Home  › Sviluppo e innovazione

Cloud computing, il rebus dell'attribuzione dei ruoli privacy

di Jean Louis a Beccara

Una delle fondamentali, nonché preliminari, problematiche da risolvere quando si decide di ricorrere al cloud computing, consiste nella corretta attribuzione dei ruoli privacy: dalle scelte effettuate, infatti, scaturiscono riflessi fondamentali non soltanto in merito alle correlative responsabilità, bensì anche con riguardo al diritto applicabile e, più genericamente, all’impianto del regolamento contrattuale. È, infatti, evidente, come gli obblighi a carico del fornitore del servizio e i doveri di controllo in capo al cliente mutino sostanzialmente a seconda che il fornitore stesso sia riconducibile ad un responsabile, piuttosto che a un incaricato.
Nel primo caso, poi, sarebbe altresì necessario affrontare la questione relativa ad un’eventuale co-titolarità, oppure un’autonoma titolarità, del fornitore rispetto al cliente. Peraltro, può anche accadere che lo stesso soggetto possa «intervenire come responsabile per certi trattamenti e come incaricato per altri, e la qualifica di responsabile o incaricato deve essere valutata rispetto a specifici insiemi di dati o di operazioni».

L’individuazione dei ruoli
Che nella fattispecie di cloud computing l’esatta individuazione dei ruoli sia ancora più articolata, risultando operazione quanto mai delicata e complessa, oltre che dal risultato sicuramente non così incontrovertibile, è fatto notorio. In più occasioni, ilGruppo di Lavoro Articolo 29ha precisato come, anche in relazione al fatto che «i servizi offerti dai fornitori di soluzioni di cloud computing sono molto diversificati e spaziano da sistemi elaborativi virtuali (…) a servizi di supporto allo sviluppo e per l’hosting evoluto delle applicazioni, sino a soluzioni software rese disponibili in modalità web che sono sostitutive delle tradizionali applicazioni installate sui computer degli utenti finali, l’applicazione concreta dei concetti di ‘responsabile del trattamento’ e ‘incaricato del trattamento’ sta diventando sempre più complicata».
Lo stesso Garante italiano, commentando una pronuncia del Garante europeo, precisa che «a giudizio dell’Edps, occorre pensare in alcuni casi ad una sostanziale con-titolarità di trattamento fra fornitore di servizi cloud e cliente (impresa o soggetto pubblico) di tali servizi, anche se i relativi criteri definitori devono essere precisati meglio (…)»; è evidente l’invito al Cliente, specie nei casi di pubblic clouding in modalità SaaS o PaaS, di valutare attentamente l’opportunità di ritenere il Fornitore un vero e proprio Responsabile (cioè un “Titolare”, secondo legislazione nazionale).
Anche DigitPA ha avuto modo di precisare come «L’allocazione dei ruoli rappresenta uno degli aspetti più delicati, non solo in materia di cloud ma nella complessiva applicazione della disciplina sulla tutela dei dati personali. Posto che la PA che acquista servizi di cloud va senz’altro considerata titolare di trattamento, il problema si pone dal lato del cloud provider che potrebbe, a seconda dei casi, essere considerato quale titolare autonomo di trattamento o quale responsabile. Va evidenziato che, stante la vigente normativa sulla tutela dei dati personali, parrebbe ragionevole orientarsi per la soluzione della titolarità autonoma(…). Tuttavia, la prassi che si riscontra negli accordi per la fornitura di servizi cloud è di definire il cloud provider un responsabile esterno del trattamento. Anche la soluzione del cloud provider come responsabile esterno del trattamento appare di fatto prospettabile, dipendendo in definitiva il concreto inquadramento nell’una o nell’altra dalle caratteristiche dell’effettivo rapporto che si instaura tra buyer e provider (…). Si può da subito evidenziare che il cloud provider ha un ruolo esclusivo, rispetto al buyer, sulla decisione del profilo della sicurezza e sulla modalità di erogazione del proprio servizio, incluse le scelte relative alla circolazione dei dati nei diversi luoghi e tra distinti soggetti», come suoi subfornitori.

Il responsabile
Il responsabile è «individuato dalla caratteristica essenziale di agire sempre nel perimetro delle decisioni del titolare e sotto la direzione e vigilanza di costui. Sul punto è bene evidenziare che vi è un preciso obbligo giuridico del titolare di impartire disposizioni scritte analitiche al responsabile (art. 29, comma 4, Codice), che potranno essere modificate e aggiornate nel tempo a discrezione del primo: ciò comporta, implicitamente, un dovere del responsabile di rispettare ed attenersi precisamente alle istruzioni del titolare, caso, quest’ultimo decisamente inverosimile quando si parla di un grande cloud provider, da un lato, e di una piccola e media impresa-buyer, dall’altro». Tuttavia, a oggi risulta verosimile asserire che, nella maggior parte dei casi, nemmeno buyer come una grande impresa o una PA riescano di fatto ad impartire istruzioni dettagliate al cloud provider e ad esercitare quel controllo tipico del rapporto titolare-responsabile. «Quindi, la soluzione di fatto più aderente alla normativa privacyodierna è quella di una titolarità autonoma del cloud provider».
Ad ogni modo, fermo restando che il Fornitore, qualora non intenda assumere la veste di Responsabile, deve rigorosamente astenersi dal determinare ulteriori finalità del trattamento rispetto a quelle fissate dal Cliente (in altre parole, non può trattare i dati per scopi diversi e finalità proprie), il perno della questione ruota attorno al margine di determinazione degli strumenti lasciata al Fornitorestesso.
Si tratta, quindi, di stabilire quale sia in concreto il livello d’influenza sui mezzi (sul “come”), cioè sino a che punto l’Incaricato possa determinare gli aspetti tecnico/organizzativi degli strumenti o, se si preferisce, quando possa dirsi che il Responsabile abbia sufficientemente determinato gli aspetti fondamentali dei mezzi, lasciando all’Incaricato un ruolo di attuazione delle istruzioni del Responsabile stesso.
Ora, se i servizi offerti dagli aspiranti Fornitori sono, tendenzialmente, pacchetti più o meno standardizzati, ci si domanda quanto resti al Cliente nella determinazione degli elementi fondamentali dei mezzi.

Osservazioni finali
Vista la particolare situazione “pubblicistica”, limitarsi a sostenere che, per aver correttamente individuato nel Fornitore il ruolo di Incaricato, è sufficiente che il Cliente abbia stabilito “quali dati trattare”, “per quanto tempo” (cioè i tempi di conservazione), nonché “quali terzi avranno accesso ai dati” (condizioni, queste, sicuramente imprescindibili, ma non certo considerabili come assolutamente esaustive), potrebbe essere, se non fuorviante, quanto meno foriero di eccessive semplificazioni. Se è vero, poi, che in alcuni ordinamenti - tra cui anche l’Italia - le decisioni prese in merito alle misure di sicurezza sono considerate come aspetto peculiare del Responsabile (Titolare), e queste sono strettamente connesse con la scelta degli strumenti adottati, allora la questione si complica ulteriormente. 
Tutto ciò, specie considerato l’ambito di estrema complessità tecnica in cui ci si muove e la conseguente difficoltà per la Pa (Cliente) di esercitare, poi, un effettivo controllo sulle componenti determinate dal Fornitore, nonché sul rigoroso rispetto dei limiti e degli obblighi in capo a quest’ultimo, anche al di là delle mere dichiarazioni di principio contenute in autocertificazioni, o nello stesso contratto.
Il dubbio che ci si pone è: quanto può rilevare l’aver predisposto clausole concernenti il rispetto di determinati standard, limitazioni, ovvero obblighi di verifica periodica, di reporting e, più generalmente, di adeguatezza e conformità del servizio offerto (sia pur correlate alla corresponsione di penali o facoltà di risoluzione contrattuale, in caso di violazione), se la parte - a favore della quale le stesse clausole sono state concepite - non è effettivamente in grado di valutare il rispetto, o l’inosservanza, dei parametri/limiti/obblighi imposti alla controparte?
Quanto, poi, alla possibilità di delegare ad un terzo indipendente (si intende, ovviamente, dal Fornitore) la funzione di audit, senz’altro riconosciuta come un’alternativa astrattamente percorribile anche dal Gruppo di Lavoro ex articolo 29, anche ammesso che tale soggetto sia facilmente individuabile, dovranno comunque estendersi, analogamente, tutte le predette riflessioni, peraltro considerandone anche i relativi costi.
Quanto detto, in particolar modo, parrebbe valere per le eventuali clausole sulla facoltà di determinare la localizzazione dei dati in capo al Cliente (nel senso che quest’ultimo possa limitare il trasferimento dei dati soltanto a particolari Paesi), non potendo la stessa clausola che risultare coerente con un impianto in cui il Fornitore si limita ad essere un mero Incaricato: la scelta dei mezzi, infatti, non può certo estendersi al punto di stabilire in quali nazioni (quindi, a quali condizioni di sicurezza sostanziale) i dati possano essere trattati.


© RIPRODUZIONE RISERVATA