Qualche settimana fa è stata pubblicata nell’edizione 2024 dell’Italian Legal Tech Report, edito da Giuffrè, un’analisi a cura del sottoscritto del nuovo Data Privacy Framework (premere qui per leggere). Qualche tempo prima, su Ciberspazio e Diritto, edito da Mucchi Editore, fu pubblicata invece un’analisi, sempre a cura del sottoscritto, sui contratti di cloud computing (premere qui per leggere). Con il presente contributo, si tenterà di unificare le due analisi, ponendo l’accento sui profili del trasferimento dei dati nell’ambito del cloud computing.
Cominciamo col chiarire che sono tre, le principali categorie di servizi di cloud computing:
- SaaS (Software as a Service): la tecnologia utilizza software installati su server remoti e non sul computer dell’utente;
- IaaS (Infrastructure as a Service): si riferisce alla fornitura di spazio di archiviazione per i file degli utenti, spesso con sincronizzazione automatica (ad esempio, Google Drive, iCloud Apple, Dropbox);
- PaaS (Platform as a Service): consente ai clienti di sviluppare applicazioni nel cloud.
Ora, com’è noto, in base alla normativa sulla privacy, il titolare del trattamento è obbligato a nominare quale responsabile del trattamento il gestore del servizio di cloud computing . Ma, com’è facile intuire, tale regola è alquanto difficile da applicare nella pratica, perché i contratti tra il titolare e il gestore del servizio sono spesso regolati da condizioni generali non modificabili e perché il gestore deve agire solo su istruzione documentata del titolare.
Spesse volte, una soluzione è quella che prevede che il gestore del servizio cloud venga nominato responsabile tramite una lettera di nomina predisposta in realtà dal responsabile stesso. Questa prassi trae origine dal WP29, che ha più volte chiarito che il cliente cloud determina le finalità del trattamento e, quindi, agisce come titolare del trattamento, mentre il fornitore cloud, che fornisce servizi per conto del cliente, è considerato responsabile del trattamento.
Ora, fatta tale premessa, bisogna capire che il cloud computing comporta la mancanza di una localizzazione stabile dei dati, i quali ben possono essere trasferiti a livello globale e in tempi davvero molto brevi. E’ questo un evidente profilo di criticità.
Tale tecnologia, in effetti, rende alquanto limitati gli strumenti giuridici tradizionali per la regolamentazione dei trasferimenti di dati verso paesi terzi extra-UE senza adeguate tutele.
Un tempo, prima dell’entrata in vigore del GDPR, si riteneva aversi un trasferimento di dati personali quando i dati venivano trasferiti da un soggetto europeo a uno extra-europeo, indipendentemente dalla localizzazione effettiva del trattamento. Ma l’art. 3 del GDPR ha in effetti modificato l’ambito di applicazione oggettivo della precedente normativa europea, senza però incidere sulla definizione di trasferimento, il quale si realizza quando i dati sono fisicamente dislocati fuori dall’UE (per approfondimenti sulla nozione di trasferimento, premere qui). Pertanto, qualora ad esempio un soggetto europeo stipulasse un contratto con un fornitore extra-europeo che però utilizzi server localizzati in Europa, allora non si configurerebbe un trasferimento di dati personali all’estero.
Ma vediamo meglio.
Si prenda il caso di una piccola azienda italiana che utilizza un servizio di gestione clienti (CRM) basato su SaaS, fornito da una società canadese. I server del CRM si trovano in Canada. In questo caso, il trasferimento dei dati dei clienti dall’Italia al Canada rappresenta un trasferimento di dati personali verso un paese terzo extra-UE. Per essere conforme al GDPR, l’azienda deve assicurarsi che siano in atto adeguate garanzie, come le clausole contrattuali standard approvate dalla Commissione Europea, per proteggere i dati durante il trasferimento e il trattamento in Canada.
Si prenda ancora il caso di un’azienda europea che utilizza un servizio di archiviazione cloud, come Google Drive. Anche se Google ha data center in Europa, il servizio potrebbe sincronizzare i dati su server ubicati in vari paesi del mondo, compresi quelli extra-UE. Questo scenario comporta il trasferimento dei dati a livello globale. Per garantire la conformità, Google deve implementare misure di sicurezza adeguate e rispettare le regole del GDPR, utilizzando strumenti giuridici come le Binding Corporate Rules (BCR) o le clausole contrattuali standard.
Supponiamo ancora che un’azienda sviluppi un’applicazione utilizzando un servizio PaaS fornito da una multinazionale con server sparsi in diversi continenti. Gli sviluppatori lavorano da varie sedi internazionali, trasferendo dati e codice tra server situati in Europa, Asia e America. Anche se i dati potrebbero essere elaborati in vari paesi, l’azienda deve garantire che tutti i trasferimenti siano conformi alle regole del GDPR. Questo può comportare la stipula di accordi specifici con il fornitore del servizio per assicurare che i dati siano trattati con le stesse tutele richieste in Europa.
Un’altra situazione può coinvolgere l’utilizzo di una soluzione di cloud ibrido, dove un’azienda europea utilizza sia server on-premise (localizzati in Europa) che server cloud (che possono essere localizzati in qualsiasi parte del mondo). I dati possono essere trasferiti dinamicamente tra l’infrastruttura interna e il cloud pubblico in risposta alle esigenze di elaborazione. Anche in questo caso, l’azienda deve assicurarsi che qualsiasi trasferimento di dati verso server extra-UE sia gestito secondo le regole del GDPR, utilizzando garanzie adeguate e monitorando costantemente la conformità.
Immaginiamo ancora un’azienda europea che utilizza un servizio di backup e disaster recovery offerto da una società con data center globali. I dati aziendali vengono periodicamente trasferiti e archiviati in questi data center per garantire la continuità operativa in caso di emergenza. Se alcuni di questi data center sono situati fuori dall’UE, l’azienda deve implementare misure di protezione e garanzie legali, come la stipula di accordi di trasferimento dati basati sulle clausole contrattuali standard, per assicurare che i dati siano protetti adeguatamente.
Per approfondire:
- BIGNAMI-RESTA, Transatlantic Privacy Regulation: Conflict and Cooperation, 78 Law & Cont. Probl. 101, 2015;
- BOLOGNINI-PELINO-BISTOLFI, Il regolamento privacy europeo. Commentario alla nuova disciplina sulla protezione dei dati personali, Milano, 2016;
- MANTELERO, L’ECJ invalida l’accordo per il trasferimento dei dati personali fra EU ed USA. Quali scenari per i cittadini ed imprese?, in Contr. e impresa/Europa, 2015, 719;
- MENEGHETTI, L’adeguatezza dei trasferimenti di dati personali negli USA, anche alla luce del nuovo Regolamento privacy Trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali (artt. 44-50), in FINOCCHIARO, Il nuovo regolamento europeo sulla privacy e sulla protezione dei dati personali, Bologna-Roma, 2017;
- PIRODDI, I trasferimenti di dati personali verso Paesi terzi dopo la sentenza Schrems e nel nuovo regolamento generale sulla protezione dei dati, Dinf., 2015, 827;
- RESTA-ZENO-ZENCOVICH (a cura di), La protezione transnazionale dei dati personali. Dai "safe harbour principles" al "privacy shield", Roma, 2016;
- RICCIO, Model Contractual Clauses e Corporate Binding Rules: valide alternative al Safe Harbor Agreement?, Dinf., 2015, 867;
- SICA-D’ANTONIO-RICCIO, La nuova disciplina europea della privacy, Padova, 2016;
- SWIRE, US Surveillance Law, Safe Harbor, and Reforms Since 2013, in Georgia Tech Scheller College of Business Research Paper, No. #36, 2015.
Nicola Nappi
Ultimi post di Nicola Nappi (vedi tutti)
- L’esercizio di poteri pubblici come deroga al trasferimento transfrontaliero di dati personali - Novembre 18, 2024
- Il legittimo interesse del titolare come deroga al trasferimento transfrontaliero dei dati personali - Novembre 11, 2024
- Trasferimento di dati da registri pubblici: le deroghe e i limiti dell’art. 49 del GDPR - Novembre 4, 2024
- L’interesse vitale dell’interessato o di altre persone come deroga al trasferimento transfrontaliero di dati personali - Ottobre 28, 2024
- L’esercizio o la difesa di un diritto in sede giudiziaria come deroga al trasferimento transfrontaliero di dati personali - Ottobre 21, 2024