Le attività di audit
Secondo l’autorità garante scandinava Datatilsynet, i titolari del trattamento hanno l’obbligo di procedere ad attività di audit nei confronti del responsabile. Solo in tal modo è possibile garantire che il trattamento dei dati personali avvenga in aderenza a quanto disposto dalla normativa in materia di privacy.
In via di principio, le attività di audit devono essere effettuate con maggior rigore nel caso in cui il trattamento dei dati personali abbia un elevato grado di rischio per i soggetti interessati. È necessario tenere a mente che l’assessment non deve essere incentrato sui rischi in cui incorre in titolare stesso del trattamento, quanto piuttosto sui rischi che ne possano derivare a soggetti terzi, quali clienti, impiegati, cittadini.
Gli standard degli audit devono essere più elevati quando:
- il responsabile tratta molti dati personali;
- i dati trattati sono particolari o di tipo riservato;
- il trattamento è altamente intrusivo.
Il titolare del trattamento può utilizzare la seguente guida per stabilire con quale frequenza procedere agli audit. Nel dettaglio, una frequenza elevata di audit è consigliata quando:
- in passato, il responsabile ha avuto problemi nel rispettare gli accordi con il titolare (N.B. non solo in riferimento ad accordi legati al trattamento dei dati personali).
- il responsabile ha avuto diversi problemi relativi alla sicurezza, ivi inclusi data breach;
- i sub-responsabili vengono sostituiti con elevata frequenza;
- vi sono mutamenti societari costanti (ad es. acquisizioni, cambi di proprietà, fusioni, modifica di quote sociali).
Deve tuttavia notarsi che, nella maggior parte dei casi i fornitori dei servizi di cloud affidano la gestione degli audit a società esterne.
In tali casi, il titolare può procedere esclusivamente a revisionare dette attività sulla base della reportistica ricevuta, così da assicurarsi che le audizioni abbiano “coperto” le attività di trattamento che il titolare ha affidato al CSP.
Qualora gli audit esterni non risultino sufficienti, il titolare deve procedere ad attività di audit indipendente.
È pertanto importante prevedere, all’interno degli accordi tra le parti, tale possibilità in capo al titolare.
Trasferimento dei dati a paesi terzi
Nel caso in cui il titolare del trattamento si affidi a un CSP ubicato all’infuori dell’UE o dell’EEA (cd. paese terzo), oppure nel caso in cui uno o più sub-responsabili siano ubicati fuori da tali spazi, è onere del titolare del trattamento:
- identificare nel dettaglio i trattamenti che vengono posti in essere nei paesi terzi;
- identificare o stabilire quali sono gli strumenti di trasferimento dei dati;
- valutare se detti strumenti di trasferimento ex art. 46 GDPR (“trasferimento soggetto a garanzie adeguate”) sono efficaci e, in caso di risposta negativa:
- Adottare misure aggiuntive;
- Osservare ogni obbligo procedimentale;
- Rivalutare i trasferimenti di dati a intervalli di tempo regolari;
Si ricorda che, nel caso in cui il CSP sia ubicato in uno dei paesi dove la Commissione Europea abbia adottato una decisione di adeguatezza ex art. 45 GDPR il titolare è legittimato ad agire, essendo sufficiente richiamare detta decisione negli accordi tra le parti.
In alternativa, il titolare del trattamento può utilizzare le clausole contrattuali standard, sempre predisposte dalla Commissione Europea.
Sul punto si ricorda che il 4 giugno 2021 la Commissione Europea ha adottato nuove clausole standard. Esse constano di n.4 moduli separati e specificamente:
- Modulo 1: trasferimento da titolare a titolare;
- Modulo 2: trasferimento da titolare a responsabile;
- Modulo 3: trasferimento da responsabile a responsabile;
- Modulo 4: trasferimento da responsabile a titolare.
Le nuove clausole contengono inoltre le cd. “docking clause” che permettono di modificare costantemente gli accordi sotto il profilo soggettivo, ove necessario.
Da ultimo si segnala che le clausole standard possono essere inserite anche in accordi quadro o, comunque, altri tipi di contratto.
I servizi di cloud ubicati in Usa
Noto è che a partire dalla sentenza Schrems II[1], la Corte di Giustizia dell’Unione Europea ha annullato il cd. privacy shield, ovverosia la decisione di adeguatezza della Commissione Europea che permetteva il trasferimento dei dati personali all’interno del territorio statunitense.
In estrema sintesi, nella storica sentenza da ultimo citata, la Corte di Giustizia dell’Unione Europea ha statuito che né la sezione 702 del “foreign surveillance intelligence act” (FISA); né la sezione E.O. 12 333 in combinato disposto con la “presidential policy directive-28” (PPD-28) possono essere considerate conformi ai requisiti di proporzionalità imposti dal GDPR. Tali programmi di sorveglianza, infatti, trattano dati personali in eccedenza rispetto a quanto strettamente necessario. Al pari, la Corte ha rilevato come dette norme non consentano ai cittadini europei di avere idonea tutela dei propri diritti in sede giudiziale.
Nel dettaglio il FISA 702 permette al governo americano di ottenere informazioni su cittadini non appartenenti agli Usa e ubicati fuori dal territorio locale con il fine generale di ottenere le cd. foreign intelligence information. Tali informazioni vengono raccolte per il tramite di direttive indirizzate agli electronic communications service providers che, a loro volta, sono obbligati a trasmettere i dati personali richiesti dall’autorità.
Sebbene non sia possibile classificare aprioristicamente tutti i servizi CSP, si ritiene che i prestatori di servizi di cloud ricadano nella categoria degli electronic communications service providers, e che per tale ragione i dati dei soggetti extra-usa potrebbero essere a rischio di trattamenti indebiti proprio sulla base di quanto stabilito dal FISA 702.
Al titolare del trattamento pertanto residuano due opzioni per utilizzare un servizio di cloud computing stabilito sul suolo americano:
- implementare accordi ulteriori che tutelino i dati personali (ad es. clausole standard);
- procedere ad accertare se la legislazione di cui sopra possa essere applicata ai dati che si intendono trasferire al CSP;
Il rapporto tra le parti
Nella sua analisi il garante danese configura il rapporto tra cloud consumer e cloud provider nel binomio titolare/responsabile del trattamento.
Si rileva che tale visione appare in linea con quanto stabilito dal Garante italiano all’interno del vademecum del 2012 “Cloud computing: proteggere i dati per non cadere dalle nuvole”, all’interno del quale l’autorità italiana statuiva che “la pubblica amministrazione o l’azienda, ‘titolare del trattamento’ dei dati personali, che trasferisce del tutto o in parte il trattamento sulle ‘nuvole’, deve procedere a designare il fornitore dei servizi cloud ‘responsabile del trattamento”.
Quanto sopra, tuttavia, deve essere coordinato con i nuovi principi imposti dal GDPR e con l’evoluzione tecnico/organizzativa che si è avuta negli anni successivi alla pubblicazione del suddetto vademecum. Pertanto, se il rapporto titolare/responsabile appare in via di principio idoneo a inquadrare giuridicamente la fattispecie del cloud computing, non sembra possibile escludere in radice che i soggetti coinvolti possano anche rivestire il diverso ruolo di titolari autonomi del trattamento, laddove ne abbiano i requisiti.
Ciò in considerazione del fatto che, come specificato in apertura, il settore in analisi è caratterizzato tanto da un’elevata asimmetria informativa quanto da uno squilibrio di potere contrattuale tra le parti: in sostanza può capitare che il CSP – società tendenzialmente di grandi dimensioni – non permetta al cloud consumer di negoziare le clausole o le condizioni del servizio. In tal caso il CSP stesso si troverebbe a trattare i dati personali con un’autonomia tale da rendere incompatibile la propria posizione con quella configurata dall’art. 28 del GDPR, rendendosi necessario procedere alla configurazione del rapporto nella sua declinazione di autonoma titolarità.
- Corte di Giustizia dell’Unione Europea, 16 Luglio 2020. Per approfondimenti, si prega di vedere anche raccomandazioni EDPB n.2/2020 e n.01/2020. ↑