GDPR e cloud: attenzione ai contratti

Le disposizioni dettate dal Regolamento UE 679/2016 (GDPR) in materia di sicurezza dei dati, pongono delicate ma importanti sfide alle aziende che hanno in essere o che vogliano procedere al trattamento dei propri dati tramite servizi di cloud computing.

Considerato che, nella maggior parte dei casi, nel contratto di cloud, il cliente del servizio riveste il ruolo di titolare del trattamento e il fornitore (il cloud provider) assumerà la veste di responsabile del trattamento, l’azienda che destina i propri dati nel cloud, deve avere il potere/dovere di controllo sul provider in merito alla corretta esecuzione degli adempimenti previsti dal GDPR in relazione ai dati trattati.

Diviene, dunque, contenuto imprescindibile del contratto tra cliente e cloud provider la previsione, a favore del titolare del trattamento, della facoltà di essere sempre messo nella condizione di svolgere un controllo effettivo sui dati comunicati al fornitore del servizio, perchè solo in questo modo il primo può realmente vigilare sul puntuale rispetto delle misure di sicurezza da parte del secondo e sulla loro adeguatezza.

Cliente e fornitore dovranno, inoltre, operare in modo estremamente coordinato per assicurare l’applicazione di tutte le misure di sicurezza tecniche ed organizzative ritenute adeguate (ad esempio, cifratura o pseudonimizzazione), in base alla ripartizione delle rispettive competenze, così come previste contrattualmente (anche in base allo specifico contratto di cloud scelto: Saas, PaaS, IaaS).

Possono considerarsi misure adeguate per garantire la sicurezza dei dati nell’ambito del servizio di cloud le seguenti:

  1. utilizzo di reti e protocolli sicuri per la trasmissione di dati tra azienda e provider;
  2. criptazione dei dati conservati presso i database del cloud provider;
  3. sottrazione alla disponibilità del cloud provider della chiave di criptazione dei dati cifrati;
  4. implementazione delle forme di autenticazione forte;
  5. introduzione di sistemi di rimozione automatizzata degli utenti non più autorizzati all’accesso al cloud;
  6. sistemi di tracciamento degli accessi con conservazione, per un periodo definito, dei relativi log;
  7. introduzione di meccanismi di notifica immediata di qualsiasi evento di sicurezza.

Nonostante la notoria rigidità degli schemi contrattuali offerti dai fornitori di servizi cloud sul mercato, il titolare del trattamento dovrà, pertanto, ottenere dal cloud provider che, nel contratto, sia perlomeno previsto:

  • l’obbligo del provider di indicare se i dati rimarranno nella sua disponibilità o saranno trasferiti a subfornitori e in quali luoghi fisici saranno collocati i server e i data center;
  • l’obbligo del provider al puntuale rispetto delle disposizioni dettate dal GDPR in materia di trasferimento dei dati all’estero;
  • l’impegno del provider a non trattare i dati del cliente in luoghi diversi da quelli dichiarati;
  • l’obbligo del fornitore del servizio ad informare immediatamente il cliente se si modificano cambiamenti nella catena dei subfornitori;
  • l’impegno del provider ad adottare tutte le misure tecniche e gli accorgimenti prescritti dal GDPR anche sotto il profilo della propria organizzazione interna (capacità ed affidabilità degli amministratori di sistema del cloud provider, precisa identificazione degli ambiti di operatività di ciascun amministratore di sistema, verifica annuale periodica sul loro operato, etc.), con il correlativo impegno del medesimo ad esibire al cliente, su richiesta, l’elenco aggiornato degli amministratori di sistema;
  • l’impegno del provider a comunicare al titolare del trattamento, senza ritardo, i dati necessari per permettere a quest’ultimo di rispettare i termini stringenti previsti dal GDPR in relazione all’esercizio dei diritti dell’interessato (accesso, aggiornamento, rettifica, integrazione, opposizione, cancellazione);
  • l’impegno del provider a comunicare immediatamente al titolare del trattamento qualsiasi violazione dei dati in suo possesso (data breach) per consentire a quest’ultimo di procedere alla notifica al Garante Privacy nel termine di 72 ore.

Mi domando se, alla luce delle caratteristiche e dei requisiti (negoziali e tecnici) cui dovrà necessariamente conformarsi il rapporto negoziale tra cliente e provider, i costi (per le aziende) e gli aumentati livelli di servizio, obblighi e responsabilità (in capo al cloud provider nei confronti del proprio cliente), non saranno tali da scoraggiare l’utilizzo di questo strumento, spostando il mercato verso soluzioni tecniche che permettano un più immediato e sicuro controllo diretto dei dati da parte delle aziende.

Per qualsiasi intervento, potete compilare il form qui sotto oppure potete anche commentare pubblicamente il post tramite l’apposita sezione “lascia un commento!” che trovate in fondo alla pagina dell’articolo (raggiungibile dalle sezioni “articoli recenti” o “categorie” che trovate nella parte destra della pagina).

Alessandro Ronchi

Informazioni su Alessandro Ronchi

Avvocato, appassionato di digital & data protection law
Questa voce è stata pubblicata in Privacy e contrassegnata con , . Contrassegna il permalink.

Cosa ne pensi? Lascia il tuo commento!