La testa nella “nuvola”. Sicurezza e responsabilità nella gestione dei cloud

Google Drive, il servizio di memorizzazione online di Big G, questa settimana raggiungerà il miliardo di utenti. Il servizio d’archiviazione, lanciato nel 2012, apre infatti alle aziende consentendo loro di usarlo senza dover pagare per l’intera Suite, il pacchetto di software e strumenti di lavoro distribuito da Google in abbonamento.

Dal punto di vista giuridico, il 2018 è senza dubbio l’anno della sicurezza informatica. Con la pubblicazione del Regolamento Generale sulla Protezione dei Dati (Regolamento UE 2016/679, “RGPD”), della Direttiva sul trattamento di dati da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati (Direttiva UE 2016/680, “Direttiva”) e inoltre con l’adozione da parte del Consiglio Europeo della Direttiva Network and Information Security (Direttiva Nis), non manca davvero nulla per porre, finalmente, la sicurezza informatica tra le priorità del settore pubblico e privato e tutelare, oltre che rassicurare adeguatamente, i consumatori rispetto alla domanda di servizi tecnologici.

Tuttavia i servizi basati sul cloud vengono offerti, molto spesso, da soggetti collocati oltre i confini europei ove le suddette leggi sono inapplicabili. Si pongono allora alcune domande.
È davvero così rischioso affidare i propri dati ad un provider extra UE?
Quali garanzie per la sicurezza dei dati ci sono per il titolare del trattamento che sottoscrive un servizio in cloud?
L’utente di servizi basati sul cloud sarà sempre costantemente afflitto dalle domande “chi può accedere ai miei dati?” e “cosa viene fatto con i miei dati?”, ovvero dalla domanda “dove sono i miei dati?”.

Chi ha la responsabilità dei dati?
La sicurezza dei dati assume nel cloud un’importanza fondamentale, come non solo la protezione, l’archiviazione e la conservazione del dato sulle memorie dei computer ma anche tutto ciò che riguarda il dato in transito su reti informatiche più o meno sicure.
Nelle realtà aziendali, queste misure di sicurezza si possono considerare consolidate, sia perché ormai si sono adeguate alle previsioni del Codice Privacy, sia perché si tratta di misure che per lo più corrispondono alle best practice previste in materia di sicurezza delle informazioni.
Coloro che decidono di sfruttare la tecnologia cloud devono però tenere in considerazione anche dove viene svolto il trattamento dei dati, nonché la tipologia di cloud utilizzato.
Il titolare del trattamento, quindi, si deve preoccupare di garantire tutte le misure idonee di sicurezza relative, per esempio, all’adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati sensibili come quelli relativi allo stato di salute o la vita sessuale dei soggetti, effettuati da organismi sanitari.

La suddivisione delle responsabilità tra i due soggetti (provider e titolare/utente), si riflette in quasi tutti gli obblighi derivanti dalla messa in pratica delle misure di sicurezza previste dal Codice Privacy.
Tra Cloud provider e titolare del servizio, è necessario coordinarsi.
Il provider e il titolare del servizio cloud devono quindi operare, ove possibile, in modo coordinato per assicurare l’applicazione di tutte le misure di sicurezza.
Cosa accade qualora il provider di un servizio standardizzato, basato su di un contratto che il più delle volte è scarsamente negoziabile, non si coordini con il titolare e non garantisca nulla di quanto esposto sinora in relazione alle misure di sicurezza?

Gli ordinamenti giuridici, com’è noto, sono caratterizzati dal principio di territorialità in materia penale, ma in ambito civilistico si pone sempre il dubbio di quale debba essere considerato l’ordinamento competente a regolare un rapporto tra privati che presenta elementi di “estraneità”. Infatti, con il cloud sovente si costituiscono rapporti contrattuali tra soggetti con residenze o sedi (se persone giuridiche) in stati differenti, cui si aggiunge l’ulteriore complicazione dei casi in cui uno di essi sia un consumatore.
Pertanto, l’individuazione della legge che regolerà i termini del contratto e il giudice competente qualora dovesse insorgere una controversia, si basa sul fatto che non sempre le parti scelgono quale legge applicare. Al riguardo, le norme di diritto internazionale privato stabiliscono quale primo criterio di collegamento quello della scelta delle parti, posta in essere nel contratto o in un momento successivo, anche in deroga ad una scelta effettuata in precedenza.

Solitamente però, i fornitori di servizi cloud predeterminano una clausola contrattuale nella quale indicano la legge dello Stato che regolamenterà il contratto.
Con il nuovo Regolamento Europeo, la sicurezza del trattamento individuata nel Regolamento Europeo non distingue più tra le misure minime e le misure idonee, ma fa riferimento solo alle seconde. In particolare stabilisce che il titolare ed il responsabile del trattamento debbano mettere in atto delle misure tecniche ed organizzative adeguate al rischio, tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche per garantire un livello di sicurezza adeguato. Per inquadrare meglio tale concetto, il GDPR ha indicato alcune ipotesi di misure sicurezza ritenute idonee. Tra di esse vi sono la pseudonimizzazione e la cifratura dei dati personali, la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento e la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico.

Inoltre, sempre secondo il GDPR, è necessario, per trattare i dati in base a misure di sicurezza idonee, tenere particolarmente in considerazione i rischi presentati dal trattamento che derivano dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati. Al di là di questo nuovo approccio relativo alle misure di sicurezza da adottare, il REGOLAMENTO non effettua però una sufficiente ed approfondita ricognizione sul trattamento congiunto di dati che avviene nei servizi basati sul cloud e quindi non risponde chiaramente alle domande “quali misure di sicurezza devono essere adottate in un servizio cloud e da chi?”, “chi si assume la responsabilità per gli inadempimenti?”. L’art. 26 tratta la tematica del trattamento di dati da parte di due titolari, quindi di due soggetti che determinano congiuntamente finalità e mezzi del trattamento e che, in accordo tra di loro, stabiliscono in modo trasparente le rispettive responsabilità. Il problema è che quasi nessun provider è disponibile ad accordarsi con gli utenti assumendo, in questo modo, una titolarità congiunta del trattamento.

Un contratto di cloud che individua correttamente ruoli, adempimenti e relative responsabilità in caso di violazione della privacy di terzi, rappresenta un elemento imprescindibile per far sì che gli utenti si fidino di questa tecnologia e per far crollare il muro di resistenza dei soggetti più diffidenti nell’affidarsi alla “nuvola”.