Profili legali e contrattuali nel cloud

La Commissione Europea, attraverso il potenziale del cloud computing in Europa, prevede entro il 2020 di ottenere dei guadagni e un aumento del Pil

[section_title title=Trattamento dei dati personali]Trattamento dei dati personali

Rispetto invece al tema del trattamento dei dati personali in ambito cloud, elemento di grande rilevanza per il timore della tutela della  sicurezza delle proprie informazioni che spesso è di freno rispetto alla scelta del modello cloud, occorre considerare che negli ultimi  mesi sono stati pubblicati due contributi di grande rilevanza:

  • la “Mini Guida del Garante del giugno 2012” (Garante per la protezione dei dati personali);
  • l’Opinion 05/2012 on Cloud Computing del 1° luglio 2012 dell’Article 29 data protection working party.

I passaggi fondamentali del documento del Garante italiano sono i seguenti:

  • la Pubblica Amministrazione o l’azienda, “titolare del trattamento” dei dati personali, che trasferisce del tutto o in parte il   trattamento di dati personali a un fornitore, deve procedere a designare il fornitore dei servizi cloud “responsabile del trattamento”.
  • In caso di violazioni commesse dal fornitore (o da un subfornitore),anche il titolare sarà chiamato a rispondere dell’eventualeillecito. Non sarà sufficiente per giustificare una eventuale violazione affermare di non avere avuto possibilità di negoziare clausole contrattuali o modalità di controllo stringenti: il cliente di servizi cloud può sempre rivolgersi ad altri fornitori che offrono maggiori garanzie, in particolare,per il rispetto della normativa sulla protezione dei dati.
  • Il titolare del trattamento deve assicurarsi che siano adottate misure tecniche e organizzative volte a ridurre al minimo i rischi di distruzione o perdita anche accidentale dei dati, di accesso non autorizzato, di trattamento non consentito o non conforme alle finalità della raccolta, di modifica dei dati in conseguenza di interventi non autorizzati o non conformi alle regole.
  • Occorre quindi contrattualmente imporre ai fornitori non solo il rispetto delle misure minime di sicurezza previste dall’allegato B al d.lgs 196/03, ma anche un livello di sicurezza che, di volta in volta in considerazione delle caratteristiche di ogni contratto, possa essere ritenuto idoneo.
  • Ricordando che quasi tutte le altre società che offrono servizi e infrastrutture cloud si avvalgono di aziende leader mondiali, il Garante sottolinea la potenziale riduzione della capacità negoziale di una singola impresa o di una piccola amministrazione  pubblica.
  • In questi casi, il Garante  consiglia di adottare misure alternative come per esempio il consorziarsi con altri soggetti pubblici o imprese che hanno le medesime esigenze (per esempio, tramite le Associazioni di categoria) al fine di ottenere capacità   contrattuale maggiore.

Oltre a fornire una serie di  indicazioni generali, il Garante  ha anche elaborato una sorta di “decalogo” operativo che le aziende private  e le Pubbliche Amministrazioni sono invitate a seguire. In particolare, il Garante consiglia di:

  • effettuare una verifica sull’affidabilità del fornitore.
  • Privilegiare i servizi che favoriscono la portabilità dei dati. In particolare, è consigliabile ricorrere a servizi di cloud computing  privilegiando quelli basati su formati e standard aperti, che facilitino la transizione da un sistema cloud a un altro, anche se  gestiti da fornitori diversi.
  • Assicurarsi la disponibilità dei dati in caso di necessità. È opportuno chiedere che nel contratto con il fornitore siano ben  specificate adeguate garanzie sulla disponibilità e sulle prestazioni dei servizi cloud.
  • Non perdere di vista i dati. È sempre opportuno che l’utente valuti accuratamente il tipo di servizio offerto, anche verificando se i dati rimarranno nella disponibilità fisica dell’operatore con cui è stato stipulato il contratto, oppure se questi svolga un ruolo  di intermediario, ovvero offra un servizio basato sulle tecnologie messe a disposizione da un operatore terzo.
  • Informarsi su dove risiederanno concretamente i dati. È importante per l’utente sapere se i propri dati  vengono trasferiti ed elaborati da server in Italia, in Europa o in un Paese extraeuropeo.
  • Prestare attenzione alle clausole contrattuali. È importante valutare l’idoneità delle condizioni contrattuali per l’erogazione del servizio di cloud con particolare riferimento agli obblighi e alle responsabilità in caso di perdita e di illecita diffusione dei dati custoditi nella “nuvola”, nonché alle eventuali modalità per il recesso dal servizio e il passaggio ad altro fornitore. Un elemento da privilegiare è senz’altro la previsione di garanzie di qualità chiare, corredate da penali, che pongano a carico del fornitore le eventuali inadempienze o le conseguenze di determinati eventi.

Il documento del gruppo di lavoro europeo sopra richiamato non fa altro che espandere e maggiormente dettagliare quanto affermato dal Garante italiano e, per questo motivo, si rinvia al documento per ogni approfondimento. Le conclusioni che si possono trarre dai  documenti analizzati possono essere:

  • le normative esistono e devono essere rispettate ma, per quanto complesse, non sono ostative né a usare i servizi cloud né a  offrirli.
  • Oggi esiste la possibilità di acquisire servizi cloud rispettando le norme di legge.
  • Le relazioni contrattuali nel mondo cloud sono tendenzialmente semplificate e meno onerose (in termini complessivi) rispetto   ai modelli tradizionali.
  • Le aziende che vogliono acquisire servizi cloud devono organizzarsi per richiedere al fornitore, in sede di selezione, le informazioni che il Garante ritiene rilevanti.
  • È bene che i fornitori si approccino al mercato in modo trasparente, già impostando la documentazione necessaria a far fronte   alle richieste che le aziende potranno avanzare.
  • Le aziende devono valutare con  attenzione i contratti proposti dai fornitori verificandone la coerenza con la normativa italiana  con un buon livello di tutela.
  • È bene che i fornitori valutino la possibilità di sottoporsi a certificazioni in materia di sicurezza/rispetto normativo.

Gli argomenti sopra trattati sono stati oggetto di una  sessione di approfondimento intitolata “Cloud: profili legali e contrattuali” che si  terrà in occasione della V edizione del Security Summit, la manifestazione dedicata alla sicurezza delle informazioni in programma a  Milano dal 12 al 14 marzo. Il convegno offre approfondimenti di elevata qualità sulla situazione e sulle tendenze della sicurezza Ict in Italia grazie a sessioni plenarie, percorsi formativi e tavole rotonde sulla sicurezza informatica e sull’evoluzione tecnologica del mercato. A Milano verrà anche presentata la seconda edizione del “Rapporto Clusit sulla sicurezza Ict in Italia”, il primo Rapporto esistente in grado di offrire uno spaccato aggiornato del mercato italiano e delle tendenze nell’ambito dell’Ict security, frutto del  lavoro di un centinaio di professionisti e di oltre 150 aziende intervistate.