Le responsabilità privacy per le PA che si avvalgono di servizi di cloud computing
È facile dire “la pa deve passare al cloud computing”, ma spesso ci si dimentica di una serie di vincoli normativi che devono essere presi in considerazione quando si adottano tecnologie talmente potenti da cambiare i processi gestionali di un ente. Ad esempio di chi è la reponsabilità giuridica? Dell’amministrazione, del fornitore locale o del fornitore internazionale? Nulla di grave, basta pensare in anticipo a questi elementi di criticità prevedendoli nei contratti come ci spiega Graziano Garrisi.
3 Ottobre 2012
Graziano Garrisi
È facile dire “la pa deve passare al cloud computing”, ma spesso ci si dimentica di una serie di vincoli normativi che devono essere presi in considerazione quando si adottano tecnologie talmente potenti da cambiare i processi gestionali di un ente. Ad esempio di chi è la reponsabilità giuridica? Dell’amministrazione, del fornitore locale o del fornitore internazionale? Nulla di grave, basta pensare in anticipo a questi elementi di criticità prevedendoli nei contratti come ci spiega Graziano Garrisi.
Il corretto inquadramento giuridico dei ruoli in ambito privacy è una delle variabili più complesse nelle valutazioni che una PA deve effettuare quando programma di implementare servizi di cloud computing.
Anche su questo tema sono state sviluppate da DigitPA (ora Agenzia per l’Italia Digitale) Raccomandazioni e proposte sull’utilizzo del cloud computing nella Pubblica Amministrazione[1].
Prima di affrontare le problematiche inerenti alla corretta configurazione dei ruoli e delle responsabilità nel trattamento dei dati, è necessario fornire alcuni chiarimenti sulle figure-chiave del Responsabile del trattamento e del Titolare dei dati.
L’articolo 29, comma 3, del d.lgs. n. 196/2003 (Codice Privacy) consente al Titolare di nominare uno o più Responsabili del trattamento, anche con suddivisione di compiti. Qualora si voglia procedere a una nomina in tal senso, occorrerà designare “soggetti che per esperienza, capacità ed affidabilità forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza”.
Dopo la nomina, il Responsabile dovrà procedere al trattamento attenendosi alle istruzioni impartitegli dal Titolare, il quale, anche attraverso verifiche periodiche, ne resta corresponsabile (si parla in tali casi della c.d. culpa in eligendo e culpa in vigilando).
Le Raccomandazioni di DigitPA evidenziano sin da subito alcune peculiarità nella regolamentazione giuridica e nella gestione dei rapporti tra i diversi soggetti coinvolti nella fornitura del servizio, in quanto il cloud provider ha un ruolo esclusivo, rispetto al cosiddetto buyer, nel decidere il profilo della sicurezza e la modalità di erogazione del proprio servizio, incluse le scelte relative alla circolazione dei dati nei diversi luoghi e tra distinti soggetti (come, ad esempio, i suoi subfornitori).
In genere, i soggetti esterni alla struttura del Titolare del trattamento, ai quali vengono comunicati dati personali per l’esecuzione di particolari trattamenti o servizi, possono essere considerati quali Responsabili in outsourcing (ai sensi dell’art 29 D. Lgs. 196/2003) o titolari del trattamento c.d. autonomi.
Come è stato correttamente affermato nelle citate Raccomandazioni, se è indiscusso che la PA che acquista servizi di cloud debba essere senz’altro considerata quale Titolare del trattamento[2], alcuni problemi di inquadramento giuridico si pongono per il fornitore di servizi di cloud computing (cloud provider); tale soggetto, infatti, a seconda delle circostanze, potrebbe essere considerato quale titolare autonomo del trattamento o quale responsabile ex art. 29 d.lgs. 196/2003.
Ai sensi della vigente normativa privacy, infatti, sembrerebbe più ragionevole la scelta di una soluzione basata sulla titolarità autonoma tra i due soggetti coinvolti. Tuttavia, la prassi che è stata riscontrata negli accordi per la fornitura di servizi cloud è quella di definire il cloud provider un responsabile esterno del trattamento (soluzione sicuramente possibile, dipendendo questa scelta dalle caratteristiche dell’effettivo rapporto che si instaura tra buyer e provider).
La distinzione ha importanti conseguenze, perché, mentre i “responsabili” operano seguendo le istruzioni e i compiti specifici impartiti dal titolare del trattamento – in particolare per quanto attiene alle misure di sicurezza per il trattamento dei dati personali loro affidati – il “titolare” esterno ha piena autonomia nella gestione del trattamento dei dati (nomina i propri incaricati del trattamento, decide l’hardware e il software da utilizzare per il trattamento dei dati, implementa a sua discrezione le misure di sicurezza da adottare, etc.). In sostanza, il titolare autonomo non deve sottostare alle direttive e al potere di controllo del titolare del trattamento, potendo eventualmente limitarsi a rilasciare a quest’ultimo una dichiarazione che attesti di aver messo in atto e di rispettare tutte le misure di sicurezza e organizzative vigenti in materia di corretto trattamento di dati personali.
Tuttavia, occorre considerare che l’obbligo di rispettare le istruzioni fornite dal titolare diventa nella prassi un precetto inverosimile da realizzare, soprattutto quando si ha a che fare con grandi fornitori di servizi di cloud computing; parimenti, può risultare molto difficile per il titolare effettuare un concreto controllo sull’attività svolta, sul rispetto delle istruzioni impartite e delle misure di sicurezza dichiarate (art. 29, comma 5, D. Lgs. 196/03).
Questa scelta, pertanto, il più delle volte comporta l’impossibilità pratica di impartire istruzioni dettagliate al cloud provider e, quindi, di esercitare quel controllo tipico del titolare sul responsabile. Alla luce di quanto esposto, la soluzione suggerita nelle Raccomandazioni citate propende per una titolarità autonoma del cloud provider, in quanto tale rapporto è ritenuto più aderente alla normativa privacy odierna.
In ogni caso, modalità e finalità del trattamento, comprese le relative misure di sicurezza, sono tutti aspetti che è necessario regolamentare nel contratto, prevedendo specifici livelli di servizio (SLA – Service Level Agreement) anche per quanto attiene alle misure organizzative e di sicurezza previste dalla normativa in materia di privacy.
Altro profilo problematico nella scelta di una nomina a responsabile o titolare autonomo attiene all’eventuale necessità che il cloud provider si avvalga di ulteriori subfornitori (così come segnalato anche nelle Raccomandazioni). In tal caso, infatti, una sua nomina a responsabile da parte del buyer gli precluderebbe la possibilità, a sua volta, di nominare tali subfornitori responsabili del trattamento, secondo il principio privacy in base al quale chi è delegato non può a sua volta delegare (salvo che il contratto non lo preveda espressamente attraverso specifiche formule che possano aggirare l’ostacolo).
A sottolineare la delicatezza dell’esternalizzazione di tale servizio e delle problematiche concrete che devono essere affrontate in sede contrattuale e di definizione dei ruoli in ambito privacy, come è stato giustamente sottolineato anche nelle Raccomandazioni, le conseguenze dell’allocazione dei ruoli sono notevoli e si riflettono su tre ordini di questioni:
1) individuazione della legge nazionale applicabile;
2) definizione della responsabilità giuridica e dei poteri di accesso e controllo tra le parti;
3) individuazione della disciplina specifica applicabile al trattamento.
Quanto al primo punto, si ricorda che è lo stabilimento del titolare a determinare l’individuazione della legge nazionale applicabile (art. 5 del Codice Privacy, letto alla luce dell’art. 4 della Direttiva 95/46/CE). Pertanto, individuare se un cloud provider è titolare o responsabile ha conseguenze decisive sulle norme applicabili in concreto alla gestione del trattamento dei dati.
Quanto al secondo punto, i maggiori profili di criticità attengono ai doveri/poteri di controllo e di pretesa di rendiconto sul responsabile (ex art. 29 Codice Privacy) che in genere un titolare del trattamento deve poter esercitare quale conseguenza della propria posizione di vertice e della connessa responsabilità che ne deriva in caso di condotta omissiva.
Relativamente al terzo punto, infine, è stato evidenziato come la trasmissione di dati ad altro titolare integri di fatto un’operazione di comunicazione, con la relativa applicazione dell’articolo 19 comma 3 (se vengono trattati solo dati personali comuni), che presuppone l’esistenza di un’apposita norma di legge o di regolamento come condizione di liceità di tale operazione.
Da ultimo, occorre considerare che nel caso in cui si abbia a che fare con dati sensibili o giudiziari la situazione si potrebbe addirittura complicare, vista l’obbligatoria applicabilità agli enti pubblici dei princìpi stabiliti agli articoli 20, 21 e 22 del Codice Privacy e delle relative procedure che dettano i limiti e le modalità nel trattamento di tali dati così particolarmente delicati.
L’allocazione dei ruoli in ambito privacy, pertanto, nel settore pubblico e in quello privato, non può essere sottovalutata né sotto il profilo organizzativo né sotto quello contrattuale, essendo fondamentale stabilire in maniera precisa e puntuale le singole responsabilità a seconda del servizio di cloud scelto e della tipologia di dato trattato.
* avv. Graziano Garrisi Vice coordinatore ABIRT – Digital & Law Department (Studio Legale Lisi – www.studiolegalelisi.it)
[1] Versione del 28 giugno 2012.
[2] A tal proposito, si ricorda che l’articolo 58 del d.lgs. n. 82/2005 (Codice dell’Amministrazione Digitale) afferma un importante principio, disponendo che “il trasferimento di un dato da un sistema informatico a un altro non modifica la titolarità del dato”. I dati, pertanto, rimangono nella responsabilità della pubblica amministrazione con tutte le relative implicazioni in termini di sicurezza e organizzazione.