Link articolo precedente:

Se state valutando di utilizzare o far utilizzare a un Vostro cliente un servizio cloud, occorre che teniate d’occhio alcuni aspetti. Nello scorso numero, abbiamo preso in considerazione le clausole contrattuali. Adesso parliamo di tutela della privacy.

 cloud

La privacy ed alla protezione dei dati conferiti al cloud provider è uno degli argomenti più delicati nella redazione di un contratto per l'erogazione di servizi online. Con la scelta di un servizio cloud i dati (Vostri o dei Vostri clienti) vengono dati in gestione al provider stesso, oltre a essere fisicamente memorizzati nella relativa infrastruttura. E’, dunque, importante che capiate, nella scelta del fornitore del servizio, a quale normativa è soggetto, quali garanzie può o deve darvi, come il provider gestisce i dati di cui entra in possesso, anche sotto il profilo della riservatezza.

In un recente studio condotto da ABI e CIPA “Rilevazione sull’IT nel sistema bancario italiano – Il cloud e le banche. Stato dell’arte e prospettive”, pubblicato a maggio 2016, si rileva che le garanzie di privacy e di sicurezza dei dati sono ritenute – nella scelta del cloud provider – di importanza fondamentale per il 100% dei gruppi partecipanti allo studio (al pari solo dell’esperienza nel settore, e più di ogni altro fattore). Di contro, solo in poco più della metà dei casi gli Istituti bancari hanno trovato una rispondenza alta dai cloud provider alle loro richieste in argomento. Segno che la questione è importante e merita un approfondimento dedicato.

Uno dei maggiori problemi in materia di cloud è proprio l’individuazione del ruolo del provider nel trattamento dei dati conferiti dall’utilizzatore nella nuvola e la garanzia del rispetto da parte sua della normativa privacy. Per quanto ci riguarda, il Garante italiano della Privacy (già in una miniguida del 2012: “Proteggere i dati per non cadere dalle nuvole” reperibile sul sito del Garante privacy) aveva dato indicazioni, tra l’altro, sugli oneri e responsabilità tra le parti del trattamento dei dati (titolare e responsabile), anche rispetto al (divieto, in linea di principio di) trasferimento dei dati extraUE. Usualmente, infatti, il titolare del trattamento dei dati, secondo le definizioni del d.lgs.196/03 italiano, è l’utente del servizio che, nella migliore delle ipotesi, nella sottoscrizione del contratto troverà che il provider è responsabile del trattamento (ovvero, secondo la definizione legislativa, il soggetto “preposto dal titolare al trattamento di dati personali”). Il responsabile, tra l’altro, “effettua il trattamento attenendosi alle istruzioni impartite dal titolare il quale, anche tramite verifiche periodiche, vigila sulla puntuale osservanza delle disposizioni in materia di trattamento e delle proprie istruzioni”. È evidente come sia difficilmente possibile nel contesto del cloud, verificare, vigilare e impartire istruzioni al provider da parte del titolare. Da sottolineare che anche nominando il provider come responsabile del trattamento, il titolare non si libera da eventuali responsabilità per violazione della normativa privacy: in caso di violazioni commesse dal fornitore anche il titolare/utente potrà essere chiamato a rispondere di eventuali illeciti. Dunque, in attesa dell’entrata in vigore della nuova disciplina europea (come si dirà tra poco), prestate sempre attenzione nella scelta del cloud provider, alla localizzazione dei data center (in Europa), alla conformità del trattamento alla normativa di dettaglio in materia di privacy, e, in generale, alla privacy policy adottata dal provider (anche e soprattutto in relazione al rispetto perlomeno delle misure minime di sicurezza previste dal d.lgs.196/03 e, comunque, di un livello di sicurezza tecnico e organizzativo adeguato, alla tempestiva notificazione di eventuali accessi abusivi, alle garanzie patrimoniali fornite per il caso di diffusione illecita o di perdita dei dati).

Da segnalare che lo scorso maggio, è stato pubblicato il nuovo Regolamento europeo sulla privacy (in generale definita Data Protection), proprio per l’adeguamento alle normative europea e nazionali. Di seguito alcune novità che potranno avere rilievo significativo rispetto ai servizi cloud.

Il Regolamento, innanzitutto - che sarà immediatamente esecutivo negli Stati membri dal 2018 - contiene una disciplina unitaria, in sostituzione delle normative nazionali, risolvendo il problema della normativa applicabile nel caso di servizi cloud caratterizzati dall’internazionalità dei soggetti/luoghi. Il Regolamento sarà applicabile anche alle Imprese extraUE che offrono servizi nell’Unione, seguendo il criterio del data subject: è evidente che è una garanzia a favore dell’utilizzatore dei servizi cloud la previsione dell’assoggettamento alla nuova normativa europea della Privacy anche per i Provider stranieri che forniscono servizi a clienti europei.


Particolarmente utile in riferimento all’argomento della responsabilità dei cloud provider rispetto alla tutela della privacy, è anche, la previsione delle figure dei Joint controllers (titolari congiunti). Nell’ambito del medesimo trattamento di dati, ci potranno essere due titolari o co-titolari (l’utente e il provider) che si spartiranno le responsabilità in materia, in un accordo definito e che sarà di riferimento per il caso di controlli, di violazioni, di contenzioso.

Ancora potranno avere rilievo il diritto riconosciuto dal Regolamento alla portabilità dei dati, in caso di cambio del fornitore dei servizi; il principio di accountability, ossia l’obbligo per il titolare di dimostrare l’adeguatezza e l’efficacia nei fatti delle misure di sicurezza adottate per la tutela della privacy in conformità al regolamento; gli obblighi previsti di data breaches notification, ovvero di tempestiva segnalazione alle autorità e all’interessato di trattamenti non corretti o errati o l’obbligo di rispetto di predefiniti principi già nella fase di ideazione di nuovi prodotti o servizi (privacy by design). Vedremo con il tempo come il nuovo Regolamento appena approvato influirà concretamente sul cloud.


Si segnala, da ultimo, che nell’agosto 2014 l’Ente di certificazione internazionale ISO ha pubblicato la normativa ISO/IEC 27018:2014: un insieme di regole e principi internazionali, uno standard specificamente elaborato per i fornitori di servizi di cloud, costruito su standard precedenti (ISO 27001 e 27002), verificabili da Organismi terzi, che garantiscono che i providers di servizi cloud che ne siano dotati rispettano la normativa europea in materia di privacy. Dunque, nella individuazione del provider, può essere utile capire se è dotato degli standard ISO.

Altri aspetti legati ai servizi cloud sono quelli della sicurezza e segretezza dei dati, in relazione, non solo alla tutela della privacy, ma a contenuti aziendali riservati e a proprietà industriali da tutelare, di cui parleremo nella prossima rubrica.

 

L'autore

Veronica Morlacchi

Laureata a pieni voti in giurisprudenza, è Avvocato Cassazionista, iscritta all’Albo degli Avvocati di Busto Arsizio dal 2004 e all’Albo degli Avvocati abilitati al Patrocinio davanti alla Corte di Cassazione e alle altre Giurisdizioni superiori. Si occupa principalmente, nell’interesse di Privati, Professionisti, Aziende ed Enti pubblici, di diritto civile, in particolare responsabilità civile e risarcimento danni, diritto delle nuove tecnologie e privacy, contratti, persone e famiglia. Ha conseguito un master in Responsabilità civile e un corso di perfezionamento in Tecniche di redazione dei contratti e, da ultimo, si è perfezionata in Data Protection e Data Governance all'Università degli Studi di Milano e in Strategie avanzate di applicazione del GDPR. Pubblica periodici aggiornamenti e articoli nelle materie di cui si occupa sul suo sito www.studioavvmorlacchi.it e da giugno 2016 collabora con Guru Advisor

banner5

fb icon evo twitter icon evo

Parola del giorno

L'acronimo SoC  (System on a Chip) nasce per descrivere quei circuiti integrati che, all'interno di un singolo chip fisico, contengono un...

>

YAML è un formato utilizzato per serializzare (ovvero salvare oggetti su supporti di memoria ad accesso seriale) dati, in modo...

>

Il termine Edge Computing descrive, all'interno di infrastrutture cloud-based, l'insieme di dispositivi e di tecnologie che permettono l'elaborazione dei dati ai...

>

L'acronimo FPGA  (Field Programmable Gate Array), descrive quei dispositivi hardware formati da un circuito integrato e con funzionalità programmabili tramite...

>

Il termine Agentless (computing) descrive operazioni dove non è necessaria la presenza e l'esecuzione di un servizio software (demone o...

>
Leggi anche le altre...

Download del giorno

Fiddler

Fiddler è un server proxy che può girare in locale per consentire il debug delle applicazioni e il...

>

Adapter Watch

Adapter Watch è uno strumento che permette di visualizzare un riepilogo completo e dettagliato delle informazioni riguardanti una determinata...

>

DNS DataView

DNS Lookup  è un tool a interfaccia grafica per effettuare il lookup DNS dal proprio PC, sfruttando i...

>

SolarWinds Traceroute NG

SolarWinds Traceroute NG è un tool a linea di comando per effettuare traceroute avanzati in ambiente Windows...

>

Network Inventory Advisor

Network Inventory Advisor  è uno strumento che permette di scansionare la rete e acquisire informazioni riguardanti tutti i...

>
Tutti i Download del giorno...

Archivio numeri

  • GURU advisor: numero 21 - maggio 2019

    GURU advisor: numero 21 - maggio 2019

  • GURU advisor: numero 20 - dicembre 2018

    GURU advisor: numero 20 - dicembre 2018

  • GURU advisor: numero 19 - luglio 2018

    GURU advisor: numero 19 - luglio 2018

  • GURU advisor: numero 18 - aprile 2018

    GURU advisor: numero 18 - aprile 2018

  • GURU advisor: numero 17 - gennaio 2018

    GURU advisor: numero 17 - gennaio 2018

  • GURU advisor: numero 16 - ottobre 2017

    GURU advisor: numero 16 - ottobre 2017

  • GURU advisor: numero 15 - luglio 2017

    GURU advisor: numero 15 - luglio 2017

  • GURU advisor: numero 14 - maggio 2017

    GURU advisor: numero 14 - maggio 2017

  • 1
  • 2
  • 3
  • Teslacrypt: rilasciata la chiave

    Gli sviluppatori del temuto ransomware TeslaCrypt hanno deciso di terminare il progetto di diffusione e sviluppo e consegnare al pubblico la chiave universale per decifrare i file. Read More
  • Proxmox 4.1 sfida vSphere

    Proxmox VE (da qui in avanti semplicemente Proxmox) è basato sul sistema operativo Debian e porta con sé vantaggi e svantaggi di questa nota distribuzione Linux: un sistema operativo stabile, sicuro, diffuso e ben collaudato. Read More
  • Malware: risvolti legali

    tutti i virus e in particolare i più recenti Ransomware, che rubano i vostri dati e vi chiedono un riscatto, violano la legge. Vediamo insieme come comportarsi, per capire anche se e quando bisogna sporgere denuncia. Read More
  • 1