Ho letto recentemente un articolo in cui si racconta di come l’Europa sia sempre più propensa a blindare il cloud, quale diretta conseguenza del timore delle aziende europee per una escalation del cyber-rischio per i propri dati.
Da un lato, le aziende si affidano in misura crescente al cloud computing attraverso i grandi fornitori americani e, dall’altro lato, si premuniscono dal rischio della perdita di accesso e di controllo sui dati – o, peggio da quello di sottrazione di segreti industriali o di spionaggio governativo – cifrando il loro patrimonio di informazioni tramite provider europei specializzati in cyber-sicurezza.
“È un trend incoraggiato dagli stessi governi e regolatori: in Francia il vice-ministro dell’Economia Agnes Pannier-Runacher ha detto che le imprese che cedono il controllo dei loro dati pongono un “rischio sistemico”, mentre in Germania la Banca centrale ha messo in guardia gli istituti finanziari del paese e dell’Europa intera sulla necessità di un monitoraggio più severo del settore finance perché molti player stanno spostando i dati sul cloud“.
In Europa, pertanto, proliferano i cosiddetti intermediari dell’encryption, cioè quelle aziende che vendono prodotti di sicurezza che si interpongono fra i dati di un’organizzazione ed il suo fornitore cloud.
Tale tendenza è favorita anche dalla carente implementazione da parte degli USA di un’adeguata normativa sulla protezione dei dati personali che rispecchi e rispetti i principi sanciti dal GDPR.
In attesa che qualcosa si muova sul fronte politico internazionale per allineare i grandi fornitori di servizi cloud made in USA alle regole del GDPR, appare opportuno ricordare come si inserisce, nel contesto del GDPR, il contratto di cloud computing.
E’ noto che una delle principali declinazioni del rapporto tra Titolare del trattamento e Responsabile del trattamento è quella derivante dal contratto di outsourcing, attraverso il quale il Titolare esternalizza alcune attività di trattamento (tipico, ad esempio, è il caso del payroll), mantenendo, però, l’esclusiva prerogativa di determinare le finalità e i mezzi di tale trattamento e con la correlativa contropartita (facoltà/dovere) di vigilare sull’operato del Responsabile.
Come ho già avuto modo scrivere in passato (“GDPR e cloud: attenzione ai contratti“), a questa categoria appartiene anche il contratto di cloud computing dove, però, molto spesso si verifica una situazione di forza contrattuale inversa, dato che il fornitore di servizi cloud (il Responsabile del trattamento) è di norma una grande impresa multinazionale, mentre l’impresa che si avvale del servizio (il Titolare del trattamento) è una realtà imprenditoriale molto più modesta.
In questi casi, è assai improbabile che il Titolare del trattamento possa avere qualche chance di verificare /sorvegliare l’attività del Responsabile, con buona pace per l’effettività del controllo sul Responsabile che viene prescritta dal GDPR.
A tale criticità si possono aggiungere altri due ulteriori elementi di non trascurabile rilevanza:
- il Titolare che affida i propri dati al Responsabile/cloud provider potrebbe avere grandi difficoltà nello stabilire / verificare dove quest’ultimo elabora, tratta e archivia effettivamente i suoi dati (Paesi Ue o extra UE?);
- il Responsabile potrebbe designare a sua volta dei sub-Responsabili, che potrebbero collocare i propri data center al di fuori dei confini europei, per contenere i costi, in Paesi terzi che potrebbero anche essere considerati non adeguati.
Fino a che il quadro normativo internazionale resterà così frammentario, è, quindi, sempre più importante non badare esclusivamente al prezzo del servizio di cloud quanto assicurarsi che, nel contratto con il cloud provider, sia perlomeno previsto:
- l’obbligo del provider di specificare se i dati rimarranno nella sua disponibilità o saranno trasferiti a subfornitori e in quali luoghi fisici sono collocati i server e i data center;
- l’obbligo del provider al puntuale rispetto delle disposizioni dettate dal GDPR in materia di trasferimento dei dati all’estero;
- l’impegno del provider a non trattare i dati del cliente in luoghi diversi da quelli dichiarati;
- l’obbligo del fornitore del servizio ad informare immediatamente il cliente se si modificano cambiamenti nella catena dei subfornitori che possano influire sulle cautele da adottarsi in relazione al trasferimento di dati all’estero;
- l’impegno del provider a comunicare al Titolare del trattamento, senza ritardo, i dati necessari per permettere a quest’ultimo di rispettare i termini stringenti previsti dal GDPR in relazione all’esercizio dei diritti dell’interessato (accesso, aggiornamento, rettifica, integrazione, opposizione, cancellazione);
- l’impegno del provider a comunicare immediatamente al Titolare del trattamento qualsiasi violazione dei dati in suo possesso (data breach) per consentire a quest’ultimo di procedere alla notifiche del caso negli stringenti termini previsti dal GDPR.