Guida all’uso del cloud: le raccomandazioni dell’Autorità garante danese – parte 1

Il Datatilsynet ha pubblicato una guida sull’utilizzo del cloud con il fine di approfondire le modalità tramite le quali è possibile utilizzare tali servizi e garantire, al contempo, il rispetto del Regolamento Europeo 679/2016.

10 Mag 2022

Livio Sannino

studio GTEA

Luca Giacobbe

studio GTEA

Il cloud computing rientra senz’altro tra i servizi digitali più utilizzati, tanto da essere ormai annoverato nel concetto di commodity, di bene standard di natura e prestazioni sostanzialmente equivalenti reperibili nel mercato ma, allo stesso tempo, in cui l’asimmetria informativa tra il “cloud consumer” e il “cloud provider” è in assoluto più evidente e marcata rispetto ad altri settori.

Cos’è il cloud computing

Ci sono varie definizioni di cloud in letteratura scientifica. Secondo AGID si tratta “Insieme di infrastrutture tecnologiche remote utilizzate come risorsa virtuale per la memorizzazione e/o l’elaborazione nell’ambito di un servizio” mentre la proposta dal National Institute of Standards and Technology (NIST) [NIST11] e da un gruppo di esperti riuniti dalla Comunità Europea nel report “The Future of Cloud Computing” [EC10] lo definisce più estensivamente “un ambiente di esecuzione elastico che consente l’accesso via rete e su richiesta ad un insieme condiviso di risorse di calcolo configurabili (ad esempio rete, server, dispositivi di memorizzazione, applicazioni e servizi) sotto forma di servizi a vari livelli di granularità. Tali servizi possono essere rapidamente richiesti, forniti e rilasciati con minimo sforzo gestionale da parte dell’utente e minima interazione con il fornitore.”

WHITEPAPER
Canale ICT: 5 misure di successo automatizzare il business
Sicurezza
Software

In seguito agli eventi post pandemici, il cloud computing ha permesso alle aziende e ai singoli individui di continuare le proprie attività di impresa operando da remoto.

Al contempo i servizi cloud hanno consentito negli anni alla PA dare concreta applicazione ai principi di efficacia, efficienza, trasparenza, partecipazione, condivisione, cooperazione, interoperabilità e sicurezza previste dal Codice dell’Amministrazione Digitale.

I profili problematici di tale servizio sono stati già analizzati dal Working Party art.29[1] all’interno del parere n.5/2012, secondo il quale “la diffusione su vasta scala dei servizi di cloud computing comporta una serie di rischi per la protezione dei dati, in particolare una mancanza di controllo sui dati personali, nonché informazioni insufficienti in merito alle modalità, al luogo e all’esecutore del trattamento/subtrattamento dei dati”.

Con la pubblicazione del report “Guidance on the use of cloud del 9 marzo 2022, l’Autorità Garante per la protezione dei dati personali danese ha fornito una guida con l’obiettivo di indirizzare gli operatori del settore verso una corretta gestione del cloud computing, rispettando i principi espressi dal GDPR.

Nel dettaglio, l’autorità danese si concentra su cinque aspetti principali:

  • le attività di assessment (valutazione) preliminare e gli obblighi del titolare del trattamento.
  • dettagli sul fornitore dei servizi di cloud (Communication Service Provider, CSP);
  • le attività di audit;
  • il trasferimento dei dati a paesi terzi;
  • i servizi di cloud ubicati in USA;

Attività di assessment preliminare e obblighi del titolare

Il soggetto titolare del trattamento deve procedere a identificare: (i) i dati personali oggetto del trattamento; (ii) gli scopi del trattamento e (iii) le modalità attraverso cui i dati personali vengono trattati.

Al fine di agire in aderenza al principio di accountability, il titolare deve archiviare le risultanze delle analisi di cui sopra in uno specifico documento che servirà – se del caso – a dimostrare la correttezza del proprio agire alla autorità garanti nazionali.

Questa fase preliminare, secondo l’autorità danese, è necessaria per poter procedere alla corretta valutazione dei rischi del cloud computing rispetto ai diritti e le libertà dei soggetti interessati. Solo in tal modo sarà possibile, successivamente, procedere a implementare le idonee misure tecniche e organizzative per mitigare tali rischi.

Fermo quanto sopra, il Datatilsynet rileva che spesso i servizi di cloud – per loro stessa natura – non permettono al titolare del trattamento di incidere su alcuni aspetti tecnico/gestionali dei dati inviati. Pertanto, se nell’ambito delle attività di assessment il titolare si trova ad appurare una insufficienza in punto di tutela dei dati personali sulla quale non può intervenire, allora tali servizi non possono essere utilizzati o, se già utilizzati, devono essere abbandonati.

In questa fase di valutazione il titolare del trattamento, di concerto con il CSP, deve verificare se:

  • il CSP tratta dati addizionali rispetto a quelli forniti dal titolare stesso (ad es. metadata o altri dati di servizio). In tal caso, il titolare deve valutare con attenzione qual è il soggetto titolare del trattamento, le relative cautele, ecc.;
  • il CSP tratta dati personali forniti dal Titolare anche per propri scopi specifici (sul punto, cfr. infra);

Assessment sulla sicurezza del trattamento

Per quanto attiene alla valutazione relativa alla sicurezza del trattamento, l’autorità danese ricorda che è obbligo specifico del titolare procedere a stabilire idonee misure di sicurezza.

Deve sottolinearsi che nella visione del Datatilsynet il CSP è, nella maggioranza dei casi, il soggetto responsabile del trattamento. Ciò significa che è quest’ultimo a dover implementare materialmente le misure di sicurezza decise dal Titolare.

Nella pratica, spesse volte il CSP è una società di grandi dimensioni già in possesso di determinati standard e policy di sicurezza. In tali casi compito del titolare è quello di:

  • verificare qual è il livello di sicurezza implementato dal CSP, revisionando i documenti forniti dal CSP stesso e – ove opportuno – confrontarsi con quest’ultimo;
  • verificare se il livello di sicurezza del CSP è appropriato rispetto al trattamento dei dati personali che deve essere effettuato.

Posto che allo stato la maggior parte degli erogatori di servizi di cloud computing hanno standard di tutela mediamente elevati e idonei a proteggere correttamente i dati personali, ciò non esonera il titolare dall’effettuare gli opportuni controlli e, soprattutto dall’implementare misure di sicurezza addizionali per talune categorie di dati (ad es. trattamento di dati sanitari su larga scala).

Secondo l’autorità danese, pertanto, è importante che il titolare del trattamento abbia il potere (contrattualmente stabilito) di obbligare il CSP a implementare le misure addizionali di volta in volta richieste.

cloud computing

Danimarca

Dettagli sul fornitore di servizi cloud computing: adempimenti

Come si è accennato, secondo l’istituzione danese – salvo i casi di contitolarità del trattamento – il CSP deve essere considerato come responsabile, ossia come il soggetto che tratta i dati personali in nome e per conto del titolare del trattamento.

È necessario che tale rapporto titolare/responsabile venga giuridicamente inquadrato mediante un contratto (cd. data processing agreement).

In generale, non vi sono limiti rispetto alle libere scelte imprenditoriali del titolare del trattamento. Ciò significa che quest’ultimo può liberamente scegliere a quale CSP affidarsi. L’unica limitazione sul punto è data dal fatto che, in ogni caso, è necessario selezionare un servizio di cloud computing che sia in grado di fornire idonee garanzie rispetto alla corretta applicazione delle norme in materia di privacy e alle direttive eventualmente imposte dal data processing agreement.

Il garante danese si spinge fino a fornire un breviario delle domande cui il titolare del trattamento dovrebbe dare risposta prima di concludere un contratto per la fornitura di servizi di cloud. Nel dettaglio il CSP:

  • in aderenza a quanto previsto dal data processing agreement – è vincolato a trattare dati personali esclusivamente sulla base delle informazioni fornite dal titolare oppure può trattare anche dati personali anche per scopi propri[3]?
  • è in possesso di policy e procedure proprietarie in grado di assicurare che i propri impiegati abbiano obblighi di riservatezza? In tal caso, il fornitore può dimostrarne l’effettivo rispetto?
  • ha un idoneo sistema di misure di sicurezza?
  • può effettuare attività di screening verso i sub-responsabili? Il CSP deve fornire al titolare la documentazione del sub-responsabile?

In caso affermativo, è presente un termine per inviare la documentazione di cui sopra. L’accordo con il sub-responsabile è speculare a quello tra il titolare e il responsabile?

  • è cosciente del quadro generale in cui opera il sub-responsabile (ad es. in quali paesi opera)? In caso di risposta affermativa, il CSP è in possesso di un servizio di trasferimento di dati considerato sicuro?
  • possiede delle procedure che possano aiutare il titolare a gestire le richieste dei soggetti interessati?
  • possiede procedure specifiche per i casi di cd. data breach?
  • restituisce o cancella i dati personali alla fine delle operazioni di trattamento?
  • possiede delle procedure che permettano di assistere il titolare nelle attività di audit?

Quanto alla stesura del data processing agreement, sono previsti alcuni contenuti minimi inderogabili. Nello specifico, l’atto deve essere redatto per iscritto (anche, eventualmente, in formato elettronico) e deve riportare, tra gli altri, l’oggetto e la durata del trattamento, la natura e gli scopi del trattamento, i tipi di dati trattati, le categorie di soggetti interessati, gli obblighi e i diritti del titolare del trattamento, oltre agli oneri del responsabile in relazione alle attività di trattamento.

Note

  1. Gruppo di lavoro europeo indipendente che, fino al 25 maggio del 2018 (entrata in vigore del GDPR) aveva lo scopo di occuparsi di questioni relative alla protezione della vita privata e dei dati personali
  2. Si prega di notare che in via di principio il fornitore, in quanto responsabile, non potrà trattare dati personali per scopi propri se non nei casi previsti dal diritto dell’unione o dello stato di appartenenza.

WHITEPAPER
Gestione dei contratti e GDPR: guida all’esternalizzazione di attività dei dati personali
Legal
Privacy
@RIPRODUZIONE RISERVATA
S
Livio Sannino
studio GTEA
G
Luca Giacobbe
studio GTEA
Argomenti trattati

Approfondimenti

B
big data
C
cloud
C
cloud sicurezza
G
GDPR

Articolo 1 di 4