Condividi su

Normative: Privacy

28/08/2012
PRIVACY - Legge privacy (D. Lgs. 196/2003) Cloud Computing: le nuove regole del "Garante della privacy" per le imprese

A cura del Dottore Juri Torreggiani Consulente privacy

Cloud Computing – L’intervento del Garante

Con l’espressione “cloud computing” si indicano, in linea generale e in estrema sintesi, un insieme di tecnologie e servizi grazie ai quali è possibile archiviare, conservare ed elaborare i dati in formato elettronico della propria impresa presso i sistemi informatici di un fornitore terzo, il quale è esterno all’organizzazione aziendale (in modalità “outsourcing”).  

Su tale tema, estremamente delicato e con criticità evidenti per ciò che concerne la riservatezza delle informazioni, il Garante per la protezione dei dati personali, ha recentemente realizzato una “mini-guida” intitolata “Cloud Computing – Proteggere i dati per non cadere dalle nuvole”, evidenziante importanti prescrizioni e rivolta sia agli esperti del settore, sia alle aziende interessate a usufruire di queste nuove tecnologie sempre più diffuse. 

La “mini-guida” è suddivisa nei cinque seguenti capitoli: “Cos’è il cloud computing”, “Nuvole diverse per esigenze diverse”, “Il quadro giuridico”, “Valutazione dei rischi, dei costi e dei benefici”, “Il decalogo per una scelta consapevole”. Nei primi due capitoli si esaminano i principali tipi di tecnologie e servizi “cloud” presenti oggi sul mercato e le relative modalità di funzionamento. Il terzo capitolo offre una panoramica dei riferimenti normativi del settore, con particolare riguardo alla protezione dei dati. Gli ultimi due capitoli evidenziano invece i criteri salienti per valutare costi e benefici dell’adozione dei sistemi cloud e una serie di consigli concreti per effettuare le scelte più opportune.

 

Il quadro giuridico nazionale e internazionale

In questa sede ci soffermeremo ad analizzare il “quadro giuridico” e gli obblighi che senza dubbio coinvolgono e gravano su tutte le aziende che intendono affidare a un fornitore terzo i propri dati.

Lo stesso Garante in apertura del terzo capitolo della “mini-guida” di cui sopra, evidenzia anzitutto che manca ancora un insieme di norme aggiornato e omogeneo che tenga conto di tutte le novità introdotte dal cloud computing.

Un’importante regolamentazione dell’intera materia dovrà avvenire con il recepimento del “Regolamento generale sulla protezione dei dati” già proposto dalla Commissione Europea e di imminente introduzione. Tale regolamento riscriverà parte della normativa italiana in tema di privacy, introdurrà nuovi e più stringenti obblighi e avrà l’obiettivo di uniformare le regole all’interno della Comunità Europea. 

 

Obblighi già in vigore

In attesa della nuova normativa europea, il Garante italiano prescrive comunque alcuni importanti adempimenti che le aziende devono porre in essere fin d’ora, nel momento in cui decidono di affidarsi a sistemi di cloud computing.

Riepiloghiamo di seguito e in estrema sintesi tali adempimenti:

1. Nomina del responsabile esterno del trattamento

L’azienda che intende trasferire i propri dati presso un fornitore terzo, gestore delle tecnologie e dei servizi di cloud computing, deve anzitutto procedere a nominare formalmente e per iscritto il fornitore stesso come “Responsabile esterno del trattamento”, stipulando inoltre con esso un idoneo contratto che ne vincoli l’operato e tuteli la riservatezza dei dati trasferiti.

2. Obbligo di vigilanza sul fornitore

L’azienda deve poi continuare nel tempo a vigilare, anche tramite il rilascio di specifiche istruzioni e successive verifiche periodiche, sul comportamento del fornitore che detiene i dati. Tale attività risulta di fondamentale importanza, poiché nel caso di violazioni commesse dal fornitore, anche l’azienda è chiamata a rispondere dell’illecito.

In proposito è addirittura specificato che se l’azienda è di piccole dimensioni e trova difficoltà a nominare il fornitore “Responsabile esterno del trattamento” e a negoziare idonee condizioni contrattuali a protezione dei dati, ciò non è tuttavia sufficiente a giustificare l’azienda stessa nel caso di una eventuale violazione commessa dal fornitore. L’azienda deve infatti valutare in via preliminare di rivolgersi ad altri fornitori che offrano maggiori garanzie per il rispetto della normativa sulla privacy e in particolare che accettino la nomina di “Responsabile esterno del trattamento” con regolare sottoscrizione dell’apposita documentazione.

3. Trasferimento dei dati fuori dall’Unione Europea

Il Garante ricorda inoltre che vanno rispettate le regole per il trasferimento dei dati presso un fornitore dislocato al di fuori dell’Unione Europea. In linea generale è vietato il trasferimento di dati verso Stati extraeuropei qualora l’ordinamento dello Stato di destinazione non assicuri un adeguato livello di tutela per i dati stessi. È molto importante sottolineare che le regole per il trasferimento dei dati all’estero incidono anche sugli spostamenti “infragruppo” posti in essere da una multinazionale. 

4. Sicurezza dei dati

Nell’ambito dell’ampia attività di vigilanza evidenziata sopra, l’azienda deve assicurarsi in modo specifico che siano rispettate dal fornitore le misure tecniche e organizzative volte a ridurre al minimo i rischi di distruzione o perdita anche accidentale dei dati, di accesso non autorizzato o non conforme agli stessi. A parere di chi scrive, tale attività potrà risultare estremamente complessa da svolgere nei fatti, motivo per cui assume ancora più importanza una serie di clausole contrattuali che vincolino e regolamentino rigidamente l’operato del fornitore.

5. La garanzia dei diritti degli interessati

L’azienda che decide di avvalersi dei servizi cloud per gestire i dati dei propri clienti, fornitori, dipendenti, ecc., non deve infine trascurare il fatto che il Codice della Privacy (D. Lgs. 196/2003) continua ad attribuire precisi diritti a tali soggetti (es. diritto di aggiornamento, rettifica, blocco, cancellazione, ecc., dei dati). Tali diritti devono essere assolutamente garantiti anche nel momento in cui l’azienda decida di affidare la gestione delle informazioni al fornitore esterno. È quindi necessario che l’azienda continui ad avere un adeguato controllo e potere sui dati che dovranno essere sempre disponibili e recuperabili.

Torna alle normative