Home  › Sviluppo e innovazione

Cloud computing, responsabile per la privacy chi gestisce la conservazione dei documenti

di Stefano Leucci

Strumento fondamentale di lavoro nel mondo digitale, il cloud computing rappresenta un modello flessibile ed economico per la fornitura di servizi Ict.

Il cloud computing è l’infrastruttura
Parafrasando la definizione dell’Agenzia per l’Italia digitale (Agid), il cloud abilita un accesso più agevole ad un insieme di risorse condivise (risorse fisiche di rete, di storage e di processamento, servizi e applicazioni finali) attraverso tecnologie basate su internet. Questo paradigma tecnologico consente di migliorare l’efficienza operativa e, nel contempo, di ridurre notevolmente i costi aggregando in data center condivisi gli strumenti necessari a specifici servizi utili alla propria organizzazione. “Al di sopra” di questa tecnologia possono essere offerte diverse tipologie di servizi.
Per una pubblica amministrazione che cerchi di districarsi in questo fitto bosco tecnologico, è necessario da subito operare una distinzione tra i servizi di posta elettronica e collaborazione (certamente i più utilizzati) e i servizi di conservazione documentale. Entrambi sono erogabili seguendo il paradigma del cloud computing, ma i presupposti normativi da considerare per il corretto trattamento dei dati personali sono nettamente diversi, in quanto diversi sono i presupposti alla base, nonché il bisogno a cui questi strumenti assolvono.

La disciplina della conservazione
Come definito dall’articolo 44 del Dlgs 82/2005 (Codice dell’amministrazione digitale, Cad), il sistema di conservazione garantisce autenticità, integrità, affidabilità, leggibilità e reperibilità dei documenti informatici. In questa cornice giuridica, organizzativa e tecnologica, l’AgID ha definito le modalità operative per realizzare l’attività di conservazione, allineando la definizione di natura e funzione del sistema, i modelli organizzativi, i ruoli e le funzioni dei soggetti coinvolti del processo. Il Dpcm 3 dicembre 2013, concernente le regole tecniche in materia di sistema di conservazione dei documenti informatici, ha così definito le misure attuative degli obblighi di conservazione, in forma digitale, dei documenti della PA come previste dal Cad. L’articolo 3 del Dpcm individua l’oggetto della conservazione: i documenti informatici e i documenti amministrativi informatici con i metadati a essi associati; i fascicoli informatici ovvero le aggregazioni documentali informatiche con i metadati a essi associati. Il Cad prevede poi che l’attività di conservazione dei documenti informatici e di certificazione dei relativi processi sia affidata a soggetti esterni, pubblici e privati, i quali necessitano dell’accreditamento presso AgID ai fini del riconoscimento del possesso dei requisiti del livello più elevato, in termini di qualità e di sicurezza. I venticinque certificatori accreditati sono elencati nell’apposita sezione del sito di AgID.

Diverso servizio, diversa regola, diversi dati personali
Per quanto più specificamente attiene al trattamento dei dati personali contenuti in questi documenti e fascicoli informatici, e vista la mole di dati personali giornalmente trattati dalle Pa e costantemente archiviati in questi sistemi, è evidente come il legislatore abbia dovuto predisporre alcune specifiche regole inerenti al corretto trattamento di questi dati. Già il Cad poneva l’accento sull’attenta predisposizione delle misure di sicurezza minime e necessarie per i sistemi di conservazione, come previste dagli articoli 31 e 36 del Dlgs n. 196/2003 (Codice per la protezione dei dati personali, cosiddetto Codice Privacy) e dal disciplinare tecnico pubblicato in allegato B a tale decreto. In particolare, è proprio il Dpcm in esame a inquadrare il fornitore del servizio di conservazione come responsabile esterno del trattamento dei dati personali nell’articolo 6, comma 8. Questa netta presa di posizione può essere fuorviante: occorre limitare questa regola ai soli servizi di conservazione, senza estenderla genericamente a tutti i servizi offerti con il paradigma cloud computing. Cadere nella trappola della confusione terminologica è, nell’ambiente digitale, un rischio concreto causato dall’alto livello di tecnicità dei concetti.
La prima motivazione che guida la scelta di non limitarsi alla mera nomina di ogni fornitore di servizio cloud a responsabile del trattamento consiste nel fatto per cui, a differenza dei servizi di email e collaborazione d’ufficio, la conservazione digitale dei documenti è un’attività prevista ed imposta a norma di legge (come detto, Cad e Dpcm attuativo), certificando tale disciplina normativa la totale soggezione del settore alle dinamiche pubblicistiche. Si consideri poi che il servizio di email e collaborazione prevede, oltre a servizi integrati ben più articolati e potenzialmente “invasivi” sui dati personali, il trasferimento dei dati (non soltanto di particolari documenti da protocollare) a soggetti non accreditati presso AgId, che potrebbero utilizzare per finalità proprie, ovvero con strumenti su cui la PA cliente non riesce ad avere alcun controllo effettivo.
Gli aspetti tecnici della conservazione digitale, invece, sono normativamente disciplinati: il sistema di conservazione, infatti, è una struttura informatica che vanta specifiche qualità tecniche atte a garantire autenticità, integrità, affidabilità, leggibilità e reperibilità dei documenti informatici; valori, questi, su cui il Garante europeo - proprio a causa dell’assenza di specifiche normative che regolamentino il cloud computing - ha sollevato notevoli perplessità, ammonendo i potenziali clienti dei servizi cloud genericamente considerati ad effettuare tutte le opportune verifiche.
Più precisamente, sul piano tecnico, i sistemi di conservazione sono differenti dai sistemi cloud che offrono email e collaborazione, in quanto rispondono ad esigenze diverse degli enti pubblici; i primi possono, eventualmente, rappresentare un sottoinsieme dei sistemi cloud, con le particolari caratteristiche tecniche di cui sopra, in quanto (e soltanto perché) memorizzano i dati “sulla nuvola”. La vera diversità, però, risiede negli aspetti funzionali: i sistemi di posta elettronica e di collaborazione offerti “dalla nuvola” non si limitano ad offrire solo servizi di conservazione/memorizzazione (incluse tutte le attività propedeutiche e correlate), ma estendono il campo di operatività a funzionalità ulteriori e completamente diverse (gestione posta elettronica, scambi di messaggi, redazione di documenti ecc.); solo una minima parte di informazioni, in particolare quelle destinate a costituire il contenuto degli atti, sarà oggetto di conservazione.
Nel caso della conservazione digitale, quindi, alla PA permane il controllo sui propri dati; nel quotidiano utilizzo di altre tipologie di servizi, invece, è alquanto evidente il rischio di perderlo definitivamente.
In ciò si spiega il differente approccio del Garante, intervenuto genericamente sul cloud computing (paventando anche ipotesi di co-titolarità, o titolarità autonome tra cliente e fornitore del servizio), mentre sulla specifica bozza di Dpcm si è limitato a confermare la bontà della scelta di nominare “responsabile” il conservatore esterno, apparentemente riduttiva, ma guidata dalle medesime considerazioni esposte. In tale ultimo caso, infatti, in capo all’ente pubblico (titolare) rimangono i poteri di determinare le finalità (conservazione), le modalità e le misure di sicurezza del sistema. Il fornitore, quale responsabile, avrà chiare responsabilità legate all’oggetto del processo di cui si farà carico. Non si dimentichi, tra l’altro, che mentre nel cloud computing i dati vengono costantemente trasferiti anche nelle più remote (e talvolta segrete) località del mondo, nella conservazione digitale una simile situazione non potrebbe riproporsi, come si desume dall’attenta lettura del citato provvedimento presidenziale; così come il fatto che il cloud, in generale, non è originariamente strutturato per assolvere le esigenze degli enti pubblici. Pertanto, qualora i due servizi fossero davvero sovrapponibili risulta difficile giustificare il ricorso ad un servizio di email e collaborazione offerto secondo il paradigma cloud computing; diversamente, anche qualora il servizio di conservazione digitale potesse essere svolto con modalità di cloud computing, dovrà tenersi presente la strutturale e congenita diversità tra le due attività.


© RIPRODUZIONE RISERVATA