizzazioni”.

Per poter formulare il proprio giudizio di adeguatezza la Commissione dovrà mettere al vaglio un serie di elementi quali, lo stato di diritto, l’esistenza e l’effettivo funzionamento di una o più autorità di controllo indipendenti nel paese terzo e, tra le altre cose, anche  la natura degli impegni internazionali assunti dal paese terzo in questione.

Nel caso in cui sia stata formulato un giudizio di adeguatezza, secondo quanto stabilito dall’art. 42, il responsabile del trattamento o l’incaricato del trattamento deve provvedere a bilanciare la carenza di protezione attraverso adeguate garanzie a tutela dell’interessato, basate su strumenti giuridici quali norme vincolanti d’impresa (BCR), clausole contrattuali tipo adottate dalla Commissione, clausole tipo di protezione dei dati utilizzate da un’autorità di controllo, clausole contrattuali autorizzate da un’autorità di controllo.

Delle norme vincolanti d’impresa ne parla l’art. 43 del Regolamento. In particolare esso descrive le modalità che l’autorità di controllo è tenuta ad osservare nella loro approvazione. Suddette norme devono infatti rispettare una serie di requisiti minimi. Tra questi citiamo la vincolatività giuridica, l’applicabilità a tutti i membri del gruppo d’imprese del responsabile o dell’incaricato del trattamento, l’applicabilità anche ai dipendenti del gruppo, la garanzia del rispetto delle norme da parte dei dipendenti e il conferimento di diritti opponibili ai soggetti interessati.

Si ricorda che sul fronte delle clausole standard la Commissione ha redatto clausole contrattuali tipo. Si tratta di uno strumento a disposizione delle aziende per uniformarsi alla disciplina comunitaria in materia di protezione dei dati personali.

In ultima istanza, il Legislatore europeo ha previsto la possibilità di trasferire dati anche in  altre specifiche circostanze che riassumiamo brevemente di seguito:

  • Qualora l’interessato abbia prestato il proprio consenso al trasferimento, dopo essere stato informato dei rischi connessi a siffatti dislocazioni dovuti alla mancanza di una decisione di adeguatezza e di garanzie adeguate;
  • Se deve essere effettuato il trasferimento ai fini dell’esecuzione di un contratto concluso tra l’interessato e il responsabile del trattamento;
  • Se deve essere effettuato il trasferimento ai fini dell’esecuzione di un contratto a favore dell’interessato, concluso tra il responsabile del trattamento e un terzo;
  • Se il trasferimento si rende necessario per accertare, esercitare o preservare un diritto in sede giudiziaria o per difendere un interesse vitale dell’interessato o di un terzo;
  • Se il trasferimento viene attuato sulla base di un registro finalizzato a fornire informazioni al pubblico ed è consultabile sia dal pubblico stesso che da chiunque riesca a dimostrare un interesse legittimo;
  • Se il trasferimento è reso necessario dal raggiungimento dei legittimi interessi del responsabile del trattamento o dell’incaricato del trattamento.

L’ultimo aspetto che prenderemo in esame riguarda la spinosa tematica della sicurezza informatica dei servizi di cloud computing. Nella proposta di Regolamento essa trova ampio spazio e viene affrontata da un punto di vista pratico, come confermato dall’articolo 22 in cui leggiamo:

1. Il responsabile del trattamento adotta politiche e attua misure adeguate per garantire ed essere in grado di dimostrare che il trattamento dei dati personali effettuato è conforme al presente regolamento.

2. Le misure di cui al paragrafo 1 comprendono, in particolare:

(a) la conservazione della documentazione ai sensi dell’articolo 28;

(b) l’attuazione dei requisiti di sicurezza dei dati di cui all’articolo 30;

(c) l’esecuzione della valutazione d’impatto sulla protezione dei dati ai sensi  dell’articolo 33;

(d) il rispetto dei requisiti di autorizzazione preventiva o di consultazione preventiva dell’autorità di controllo ai sensi dell’articolo 34, paragrafi 1 e 2;

(e) la designazione di un responsabile della protezione dei dati ai sensi dell’articolo 35, paragrafo 1.

3. Il responsabile del trattamento mette in atto meccanismi per assicurare la verifica dell’efficacia delle misure di cui ai paragrafi 1 e 2. Qualora ciò sia proporzionato, la verifica è effettuata da revisori interni o esterni indipendenti.

In altri termini, dopo aver eseguito un’accurata valutazione dei rischi, il responsabile del trattamento e l’incaricato del trattamento adottano le adeguate misure per proteggere i dati dalla distruzione e dalla perdita siano esse accidentali o illegali, e per impedire qualsiasi forma non contemplata di trattamento quale la comunicazione, la divulgazione, l’accesso non autorizzato o la modifica de dati.

Riproduzione riservata ©

ALTRE NEWS

Vietato spiare sistematicamente i dipendenti on line!

Pubblicato sul Bollettino di marzo del Garante per la protezione dei dati personali, il Provvedimento generale relativo alle linee guida del Garante sulle questioni attinenti… Leggi Tutto

Google e Garante tra diritto all’oblio, diritto di cronaca e snippet

Il diritto all’oblio non riguarda soltanto i risultati di un motore di ricerca, ma anche le sintesi automatiche generate dal sito poste a corredo di questi e… Leggi Tutto

BYOD, IoT e smart working: la gestione del rischio dal punto di vista legale

Articolo Pubblicato da IOTtoday il 23 Dicembre 2020 L’ultimo anno ha comportato un notevole potenziamento dello smart working e, di conseguenza, anche l’utilizzo di dispositivi mobili personali nell’ambiente… Leggi Tutto

COLIN & PARTNERS

CHI SIAMO


Consulenza legale specializzata sul diritto delle nuove tecnologie

CONOSCIAMOCI
CHI SIAMO

Cultura e innovazione

SPEECH & EVENTI


Le nostre competenze a disposizione della vostra azienda

I prossimi appuntamenti

Siamo felici di dare il nostro contributo in numerosi eventi che trattano di nuove tecnologie e business digitale sotto vari aspetti. Il nostro apporto si ispira ai temi di interesse legale che, sempre più spesso, coinvolgono l’intera organizzazione.

Inoltre, a cadenza mensile, organizziamo il Colin Focus Day, un incontro di approfondimento gratuito sempre molto apprezzato. A Milano, o in videoconferenza, il Colin Focus Day è occasione di confronto e networking su temi legali-informatici e business.

CONTATTACI

OPERIAMO
A LIVELLO
GLOBALE


Tel. +39 0572 78166

Tel. +39 02 87198390

info@consulentelegaleinformatico.it

Compila il form






    * Informativa Privacy Autorizzo il trattamento dei miei dati personali secondo quanto stabilito dal regolamento europeo per la protezione dei dati personali n. 679/2016, GDPR.

    * (campo obbligatorio)
    Questo sito è protetto da reCAPTCHA e vengono applicate l' Informativa sulla Privacy e i Termini e Condizioni di Google.