Il GDPR e i servizi cloud

Premessa

Uno dei temi maggiormente rilevanti posti dal GDPR (Regolamento UE n. 679/2016) è certamente l’approccio al cloud computing, realtà ormai affermata nella vita quotidiana di aziende e professionisti ma che deve certamente fare i conti con le disposizioni ora in vigore in materia di protezione dei dati personali.

Senza timore di smentita è possibile affermare che l’evoluzione di questa tecnologia sia stata una di quelle che maggiormente hanno spinto il legislatore europeo all’adozione di una normativa applicabile tendenzialmente in tutto il mondo.

Per rendersi conto della correttezza di tali affermazioni è sufficiente leggere l’art. 3, comma 2, del Regolamento, laddove si prevede l’applicabilità dello stesso “al trattamento dei dati personali di interessati che si trovano nell’Unione, effettuato da un titolare del trattamento o da un responsabile del trattamento che non è stabilito nell’Unione, quando le attività di trattamento riguardano: a) l’offerta di beni o la prestazione di servizi ai suddetti interessati nell’Unione, indipendentemente dall’obbligatorietà di un pagamento dell’interessato; oppure b) il monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo all’interno dell’Unione”.

È evidente la volontà di assoggettare all’applicazione del GDPR anche i trattamenti effettuati su infrastrutture di cloud computing, che spesso sono offerti da società con sede in paesi extraeuropei (in particolare negli Stati Uniti).

L’intuizione del legislatore è stata certamente corretta e ha anche incontrato il favor delle multinazionali del settore, che non a caso sono state fra le prime ad implementare le misure richieste dal regolamento europeo, tra l’altro con notevole beneficio per i loro proventi.

In realtà è oggi possibile affermare che, con l’avvento del GDPR, l’utente può guardare al cloud computing con maggiore fiducia, avendo alle spalle una solida infrastruttura normativa e potendo così concentrarsi sull’esame delle misure di sicurezza che il fornitore è in grado di assicurare per il prodotto venduto.

Il cloud computing e la protezione dei dati personali

È bene precisare che il “ruolo privacy” assunto da chi fornisce infrastrutture di cloud computing è certamente quello di responsabile del trattamento e dunque i contratti (o gli altri atti negoziali aventi pari efficacia giuridica) dovranno rispettare le previsioni dell’art. 28 GDPR.

Non bisogna però dimenticare che il compito maggiormente gravoso incombe sul titolare del trattamento, che dovrà scegliere accuratamente i propri partner visto che la norma sopra citata pone l’obbligo, in capo al titolare del trattamento, di ricorrere “unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato”.

Dovrà dunque essere condotta un’attività preliminare di auditing sui possibili fornitori in modo da valutare quali siano in particolare le misure che costoro adottano per la protezione del dato personale.

In tal senso sarà dunque fondamentale ricercare partner che possano offrire le certificazioni internazionali principali per il settore, quali la ISO 27001 e la ISO 27018, e che dichiarino espressamente il luogo (o i luoghi) in cui vengono conservati i dati, dando così modo al titolare del trattamento di verificare se l’eventuale trasferimento transfrontaliero dei dati avvenga nel rispetto delle disposizioni del capo V del GDPR.

Sarà altresì fondamentale verificare se vengono offerti servizi di crittografia, molto importanti nell’ottica di una corretta gestione del dato in cloud e non a caso espressamente citati dall’art. 32 del GDPR. In tale ottica occorrerà ricercare due differenti ordini di garanzie:

• innanzitutto occorrerà ricercare infrastrutture che assicurino la trasmissione del dato su protocollo cifrato (es. in https);
• in secondo luogo è importante che venga scelto il sistema di crittografia maggiormente confacente alle esigenze dell’azienda o del professionista, tenendo presente che le moderne tecniche di crittografia si dividono in “server side” e “client side”.

Le espressioni inglesi utilizzate sopra individuano due differenti modalità di gestione della misura di sicurezza nei sistemi di cloud computing: nel primo caso la crittografia dei files avviene allorché i dati sono già trasmessi in cloud e si trovano nella disponibilità del fornitore del servizio (che è poi il soggetto che provvede a segregare dati e documenti); nel capo opposto (crittografia client side) il meccanismo di protezione viene posto in essere direttamente dal titolare del trattamento sulle proprie macchine. Verificandosi tale ipotesi il dato arriverà sui server del fornitore remoto già crittografato.

Tale ultima modalità di fruizione dell’infrastruttura presenta peraltro un pericolo e cioè quello dell’impossibilità di recuperare il documento laddove vengano smarrite le chiavi utilizzate per proteggere il file; il fornitore cloud, infatti, non conosce nulla dei documenti che si trovano sui propri server e non è pertanto in grado in nessun modo di comunicare pin o password che in effetti non possiede.

Occorre dunque che il titolare del trattamento scelga con molta attenzione il tipo di infrastruttura che intende utilizzare, essendo ben conscio dei pregi e difetti di ciascuna di esse.

La modalità server side è in effetti all’apparenza in grado di garantire un’ipotetica maggior sicurezza del dato ma sconta il rischio della perdita totale del dato (e del documento) in caso di perdita del possesso delle chiavi di cifratura.

Spetta dunque all’accountability del titolare del trattamento ogni valutazione circa il miglior servizio da utilizzare, naturalmente avendo riguardo al tipo di dati che vengono trattati e alle differenti esigenze di tutela che ogni singolo caso può portare con sé.