Regolamento Europeo e Cloud: nuove regole per la nuvola

Uno dei principali effetti determinati dalla globalizzazione riguarda la possibilità di trasferire enormi quantità di dati all’estero. L’abbattimento delle distanze geografiche e l’estensione di quelle virtuali ha consentito infatti la connessione tra più server collocati in paesi diversi, favorendo l’inarrestabile diffusione di servizi cloud computing. Lo sviluppo tecnologico nella maggioranza dei casi non è avanzato di pari passo rispetto a quello normativo, dando vita a lacune giurisprudenziali estremamente complesse ed articolate. Tali gap hanno imposto al Legislatore comunitario miglioramenti e prese di posizione, che nell’attuale proposta di Regolamento, si sono tradotte in garanzie quali clausole contrattuali o norme vincolanti, nell’ottica di garantire un quanto più possibile elevato standard di protezione dei dati, favorendo al tempo stesso la circolazione dei dati oltre i confini nazionali.

Gli scarsi controlli sui dati uniti ad un’insufficiente informazione sui rischi derivanti da un trattamento non a norma costituiscono senza dubbio i principali rischi che gravano sul binomio privacy-cloud computing.

Lo stesso Gruppo di Lavoro articolo 29 ha analizzato dettagliatamente la questione della mancanza  di accertamenti sui dati, redigendo una dettagliata casistica di ciò che può avvenire come diretta conseguenza:

• Mancanza di disponibilità a causa di una scarsa interoperabilità
• Deficit nell’integrità dei dati dovuta alla condivisione di risorse
• Scarsa riservatezza nella fase di condivisione dei dati
• Difficoltà di intervento connessa  alle articolate dinamiche del processo di esternalizzazione

Sul fronte della consapevolezza dei rischi derivanti da una limitata conoscenza delle dinamiche del trattamento dati è fondamentale che gli interessati siano informati non solo in merito all’identità dei soggetti a cui affidano i propri dati (responsabili del trattamento), ma anche sulle finalità dello stesso.

Tra le questioni che il Regolamento non trascura di affrontare vi è quella relativa al trasferimento internazionale di dati personali, ribadendo la necessità della loro protezione anche nei casi di trasferimenti oltre i confini dello spazio economico europeo (SEE).

Il principio generale che disciplina il trasferimento dati viene descritto nell’art. 40 del Regolamento, inesistente nella precedente Direttiva. L’articolo sancisce che:

Il trasferimento di dati personali oggetto di un trattamento o destinati ad essere oggetto di un trattamento dopo un trasferimento successivo di dati personali da un paese terzo o un’organizzazione internazionale, compreso il trasferimento successivo di dati personali da un paese terzo o un’organizzazione  internazionale verso un altro paese terzo o un’altra organizzazione internazionale, è ammesso soltanto se il responsabile del trattamento o l’incaricato del trattamento rispettano le condizioni indicate nel presente capo, fatte salve le altre disposizioni del presente regolamento.

Il successivo articolo, l’art. 42, facendo eco all’art. 25 dell’attuale direttiva 95/46/CE, stabilisce i criteri, le condizioni e le procedure riferite all’adozione di una decisione di adeguatezza della Commissione. Nell’articolo si legge che “il trasferimento è ammesso se la Commissione ha deciso che il paese terzo […] garantisce un livello di protezione adeguato. In tal caso il trasferimento non necessita di ulteriori autorizzazioni”.

Per poter formulare il proprio giudizio di adeguatezza la Commissione dovrà mettere al vaglio un serie di elementi quali, lo stato di diritto, l’esistenza e l’effettivo funzionamento di una o più autorità di controllo indipendenti nel paese terzo e, tra le altre cose, anche  la natura degli impegni internazionali assunti dal paese terzo in questione.

Nel caso in cui sia stata formulato un giudizio di adeguatezza, secondo quanto stabilito dall’art. 42, il responsabile del trattamento o l’incaricato del trattamento deve provvedere a bilanciare la carenza di protezione attraverso adeguate garanzie a tutela dell’interessato, basate su strumenti giuridici quali norme vincolanti d’impresa (BCR), clausole contrattuali tipo adottate dalla Commissione, clausole tipo di protezione dei dati utilizzate da un’autorità di controllo, clausole contrattuali autorizzate da un’autorità di controllo.

Delle norme vincolanti d’impresa ne parla l’art. 43 del Regolamento. In particolare esso descrive le modalità che l’autorità di controllo è tenuta ad osservare nella loro approvazione. Suddette norme devono infatti rispettare una serie di requisiti minimi. Tra questi citiamo la vincolatività giuridica, l’applicabilità a tutti i membri del gruppo d’imprese del responsabile o dell’incaricato del trattamento, l’applicabilità anche ai dipendenti del gruppo, la garanzia del rispetto delle norme da parte dei dipendenti e il conferimento di diritti opponibili ai soggetti interessati.

Si ricorda che sul fronte delle clausole standard la Commissione ha redatto clausole contrattuali tipo. Si tratta di uno strumento a disposizione delle aziende per uniformarsi alla disciplina comunitaria in materia di protezione dei dati personali.

In ultima istanza, il Legislatore europeo ha previsto la possibilità di trasferire dati anche in  altre specifiche circostanze che riassumiamo brevemente di seguito:

• Qualora l’interessato abbia prestato il proprio consenso al trasferimento, dopo essere stato informato dei rischi connessi a siffatti dislocazioni dovuti alla mancanza di una decisione di adeguatezza e di garanzie adeguate;
• Se deve essere effettuato il trasferimento ai fini dell’esecuzione di un contratto concluso tra l’interessato e il responsabile del trattamento;
• Se deve essere effettuato il trasferimento ai fini dell’esecuzione di un contratto a favore dell’interessato, concluso tra il responsabile del trattamento e un terzo;
• Se il trasferimento si rende necessario per accertare, esercitare o preservare un diritto in sede giudiziaria o per difendere un interesse vitale dell’interessato o di un terzo;
• Se il trasferimento viene attuato sulla base di un registro finalizzato a fornire informazioni al pubblico ed è consultabile sia dal pubblico stesso che da chiunque riesca a dimostrare un interesse legittimo;
• Se il trasferimento è reso necessario dal raggiungimento dei legittimi interessi del responsabile del trattamento o dell’incaricato del trattamento.

L’ultimo aspetto che prenderemo in esame riguarda la spinosa tematica della sicurezza informatica dei servizi di cloud computing. Nella proposta di Regolamento essa trova ampio spazio e viene affrontata da un punto di vista pratico, come confermato dall’articolo 22 in cui leggiamo:

1. Il responsabile del trattamento adotta politiche e attua misure adeguate per garantire ed essere in grado di dimostrare che il trattamento dei dati personali effettuato è conforme al presente regolamento.

2. Le misure di cui al paragrafo 1 comprendono, in particolare:

(a) la conservazione della documentazione ai sensi dell’articolo 28;

(b) l’attuazione dei requisiti di sicurezza dei dati di cui all’articolo 30;

(c) l’esecuzione della valutazione d’impatto sulla protezione dei dati ai sensi  dell’articolo 33;

(d) il rispetto dei requisiti di autorizzazione preventiva o di consultazione preventiva dell’autorità di controllo ai sensi dell’articolo 34, paragrafi 1 e 2;

(e) la designazione di un responsabile della protezione dei dati ai sensi dell’articolo 35, paragrafo 1.

3. Il responsabile del trattamento mette in atto meccanismi per assicurare la verifica dell’efficacia delle misure di cui ai paragrafi 1 e 2. Qualora ciò sia proporzionato, la verifica è effettuata da revisori interni o esterni indipendenti.

In altri termini, dopo aver eseguito un’accurata valutazione dei rischi, il responsabile del trattamento e l’incaricato del trattamento adottano le adeguate misure per proteggere i dati dalla distruzione e dalla perdita siano esse accidentali o illegali, e per impedire qualsiasi forma non contemplata di trattamento quale la comunicazione, la divulgazione, l’accesso non autorizzato o la modifica de dati.