Dal punto di vista giuridico, il 2016 è senza dubbio l’anno della sicurezza informatica. Con la pubblicazione del Regolamento Generale sulla Protezione dei Dati (Regolamento UE 2016/679, “RGPD”), della Direttiva sul trattamento di dati da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati (Direttiva UE 2016/680, “Direttiva”) e inoltre con l’adozione da parte del Consiglio Europeo della Direttiva Network and Information Security (Direttiva Nis), non manca davvero nulla per porre, finalmente, la sicurezza informatica tra le priorità del settore pubblico e privato e tutelare, oltre che rassicurare adeguatamente, i consumatori rispetto alla domanda di servizi tecnologici.
Tuttavia, nonostante l’enorme sforzo dell’Europa per arrivare a una uniformità legislativa in tutti gli Stati membri, i servizi basati sul cloud vengono offerti, molto spesso, da soggetti collocati oltre i confini europei ove le suddette leggi sono inapplicabili. Si pongono allora alcune domande.
- È davvero così rischioso affidare i propri dati ad un provider extra UE?
- Quali garanzie per la sicurezza dei dati ci sono per il titolare del trattamento che sottoscrive un servizio in cloud?
- L’utente di servizi basati sul cloud sarà sempre costantemente afflitto dalle domande “chi può accedere ai miei dati?” e “cosa viene fatto con i miei dati?”, ovvero dalla domanda “dove sono i miei dati?”.
Chi ha la responsabilità dei dati? Dipende…
La sicurezza dei dati assume nel cloud un’importanza fondamentale e dev’essere analizzata sulla base di una duplice considerazione: in relazione sia alla sua visione “statica”, che comprende essenzialmente la protezione, l’archiviazione e la conservazione del dato sulle memorie dei computer che rispetto alla concezione “dinamica”, che riguarda il dato in transito su reti informatiche più o meno sicure.
Il nostro Codice Privacy (D.Lgs. n. 196/2003, che entro due anni sarà sostituito dal citato RGPD) attribuisce al titolare del trattamento degli obblighi ben precisi in merito alle misure di sicurezza da adottare. Infatti, egli è tenuto ad applicare ed eventualmente anche implementare le misure di sicurezza individuate nel Codice Privacy agli articoli 33 e seguenti e nel disciplinare tecnico di cui all’Allegato B dello stesso Codice.
Nelle realtà aziendali, queste misure di sicurezza si possono considerare consolidate, sia perché ormai si sono adeguate alle previsioni del Codice Privacy, sia perché si tratta di misure che per lo più corrispondono alle best practice previste in materia di sicurezza delle informazioni.
Coloro che decidono di sfruttare la tecnologia cloud devono però tenere in considerazione anche dove viene svolto il trattamento dei dati, i modelli di deployment nonché la tipologia di cloud utilizzato. Difatti, le misure di sicurezza previste nel caso di trattamento dei dati tramite l’utilizzo di strumenti elettronici devono essere calate nei modelli di cloud di cui si può usufruire (SaaS, Iaas, PaaS).
In generale, quanto più il provider di un servizio cloud si allontana dalla gestione e dal trattamento dei dati, tanto più sarà sgravato da responsabilità e adempimenti.
Per esempio, nel modello IaaS (Infrastructure as a Service), in cui il provider ha un’azione davvero limitata relativamente alla gestione dei dati, è principalmente il titolare che ha sottoscritto il servizio a dover adottare tutte le misure di sicurezza per garantire che il trattamento dei dati avvenga in modo sicuro. Il provider, infatti, si limita a fornire l’infrastruttura e non entra nel merito di come questa venga utilizzata dal titolare. Le uniche misure minime di sicurezza che può fornire il provider sono quelle inerenti la protezione degli strumenti elettronici forniti al titolare, utente del servizio, al fine di proteggere i dati rispetto a trattamenti illeciti ed accessi non consentiti, come previsto dalla lettera e) dell’art. 34 del Codice Privacy. Il titolare, quindi, si deve preoccupare di garantire tutte le misure idonee di sicurezza relative, per esempio, all’adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati sensibili come quelli relativi allo stato di salute o la vita sessuale dei soggetti, effettuati da organismi sanitari.
La suddivisione delle responsabilità tra i due soggetti (provider e titolare/utente), si riflette in quasi tutti gli obblighi derivanti dalla messa in pratica delle misure di sicurezza previste dal Codice Privacy.
Il modello all’estremo opposto rispetto all’IaaS è il SaaS (Software as a Service), in cui è principalmente il provider che deve garantire le misure di sicurezza previste dal Codice Privacy. Il fornitore, in primo luogo, si dovrà occupare di mettere a disposizione degli utenti un sistema di autenticazione ed uno di autorizzazione che includa un set predefinito di ruoli, autorizzazioni e regole di business. Inoltre, deve assicurare, al fine di evitare l’accesso abusivo di dati sensibili o giudiziari, una connessione protetta per mezzo di una cifratura robusta (Secure VPN), oltre ad una cifratura sia dei dati conservati sui server che sui supporti di backup.
Cloud provider e titolare del servizio, è necessario coordinarsi
Il provider e il titolare del servizio cloud devono quindi operare, ove possibile, in modo coordinato per assicurare l’applicazione di tutte le misure di sicurezza, fermo restando che vi è un differente regime di responsabilità nell’attuazione di ciascuna misura in capo all’uno o all’altro soggetto, in relazione a ciascun modello di cloud.
Cosa accade qualora il provider di un servizio standardizzato, basato su di un contratto che il più delle volte è scarsamente negoziabile, non si coordini con il titolare e non garantisca nulla di quanto esposto sinora in relazione alle misure di sicurezza?
Gli ordinamenti giuridici, com’è noto, sono caratterizzati dal principio di territorialità in materia penale, ma in ambito civilistico si pone sempre il dubbio di quale debba essere considerato l’ordinamento competente a regolare un rapporto tra privati che presenta elementi di “estraneità”. Infatti, con il cloud sovente si costituiscono rapporti contrattuali tra soggetti con residenze o sedi (se persone giuridiche) in stati differenti, cui si aggiunge l’ulteriore complicazione dei casi in cui uno di essi sia un consumatore.
Pertanto, l’individuazione della legge che regolerà i termini del contratto e il giudice competente qualora dovesse insorgere una controversia, si basa sul fatto che non sempre le parti scelgono quale legge applicare. Al riguardo, le norme di diritto internazionale privato stabiliscono quale primo criterio di collegamento quello della scelta delle parti, posta in essere nel contratto o in un momento successivo, anche in deroga ad una scelta effettuata in precedenza.
Solitamente però, i fornitori di servizi cloud predeterminano una clausola contrattuale nella quale indicano la legge dello Stato che regolamenterà il contratto e, nella scelta, ovviamente, terranno conto solo delle loro esigenze.
Privacy, cosa cambia con il nuovo Regolamento Europeo
A breve, però, le previsioni del Codice Privacy dovranno essere riviste alla luce dell’entrata in vigore del citato RGPD.
La sicurezza del trattamento individuata nel Regolamento Europeo non distingue più tra le misure minime e le misure idonee, ma fa riferimento solo alle seconde. In particolare stabilisce che il titolare ed il responsabile del trattamento debbano mettere in atto delle misure tecniche ed organizzative adeguate al rischio, tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche per garantire un livello di sicurezza adeguato. Per inquadrare meglio tale concetto, il RGPD ha indicato alcune ipotesi di misure sicurezza ritenute idonee. Tra di esse vi sono la pseudonimizzazione e la cifratura dei dati personali, la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento e la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico.
Inoltre, sempre secondo il RGPD, è necessario, per trattare i dati in base a misure di sicurezza idonee, tenere particolarmente in considerazione i rischi presentati dal trattamento che derivano dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati. Al di là di questo nuovo approccio relativo alle misure di sicurezza da adottare, il RGPD non effettua però una sufficiente ed approfondita ricognizione sul trattamento congiunto di dati che avviene nei servizi basati sul cloud e quindi non risponde chiaramente alle domande “quali misure di sicurezza devono essere adottate in un servizio cloud e da chi?”, “chi si assume la responsabilità per gli inadempimenti?”. L’art. 26 del RGPD tratta la tematica del trattamento di dati da parte di due titolari, quindi di due soggetti che determinano congiuntamente finalità e mezzi del trattamento e che, in accordo tra di loro, stabiliscono in modo trasparente le rispettive responsabilità. Il problema è che quasi nessun provider è disponibile ad accordarsi con gli utenti assumendo, in questo modo, una titolarità congiunta del trattamento.
Un contratto di cloud che individua correttamente ruoli, adempimenti e relative responsabilità in caso di violazione della privacy di terzi, rappresenta un elemento imprescindibile per far sì che gli utenti si fidino di questa tecnologia e per far crollare il muro di resistenza dei soggetti più diffidenti nell’affidarsi alla “nuvola”.
* Gabriele Faggioli: Legale, P4I-Partners4Innovation, Adjunct Professor MIP – Politecnico di Milano | |
* Francesca Piro: Legal Consultant, P4I-Partners4Innovation | |
* Guglielmo Troiano: Senior Legal Consultant, P4I-Partners4Innovation |