1. Introduzione

Per alcuni, il cloud computing è una delle maggioririvoluzioni tecnologiche emerse in tempi recenti. Per altri, è solo la naturaleevoluzione di una serie di tecnologie mirate a realizzare il sogno atteso datempo dell'utility computing. In ogni caso, numerosi soggetti portatoridi interesse hanno messo in primo piano il cloud computing nelladefinizione delle loro strategie tecnologiche.

Il cloud computing consiste in una serie di tecnologie emodelli di servizio incentrati sull'uso e sulla fornitura di applicazioniinformatiche, capacità di elaborazione e archiviazione e spazio di memoriabasati su Internet. Il cloud computing può produrre importanti vantaggieconomici, poiché su Internet è possibile configurare, espandere e accedere arisorse su richiesta con molta facilità. Oltre ai vantaggi economici, il cloudcomputing può anche offrire vantaggi in termini di sicurezza; le imprese,in particolare piccole e medie, possono acquistare ad un costo marginaletecnologie avanzate che altrimenti non sarebbero alla loro portata.

I servizi offerti dai fornitori di soluzioni di cloud computingsono molto diversificati e spaziano da sistemi elaborativi virtuali (chesostituiscono o si affiancano ai tradizionali server controllatidirettamente dal responsabile del trattamento dei dati) a servizi di supportoallo sviluppo e per l'hosting evoluto delle applicazioni, sino asoluzioni software rese disponibili in modalità web che sonosostitutive delle tradizionali applicazioni installate sui computer degli utentifinali, quali ad esempio applicazioni per l'elaborazione dei testi, per lagestione di agende e calendari, cartelle per l'archiviazione dei documenti on-linee soluzioni esternalizzate di posta elettronica. Alcune delle definizionipiù comunemente utilizzate per questi diversi tipi di servizi sono contenutenell'Allegato al presente parere.

Nel suo parere, il Gruppo di lavoro articolo 29 (in appresso WP29) prende in esame il diritto applicabile e gli obblighi dei responsabili deltrattamento di dati nello Spazio economico europeo (in appresso SEE) e deifornitori di servizi cloud con clienti nel SEE. La situazione analizzatadal parere ipotizza una relazione tra responsabile e incaricato del trattamentodei dati, dove il cliente è il responsabile e il fornitore di servizi cloud èl'incaricato. Nei casi in cui il fornitore di servizi funge anche daresponsabile del trattamento dei dati occorre rispettare ulteriori requisiti.Di conseguenza, una condizione essenziale per avvalersi di servizi di cloudcomputing è che il responsabile del trattamento dei dati effettuiun'adeguata valutazione del rischio, che comprenda l'ubicazione dei server dovesi elaborano i dati e l'analisi di rischi e benefici nell'ottica dellaprotezione dei dati, secondo i criteri esposti nelle sezioni che seguono.

Il presente parere specifica i principi applicabili a responsabilie incaricati del trattamento dei dati ai sensi della direttiva generale sullaprotezione dei dati (95/46/CE), quali specificazione e limitazione della finalità,cancellazione dei dati e misure tecniche e organizzative. Il parere fornisceindicazioni sui requisiti in fatto di sicurezza, in termini di garanziestrutturali e procedurali. Inoltre, pone un particolare accento sulledisposizioni contrattuali che dovrebbero regolamentare la relazione traresponsabile e incaricato del trattamento. I classici obiettivi di sicurezzadei dati sono disponibilità, integrità e riservatezza. Tuttavia, poiché laprotezione dei dati non si limita alla sicurezza, questi obiettivi sonointegrati dai principi di trasparenza, isolamento, possibilità di intervento eportabilità specifici della protezione dei dati, a conferma del dirittodell'individuo alla protezione dei dati di cui all'articolo 8 della Carta deidiritti fondamentali dell'UE.

Per quanto concerne il trasferimento di dati personali fuori dalSEE, si prendono in esame strumenti quali clausole contrattuali tipo adottatedalla Commissione europea, accertamenti di adeguatezza e possibili future normevincolanti d'impresa (BCR) per gli incaricati del trattamento, nonché i rischiper la protezione dei dati derivanti da richieste di autorità internazionali dicontrasto del crimine.

Il parere si conclude con una serie di raccomandazioni per iclienti cloud in quanto responsabili del trattamento, per i fornitori cloudin quanto incaricati del trattamento e per la Commissione europea in meritoa futuri cambiamenti nel quadro europeo in materia di protezione dei dati.

Nell'aprile 2012 il Gruppo di lavoro internazionale di Berlino sullaprotezione dei dati nelle telecomunicazioni ha adottato il Memorandum diSopot² che esamina gli aspetti della privacy e della protezione deidati nel cloud computing e sottolinea che questo nuovo sistema non devecomportare un abbassamento degli standard di protezione dei dati rispetto alleprocedure tradizionali di trattamento dei dati.

2. Rischi del cloud computing per la protezione dei dati

Poiché il presente parere si concentra sulle operazioni ditrattamento di dati personali che si avvalgono di servizi di cloud computingsono presi in considerazione solo i rischi specifici relativi a talecontesto³ La maggioranza di questi rischirientra in due ampie categorie, e precisamente la mancanza di controllo suidati e la carenza di informazioni concernenti il trattamento stesso (assenza ditrasparenza). I rischi specifici del cloud computing considerati nelpresente parere comprendono quanto segue.

Mancanza di controllo

Affidando dati personali a sistemi gestiti da un fornitore diservizi cloud, i clienti rischiano di perdere il controllo esclusivo deidati e di non poter prendere le misure tecniche e organizzative necessarie pergarantire la disponibilità, l'integrità, la riservatezza, la trasparenza,l'isolamento⁴, la portabilità dei dati e lapossibilità di intervento sugli stessi. Questa mancanza di controllo si puòmanifestare nel seguente modo:

o Mancanza di disponibilità dovuta alla scarsa interoperabilità (vendorlock-in, dipendenza nei confronti di un unico fornitore): se il fornitore cloudsi basa su una tecnologia esclusiva, per un cliente cloud puòrivelarsi difficile trasferire dati e documenti tra diversi sistemi cloud (portabilitàdei dati) o scambiare informazioni con entità che utilizzano servizi cloud gestitida fornitori diversi (interoperabilità).

o       Mancanza diintegrità dovuta alla condivisione di risorse: un sistema cloud ècostituito da sistemi e infrastrutture condivisi; i fornitori cloud trattanodati personali derivanti da un'ampia gamma di fonti, in termini di interessatie organizzazioni, ed è possibile che sorgano conflitti d'interesse e/odivergenza di obiettivi.

o       Mancanza diriservatezza in termini di richieste di autorità di contrasto dirette a unfornitore cloud: i dati personali trattati nel sistema cloud possonoessere oggetto di richieste di informazioni a fini di contrasto dellacriminalità da parte delle competenti autorità degli Stati membri dell'UE e dipaesi terzi. Esiste il rischio che si possano divulgare dati personali adagenzie di contrasto (straniere) senza una valida base giuridica UE,configurando pertanto una violazione della legislazione UE sulla protezione deidati.

o       Scarsapossibilità di intervento dovuta alla complessità e alle dinamiche della catenadi esternalizzazione (outsourcing): il servizio cloud offerto daun fornitore potrebbe derivare dalla combinazione di servizi di una serie dialtri fornitori, che si possono aggiungere o eliminare dinamicamente nel corsodella durata del contratto del cliente.

o       Scarsapossibilità di intervento (diritti degli interessati): è possibile che unfornitore cloud non preveda le misure e gli strumenti necessari perassistere il responsabile del trattamento nella gestione dei dati, ad esempioin termini di accesso, cancellazione o correzione dei dati.

o       Mancanza diisolamento: un fornitore cloud può servirsi del controllo fisico di datidi clienti diversi per mettere in collegamento dati personali. Se agevolati dadiritti di accesso sufficientemente privilegiati (ruoli ad alto rischio), gliamministratori possono collegare informazioni provenienti da diversi clienti.

Mancanza di informazioni sul trattamento (trasparenza)

La disponibilità di informazioni insufficienti sulle operazioni ditrattamento nei servizi cloud rappresenta un rischio per i responsabilidel trattamento e per gli interessati, che potrebbero non essere consapevoli dipotenziali rischi e minacce e pertanto non prendere misure appropriate.

Alcune potenziali minacce possono derivare dal fatto che ilresponsabile del trattamento non sappia che

o si sta verificando un trattamento a catena che coinvolgemolteplici incaricati e subcontraenti;

o       i datipersonali sono trattati in diverse località geografiche all'interno del SEE,con dirette conseguenze sul diritto applicabile in eventuali controversie sullaprotezione dei dati che possano sorgere tra utente e fornitore del servizio;

o       i datipersonali sono trasferiti a paesi terzi al di fuori del SEE. Questi paesipotrebbero non offrire un livello adeguato di protezione dei dati e itrasferimenti potrebbero non essere salvaguardati da misure adeguate (adesempio clausole contrattuali tipo o norme vincolanti d'impresa) e risultare,pertanto, illegali.

» essenziale che gli interessati i cui dati personali sono oggettodi trattamento in un sistema cloud siano informati in meritoall'identità del responsabile del trattamento e alla finalità dello stesso (unrequisito previsto per tutti i responsabili del trattamento ai sensi delladirettiva sulla protezione dei dati 95/46/CE). Considerando la potenzialecomplessità delle catene di trattamento in un ambiente di cloud computing,al fine di garantire un trattamento leale nei confronti dell'interessato(articolo 10 della direttiva 95/46/CE), i responsabili dovrebbero, anche atitolo di buona prassi, fornire ulteriori informazioni relativamente ai(sub-)incaricati che forniscono servizi cloud.

3. Quadro giuridico

3.1 Quadro in materia di protezione dei dati

Il quadro giuridico pertinente è la direttiva sulla protezione deidati 95/46/CE, che si applica a tutti i casi di trattamento di dati personalinell'ambito di servizi di cloud computing. La direttiva e-privacy2002/58/CE (modificata dalla direttiva 2009/136/CE) si applica al trattamentodi dati personali in relazione alla fornitura di servizi di comunicazioneelettronica disponibili al pubblico nelle reti pubbliche di comunicazione(operatori delle telecomunicazioni) e pertanto è pertinente se tali servizisono forniti mediante una soluzione cloud⁵.

Diritto applicabile

I criteri per stabilire l'applicabilità della legislazione sonocontenuti nell'articolo 4 della direttiva 95/46/CE, che si riferisce al dirittoapplicabile ai responsabili del trattamento⁶ con una o più sedi all'interno del SEE e anche al dirittoapplicabile ai responsabili del trattamento stabiliti al di fuori del SEE, mache utilizzano attrezzature situate all'interno del SEE per il trattamento deidati personali. Il Gruppo di lavoro articolo 29 ha analizzato la questione nelsuo parere 8/2010 sul diritto applicabile⁷.

Nel primo caso, il fattore che determina l'applicazione dellanormativa UE al responsabile del trattamento è l'ubicazione della sua sede edelle attività svolte, secondo l'articolo 4, paragrafo 1, lettera a) delladirettiva, mentre la tipologia del modello di servizio cloud èirrilevante. La legislazione applicabile è la legge del paese dov'è stabilitoil responsabile del trattamento che appalta servizi di cloud computing piuttostoche il luogo dove sono situati i fornitori di tali servizi.

Se il responsabile del trattamento ha sede in vari Stati membri eil trattamento di dati rientra nelle attività svolte in tali paesi, il dirittoapplicabile sarà quello di ciascuno degli Stati membri in cui viene effettuatoil trattamento.

L'articolo 4, paragrafo 1, lettera c)⁸ si riferisce alle modalità di applicazionedella legislazione sulla protezione dei dati ai responsabili del trattamentoche non sono stabiliti nel SEE ma ricorrono a strumenti automatizzati o nonautomatizzati situati nel territorio dello Stato membro, a meno che questi nonsiano utilizzati ai soli fini di transito. Ciò significa che se un cliente cloudè stabilito al di fuori del SEE ma incarica un fornitore cloud consede nel SEE, il fornitore esporta la legislazione sulla protezione dei dati alcliente.

3.3Compiti e responsabilità di diversi attori

Come già accennato, il cloud computing coinvolge una seriedi diversi operatori ed è importante valutare e chiarire il ruolo di ciascunodi essi al fine di stabilire i rispettivi obblighi specifici per quantoconcerne l'attuale legislazione in materia di protezione dei dati.

Va ricordato che il Gruppo di lavoro articolo 29, nel suo parere1/2010 sui concetti di "responsabile del trattamento" e "incaricato deltrattamento", rileva che "il concetto di responsabile del trattamento servea determinare in primissimo luogo chi risponde dell'osservanza delle normerelative alla protezione dei dati, e il modo in cui gli interessati possonoesercitare in pratica i loro diritti - serve, in altre parole, ad attribuireresponsabilità". Questi due criteri generali di responsabilitàdell'osservanza e di attribuzione della responsabilità dovrebbero essere tenutipresenti dalle parti interessate nel corso dell'analisi in questione.

3.3.1 Cliente cloud e fornitore cloud

Il cliente cloud determina la finalità ultima deltrattamento e decide in merito all'esternalizzazione di tale trattamento e alladelega ad un'organizzazione esterna delle attività di trattamento, in tutto oin parte. Il cliente cloud agisce pertanto in qualità di responsabiledel trattamento dei dati. La direttiva definisce il responsabile deltrattamento come "la persona fisica o giuridica, l'autorità pubblica, ilservizio o qualsiasi altro organismo che, da solo o insieme ad altri, determinale finalità e gli strumenti del trattamento dei dati personali". Il clientecloud in quanto responsabile del trattamento deve accettare laresponsabilità dell'osservanza della legislazione sulla protezione dei dati edè soggetto a tutti gli obblighi di legge di cui alla direttiva 95/46/CE. Ilcliente cloud può incaricare il fornitore cloud della scelta deimetodi e delle misure tecniche e organizzative da utilizzare per conseguire gliscopi del responsabile del trattamento.

Il fornitore cloud è l'entità che fornisce i servizi di cloudcomputing nelle varie forme discusse sopra. Quando fornisce gli strumenti ela piattaforma, agendo per conto del cliente cloud, il fornitore cloudè considerato alla stregua di un incaricato del trattamento⁹,ossia, secondo la direttiva 95/46/CE "la persona fisica o giuridica, l'autoritàpubblica, il servizio o qualsiasi altro organismo che elabora dati personaliper conto del responsabile del trattamento"¹⁰.

Come affermato nel parere 1/2010, per valutare la responsabilitàdel trattamento si possono utilizzare alcuni criteri¹¹. In effetti, si possono presentare situazioni in cui unfornitore di servizi cloud può essere considerato corresponsabile oresponsabile a pieno titolo, a seconda delle circostanze concrete. Ad esempio,potrebbe trattarsi del caso in cui il fornitore procede al trattamento di datiper scopi propri.

Va sottolineato che, anche in contesti complessi di trattamento didati personali in cui intervengono vari responsabili, è essenziale garantirel'osservanza delle norme sulla protezione dei dati e una chiara attribuzionedelle responsabilità per possibili violazioni di tali norme. Questo per evitareche venga meno la protezione dei dati personali, che si generi un "conflitto dicompetenze negativo" o si producano delle falle, in una situazione in cuinessuna delle parti si assumerebbe gli obblighi o assicurerebbe i dirittiderivanti dalla direttiva.

Nell'attuale scenario del cloud computing, i clienti diservizi di cloud computing potrebbero non avere margine di manovra nelnegoziare i termini contrattuali dell'uso dei servizi cloud, che inmolti casi sono caratterizzati da offerte standardizzate. In ogni caso, allafine è il cliente che decide in merito all'assegnazione di parte o dellatotalità del trattamento a servizi cloud per scopi specifici; il puntofondamentale in questo caso è che il ruolo del fornitore cloud saràquello di un contraente nei confronti del cliente. Come affermato nel parere1/2010¹² sui concettidi "responsabile del trattamento" e "incaricato del trattamento" del Gruppo dilavoro articolo 29 "lo squilibrio fra il potere contrattuale di un piccoloresponsabile del trattamento rispetto a un grosso fornitore di servizi non puògiustificare il fatto che il primo accetti clausole e condizioni non conformialla normativa sulla protezione dei dati". Per questo motivo, ilresponsabile del trattamento deve scegliere un fornitore cloud chegarantisca l'osservanza della normativa in materia di protezione dei dati.Un'enfasi particolare va posta sulle caratteristiche dei contratti applicabili,che devono prevedere una serie di garanzie standard per la protezione dei dati,ivi comprese quelle descritte dal Gruppo di lavoro nelle sezioni 3.4.3 (Misuretecniche e organizzative) e 3.5 (Trasferimenti internazionali), nonché sumeccanismi aggiuntivi che si possono dimostrare adeguati per agevolare la duediligence e la responsabilità (quali audit di terzi indipendenti ecertificazioni dei servizi di un fornitore – cfr. sezione 4.2).

I fornitori di servizi di cloud computing (in quantoincaricati del trattamento) hanno il dovere di garantire la riservatezza. Ladirettiva 95/46/CE stabilisce che: "L'incaricato del trattamento o chiunqueagisca sotto la sua autorità o sotto quella del responsabile del trattamento,non deve elaborare i dati personali ai quali ha accesso, se non dietroistruzione del responsabile del trattamento oppure in virtù di obblighilegali". Anche l'accesso ai dati da parte del fornitore cloud durantela prestazione del servizio è fondamentalmente disciplinato dall'obbligo dirispettare le disposizioni dell'articolo 17 della direttiva (cfr. sezione3.4.2.).

Gli incaricati del trattamento devono tenere conto del tipo disoluzione cloud in questione (pubblica, privata, di comunità o ibrida /IaaS, SaaS or PaaS [cfr. Allegato a) Modelli di rollout - b) Modelli dierogazione dei servizi]) e del tipo di servizio acquistato dal cliente. Gliincaricati del trattamento sono responsabili dell'adozione di misure disicurezza in linea con quanto previsto dalla normativa UE applicata nellegiurisdizioni del responsabile del trattamento e dell'incaricato deltrattamento. Inoltre, gli incaricati del trattamento sono tenuti ad assistereil responsabile del trattamento nel rispettare i diritti (esercitati) degliinteressati.

3.3.2 Subcontraenti

I servizi di cloud computing possono comportare ilcoinvolgimento di una serie di parti contraenti che fungono da incaricati daltrattamento. Inoltre, è comune che gli incaricati del trattamento designino deisubincaricati che quindi ottengono l'accesso ai dati personali. Se appaltanodei servizi a subcontraenti, gli incaricati del trattamento sono obbligati ainformarne il cliente, descrivendo nel dettaglio il tipo di servizio concessoin subappalto, le caratteristiche dei subcontraenti attuali o potenziali e legaranzie offerte da queste entità al fornitore di servizi di cloud computingai fini dell'osservanza della direttiva 95/46/CE.

Tutti gli obblighi pertinenti si applicano pertanto anche aisubcontraenti, tramite contratti stipulati tra il fornitore cloud e ilsubcontraente che rispecchino le disposizioni del contratto tra cliente efornitore cloud. Nel suo parere 1/2010 sui concetti di "responsabile deltrattamento" e "incaricato del trattamento", il Gruppo di lavoro articolo 29 fariferimento alla molteplicità di incaricati del trattamento nei casi in cuiquesti ultimi possono avere una relazione diretta con il responsabile o operarein qualità di subcontraenti ai quali gli incaricati del trattamento deleganoparte delle attività di trattamento loro affidate. "Nulla, nella direttiva,impedisce che, per motivi organizzativi, più entità possano essere designatecome incaricati o subcontraenti, anche suddividendo i compiti rilevanti. Nelprocedere all'elaborazione dei dati tutti questi soggetti, però, devonoattenersi alle istruzioni date dal responsabile del trattamento"¹³.

In simili scenari, gli obblighi e le responsabilità derivantidalla legislazione sulla protezione dei dati devono essere chiaramenteattribuiti e non si devono disperdere lungo la catena di esternalizzazione o disubappalto, al fine di garantire un effettivo controllo e l'attribuzione dichiare responsabilità per le attività di trattamento.

Un possibile modello di garanzie che si possono utilizzare perchiarire i compiti e gli obblighi degli incaricati del trattamento quandoconcedono in subappalto l'attività di trattamento è stato introdotto per laprima volta dalla decisione della Commissione del 5 febbraio 2010 relativa alleclausole contrattuali tipo per il trasferimento di dati personali a incaricatidel trattamento stabiliti in paesi terzi¹⁴. In questomodello il subtrattamento è consentito solo previo consenso scritto delresponsabile del trattamento e previo accordo scritto che imponga alsubincaricato gli stessi obblighi dell'incaricato del trattamento. Se ilsubincaricato non adempie agli obblighi di protezione dei dati a norma di taleaccordo scritto, l'incaricato del trattamento risponde a pieno titolo neiconfronti del responsabile del trattamento per l'esecuzione degli obblighi delsubincaricato ai sensi di tale accordo. Una disposizione di questo tipopotrebbe essere inserita in qualsiasi clausola contrattuale tra un responsabiledel trattamento e un fornitore cloud che intenda affidare servizi asubcontraenti, per assicurare le garanzie richieste per il subtrattamento.

Una soluzione analoga concernente le garanzie nel corso delsubtrattamento è stata proposta recentemente dalla Commissione nella propostadi un regolamento generale sulla protezione dei dati¹⁵. Le azioni di un incaricato del trattamento devono esseredisciplinate da un contratto o altro atto giuridico che vincoli l'incaricatodel trattamento al responsabile del trattamento e che preveda segnatamente, tral'altro, che l'incaricato del trattamento ricorra ad un altro incaricato del trattamentosolo previa autorizzazione del responsabile del trattamento (articolo 26,paragrafo 2, della proposta).

Secondo il parere del WP29, l'incaricato del trattamento puòsubappaltare le sue attività esclusivamente previo consenso del responsabiledel trattamento, che di norma può essere concesso all'inizio del servizio¹⁶ con un chiaro obbligo perl'incaricato di informare il responsabile del trattamento di eventualicambiamenti concernenti l'aggiunta o la sostituzione di subincaricati, mentreil responsabile del trattamento si riserva la possibilità in qualsiasi momentodi opporsi a tali cambiamenti o di risolvere il contratto. Dovrebbe sussistereun chiaro obbligo a carico del fornitore di servizi cloud di indicaretutti i subcontraenti incaricati. Inoltre, il fornitore cloud e ilsubcontraente sono tenuti a stipulare un contratto che rispecchi le clausoledel contratto stipulato tra cliente e fornitore cloud. Il responsabiledel trattamento dovrebbe essere in grado di avvalersi di possibilità di ricorsoin caso di violazioni dei contratti da parte di subincaricati. Si potrebbeprovvedere in tal senso garantendo che l'incaricato del trattamento rispondadirettamente nei confronti del responsabile del trattamento in caso diviolazioni provocate da un subincaricato, o creando un diritto del terzo avantaggio del responsabile del trattamento nei contratti conclusi traincaricato del trattamento e subincaricati, ovvero in virtù del fatto che talicontratti saranno firmati per conto del responsabile del trattamento dei dati,che quindi diventa parte contraente.

3.4Obblighi di protezione dei dati nella relazione cliente-fornitore

3.4.1 Osservanza dei principifondamentali

La legittimità del trattamento di dati personali in servizi di cloudcomputing dipende dall'osservanza di principi fondamentali dellalegislazione UE in materia di protezione dei dati: in particolare, dev'esseregarantita la trasparenza nei confronti degli interessati, dev'essere rispettatoil principio della specificazione e limitazione delle finalità e i datipersonali devono essere cancellati non appena la loro conservazione non è piùnecessaria. Inoltre, devono essere attuate opportune misure tecniche eorganizzative per garantire un livello adeguato di protezione e sicurezza deidati.

3.4.1.1 Trasparenza

La trasparenza è fondamentale per il trattamento equo e legittimodei dati personali. La direttiva 95/46/CE obbliga il cliente cloud afornire all'interessato, presso il quale raccoglie dati che lo riguardano,informazioni sulla sua identità e sulla finalità del trattamento. Il cliente cloudè inoltre tenuto a fornire ulteriori informazioni, ad esempio relative aidestinatari o alle categorie di destinatari dei dati, che possono anchecomprendere incaricati e subincaricati del trattamento nella misura in cui taliulteriori informazioni siano necessarie per garantire un trattamento leale neiconfronti dell'interessato (cfr. articolo 10 della direttiva)¹⁷.

La trasparenza dev'essere garantita anche nel rapporto tra clientecloud, fornitore cloud e (eventuali) subcontraenti. Il cliente cloudè in grado di valutare la legittimità del trattamento di dati personali neiservizi cloud solo se il fornitore del servizio lo informa in merito atutte le questioni pertinenti. Un responsabile del trattamento che preveda diingaggiare un fornitore cloud dovrebbe verificare attentamente i terminie le condizioni di tale fornitore e valutarli dal punto di vista dellaprotezione dei dati.

Ai fini della trasparenza nel cloud computing occorre cheil cliente cloud sia a conoscenza di tutti i subcontraenti checontribuiscono all'erogazione del servizio cloud, nonché dell'ubicazionedi tutti i centri presso i quali può essere effettuato il trattamento dei datipersonali¹⁸.

Se l'erogazione di un servizio richiede l'installazione disoftware sui sistemi del cliente cloud (ad es. browser plug-in),il fornitore cloud è tenuto, a titolo di buona prassi, ad informare ilcliente di questa circostanza e in particolare delle sue implicazioni dal puntodi vista della protezione e della sicurezza dei dati. Viceversa, il cliente clouddovrebbe sollevare la questione ex ante, se non è affrontata inmisura sufficiente dal fornitore cloud.

3.4.1.2 Specificazione e limitazionedella finalità

Il principio della specificazione e limitazione della finalitàrichiede che i dati personali siano raccolti per finalità determinate,esplicite e legittime e successivamente trattati in modo non incompatibile contali finalità (cfr. articolo 6, paragrafo 1, lettera b) della direttiva95/46/CE). Il cliente cloud deve determinare la finalità del trattamentoprima di procedere alla raccolta di dati personali dall'interessato,informandolo in proposito. Il cliente cloud non deve trattare datipersonali per finalità diverse che non siano compatibili con quelle originali.

Inoltre, occorre garantire che i dati personali non siano(illegalmente) trattati per ulteriori finalità dal fornitore del servizio cloudo da uno dei suoi subcontraenti. Poiché un tipico scenario di servizi cloudpuò facilmente coinvolgere un maggior numero di subcontraenti, il rischiodel trattamento di dati personali per ulteriori finalità incompatibilidev'essere considerato particolarmente alto. Per ridurre al minimo talerischio, il contratto tra fornitore e cliente cloud dovrebbe prevederemisure tecniche e organizzative intese a mitigarlo e fornire garanzie in meritoalla registrazione (logging) e all'audit di operazioni ditrattamento di dati personali eseguite da dipendenti del fornitore cloud osubcontraenti¹⁹. Il contrattodovrebbe prevedere sanzioni contro il fornitore o il subcontraente in caso diviolazione della legislazione sulla protezione dei dati.

3.4.1.3 Cancellazione dei dati

A norma dell'articolo 6, paragrafo 1, lettera e), della direttiva95/46/CE, i dati personali devono essere conservati in modo da consentirel'identificazione delle persone interessate per un arco di tempo non superiorea quello necessario al conseguimento delle finalità per le quali sono rilevatio sono successivamente trattati. I dati personali che non sono più necessaridevono essere cancellati o resi anonimi. Ove non sia possibile cancellarli acausa di norme di legge sulla conservazione (ad es. normative fiscali),l'accesso a tali dati personali dev'essere bloccato. Spetta al cliente cloudgarantire che i dati personali siano cancellati non appena non siano piùnecessari nel senso sopra indicato²⁰.

Il principio della cancellazione dei dati si applica ai datipersonali a prescindere dal fatto che siano memorizzati su disco rigido o altrisupporti per la conservazione dei dati (ad es. nastri per backup).Poiché i dati personali possono essere conservati in sovrabbondanza su diversi serverin diversi luoghi, occorre garantire che in ciascun caso siano cancellatiin modo irrecuperabile (vale a dire che devono essere cancellati anche versioniprecedenti, file temporanei e persino frammenti di file).

I clienti cloud devono essere consapevoli del fatto che idati di log²¹ che agevolano la verifica, la conservazione, la modifica o lacancellazione dei dati possono anch'essi essere qualificati come dati personalirelativi all'interessato che ha avviato la relativa operazione di trattamento²².

La cancellazione sicura dei dati personali impone che i supportidi memorizzazione vengano distrutti o smagnetizzati o che i dati personaliconservati siano effettivamente cancellati mediante sovrascrittura. Per lasovrascrittura di dati personali si dovrebbero utilizzare speciali strumenti softwareche sovrascrivono più volte i dati, conformemente a specifichericonosciute.

Il cliente cloud dovrebbe assicurarsi che il fornitore cloudgarantisca la cancellazione sicura nel senso sopra citato e che ilcontratto tra il fornitore e il cliente contenga chiare disposizioni per lacancellazione dei dati personali²³. Lo stessovale per i contratti tra fornitori cloud e subcontraenti.

3.4.2 Garanzie contrattuali dellarelazione "responsabile del trattamento"-"incaricato del trattamento"

Quando decidono di affidarsi a servizi di cloud computing,i responsabili del trattamento sono tenuti a scegliere un incaricato deltrattamento che presenti garanzie sufficienti in merito alle misure disicurezza tecnica e all'organizzazione dei trattamenti da effettuare e devonoassicurarsi del rispetto di tali misure (articolo 17, paragrafo 2, direttiva95/46/CE). Inoltre, sono legalmente obbligati a firmare un contratto formalecon il fornitore di servizi cloud, come previsto dall'articolo 17,paragrafo 3, della direttiva 95/46/CE, che stabilisce che la relazione traresponsabile e incaricato del trattamento sia disciplinata da un contratto o unaltro atto giuridico vincolante. Ai fini di conservazione delle prove, glielementi del contratto o dell'atto giuridico relativi alla protezione dei datie i requisiti relativi alle misure tecniche e organizzative sono stipulati periscritto o in altra forma equivalente.

Il contratto deve almeno stabilire, in particolare, chel'incaricato del trattamento è tenuto a seguire le istruzioni del responsabiledel trattamento e a mettere in atto le misure tecniche e organizzativenecessarie per proteggere adeguatamente i dati personali.

Al fine di garantire la certezza giuridica, il contratto deveprevedere anche i seguenti aspetti:

1.      dettagli sulle istruzioni delcliente (misura e modalità) da trasmettere al fornitore del servizio, conparticolare riguardo per gli accordi sul livello del servizio (SLA) applicabili(che dovrebbero essere oggettivi e misurabili) e le sanzioni pertinenti(finanziarie o altro, ivi compresa la possibilità di citare in giudizio ilfornitore in caso di inadempienza).

2.      Specificazione delle misure disicurezza che il fornitore cloud è tenuto a rispettare, a seconda deirischi del trattamento e della natura dei dati da proteggere. » moltoimportante che siano specificate misure tecniche e organizzative concrete, comequelle delineate nella sezione 3.4.3 che segue, ferma restando l'applicazionedi eventuali misure più rigorose previste dalla legislazione nazionale delcliente.

3.      Oggetto e orizzonte temporale delservizio cloud da fornire, nonché portata, modalità e finalità deltrattamento di dati personali effettuato dal fornitore cloud e tipologiadei dati personali oggetto del trattamento.

4. Specificazione delle condizioni per la restituzione dei dati(personali) o per la loro distruzione una volta concluso il servizio. Inoltre,occorre garantire la cancellazione sicura dei dati personali su richiesta delcliente cloud.

5. Inserimento di una clausola di riservatezza vincolante per ilfornitore cloud e per eventuali suoi dipendenti che abbiano accesso aidati. Possono accedere ai dati esclusivamente persone autorizzate.

6. Obbligo a carico del fornitore di sostenere il clientenell'agevolare l'esercizio dei diritti degli interessati di accedere ai lorodati, nonché rettificarli o cancellarli.

7. Il contratto dovrebbe stabilire espressamente che il fornitore cloudnon può comunicare i dati a terzi, anche per motivi di conservazione, ameno che nel contratto sia prevista la presenza di subcontraenti. Il contrattodovrebbe specificare che i subincaricati possono essere autorizzati solo sullabase di un consenso che di norma può essere concesso dal responsabile deltrattamento a fronte di un chiaro obbligo dell'incaricato del trattamento diinformarlo in merito a eventuali cambiamenti previsti in proposito, mentre ilresponsabile del trattamento si riserva la possibilità, in qualsiasi momento,di opporsi a tali cambiamenti o di risolvere il contratto. Il contrattodovrebbe chiarire l'obbligo del fornitore cloud di indicare tutti isubcontraenti autorizzati (ad es. in un registro digitale pubblico). Occorregarantire che i contratti stipulati tra fornitore cloud e subcontraentirispecchino le disposizioni del contratto stipulato tra cliente e fornitore cloud(ossia che i subincaricati siano soggetti agli stessi obblighi contrattualidel fornitore cloud). In particolare, occorre garantire che il fornitorecloud e tutti i subcontraenti agiscano esclusivamente secondo leistruzioni del cliente cloud. Come spiegato nel capitolo sulsubtrattamento, il contratto dovrebbe definire chiaramente la catena dellaresponsabilità e prevedere l'obbligo dell'incaricato del trattamento distrutturare i trasferimenti internazionali, ad esempio firmando contratti consubincaricati sulla base delle clausole contrattuali tipo contenute nelladecisione 2010/87/UE.

8. Chiarimento della responsabilità del fornitore cloud dicomunicare al cliente cloud eventuali violazioni che influiscano suisuoi dati.

9. Obbligo del fornitore cloud di fornire un elenco deiluoghi dove può avere luogo il trattamento dei dati.

10. Diritto del responsabile del trattamento di controllare ecorrispondente obbligo del fornitore cloud di cooperare.

11. Il contratto dovrebbe stabilire che il fornitore cloud ètenuto a informare il cliente in merito a cambiamenti rilevanti concernenti ilservizio cloud, come l'attuazione di funzioni aggiuntive.

12. Il contratto dovrebbe prevedere attività di logging e auditingdelle operazioni di trattamento di dati personali svolte dal fornitore cloudo da subcontraenti.

13. Notifica del cliente cloud in merito a eventualirichieste legalmente vincolanti di divulgare dati personali presentate daun'autorità di contrasto, salvo che tale divulgazione sia comunque vietata, adesempio ai sensi del diritto penale per preservare la riservatezza diun'indagine giudiziaria.

14.Obbligo generale a carico del fornitore del servizio diassicurare che la sua organizzazione interna e i suoi sistemi di trattamentodei dati (e quelli di eventuali subincaricati) sono conformi agli obblighi ealle norme di legge vigenti, nazionali e internazionali.

In caso di violazione da parte del responsabile del trattamento,chiunque subisca un danno a causa di un trattamento illegale ha il diritto diricevere un risarcimento dal responsabile del trattamento per il danno causato.Qualora utilizzino i dati per qualsiasi altra finalità, ovvero li comunichino oli utilizzino in un modo che costituisce violazione del contratto, anche gliincaricati del trattamento sono considerati alla stregua del responsabile deltrattamento e s'intendono responsabili delle violazioni nelle quali sonocoinvolti personalmente.

Va notato che, in molti casi, i fornitori di servizi di cloudcomputing offrono servizi e contratti standard da far firmare airesponsabili del trattamento, fissando di fatto una certa modalità- tipo ditrattamento dei dati personali. Questo squilibrio fra il potere contrattuale diun piccolo responsabile del trattamento rispetto a un grosso fornitore diservizi non può giustificare il fatto che il primo accetti clausole econdizioni non conformi alla normativa sulla protezione dei dati.

3.4.3 Misure tecniche e organizzativeper la protezione e la sicurezza dei dati

L'articolo 17, paragrafo 2, della direttiva 95/46/CE conferisce aiclienti cloud (in qualità di responsabili del trattamento) la pienaresponsabilità della scelta di fornitori cloud che adottino misure disicurezza tecniche e organizzative adeguate per proteggere i dati personali esiano in grado di dimostrare senso di responsabilità.

In aggiunta agli obiettivi di sicurezza fondamentali, qualidisponibilità, riservatezza e integrità, occorre prestare attenzione anche agliobiettivi complementari in fatto di protezione dei dati quali trasparenza (cfr.3.4.1.1 sopra), isolamento²⁴, possibilitàdi intervento, responsabilità e portabilità. La presente sezione mette inevidenza questi obiettivi centrali per la protezione dei dati, fatte salvealtre analisi del rischio complementari, orientate alla sicurezza²⁵.

3.4.3.1 Disponibilità

Garantire la disponibilità significa assicurare un accessotempestivo e affidabile ai dati personali.

Una grave minaccia alla disponibilità nel cloud computing èla perdita accidentale di connettività di rete tra il cliente e il fornitore oil malfunzionamento del server provocato da atti dolosi quali attacchiDoS (Denial of Service) distribuiti²⁶. Altri rischiper la disponibilità comprendono guasti accidentali dell'hardware sullarete e nei sistemi cloud di trattamento e conservazione dei dati,interruzioni di corrente e altri problemi infrastrutturali.

I responsabili del trattamento dei dati dovrebbero controllare seil fornitore cloud ha adottato misure ragionevoli per far fronte alrischio di interruzioni, quali link di backup in Internet,dispositivi di archiviazione ridondante e meccanismi efficaci di backup deidati.

3.4.3.2 Integrità

L'integrità si può definire come la proprietà per cui i dati sonoautentici e non sono stati alterati intenzionalmente o accidentalmente duranteil trattamento, l'archiviazione o la trasmissione. Il concetto di integrità sipuò estendere ai sistemi informatici e richiede che il trattamento dei datipersonali in tali sistemi resti inalterato.

Le alterazioni ai dati personali si possono individuare conmeccanismi di autenticazione crittografica, quali codici di autenticazione dimessaggi o firme.

Le interferenze nell'integrità dei sistemi informatici nel cloudcomputing si possono impedire o individuare mediante sistemi perl'identificazione / prevenzione di intrusioni (IPS / IDS). Si tratta di unaspetto particolarmente importante nel genere di ambienti di reti aperte doveoperano di norma i servizi cloud.

3.4.3.3 Riservatezza

In un ambiente cloud, il criptaggio può contribuire inmisura significativa alla riservatezza dei dati personali, se attuatocorrettamente, benché non li renda anonimi in modo irreversibile²⁷. Si dovrebbe ricorrere al criptaggio dei dati personali intutti i casi di dati "in transito" e quando disponibile per dati "a riposo"²⁸. In alcuni casi (ad es., un servizio di archiviazione IaaS)un cliente cloud può scegliere di non affidarsi a una soluzione dicriptaggio offerta dal fornitore cloud, ma di criptare i dati personaliprima di inviarli al sistema cloud. Il criptaggio dei dati a riposorichiede una particolare attenzione per la gestione della chiave crittografica,poiché la sicurezza dei dati in ultima analisi dipende dalla riservatezza dellechiavi di criptaggio.

Le comunicazioni tra fornitore e cliente di servizi cloud etra centri di trattamento dati dovrebbero essere criptate. La gestione adistanza della piattaforma cloud dovrebbe avvenire esclusivamentetramite un canale di comunicazione sicuro. Se un cliente prevede non solo diarchiviare, ma anche di procedere all'ulteriore trattamento dei dati nelsistema cloud (ad es., consultando schede in banche dati) deve tenerepresente che il criptaggio non può essere mantenuto durante il trattamento deidati (tranne per calcoli molto specifici).

Ulteriori misure tecniche intese a garantire la riservatezzacomprendono i meccanismi di autorizzazione e autenticazione (ad es.l'autenticazione a due fattori). Le clausole contrattuali dovrebbero ancheimporre obblighi di riservatezza ai dipendenti di clienti cloud,fornitori cloud e subcontraenti.

3.4.3.4 Trasparenza

Le misure tecniche e organizzative devono promuovere latrasparenza per consentire le verifiche (cfr. 3.4.1.1.).

3.4.3.5 Isolamento (limitazione dellafinalità)

Nelle infrastrutture cloud, risorse quali dispositivi diarchiviazione, memorie e reti sono condivise da molti utenti, con laconseguenza di nuovi rischi di divulgazione e trattamento dei dati per scopiillegittimi. L'obiettivo di protezione "isolamento" è inteso ad affrontarequesto aspetto e a contribuire a garantire che i dati non vengano utilizzati aldi là delle finalità iniziali (articolo 6, paragrafo 1, lettera b), delladirettiva 95/46/CE) e a mantenere la riservatezza e l'integrità²⁹.

L'isolamento richiede innanzi tutto una governance adeguatadei diritti e dei ruoli per l'accesso ai dati personali, verificata su baseperiodica. Si dovrebbe evitare l'attribuzione di ruoli con privilegi eccessivi(ad esempio, nessun utente o amministratore dovrebbe essere autorizzato adaccedere all'intero sistema cloud). Più in generale, amministratori eutenti devono poter accedere esclusivamente alle informazioni necessarie per leloro finalità legittime (principio del privilegio minimo).

In secondo luogo, l'isolamento dipende anche da misure tecnichequali l'hardening di ipervisori e la gestione corretta di risorsecondivise, se si utilizzano macchine virtuali per condividere risorse fisichetra diversi client cloud.

3.4.3.6 Possibilità di intervento

La direttiva 95/46/CE conferisce alle persone interessate idiritti di accesso, rettifica, cancellazione, blocco e opposizione (cfr.articoli 12 e 14). Il cliente cloud deve verificare che il fornitore cloudnon ponga ostacoli tecnici e organizzativi a questi requisiti, anche neicasi di ulteriore trattamento dei dati da parte di subcontraenti.

Il contratto tra cliente e fornitore dovrebbe stabilire che ilfornitore cloud ha l'obbligo di sostenere il cliente nell'agevolarel'esercizio dei diritti degli interessati e di garantire che lo stesso valganelle relazioni con eventuali subcontraenti³⁰.

3.4.3.7 Portabilità

Attualmente, la maggior parte dei fornitori di servizi cloud nonutilizzano formati di dati standard e interfacce che facilitanol'interoperabilità e la portabilità tra diversi fornitori. Se un cliente clouddecide di migrare da un fornitore ad un altro, questa mancanza diinteroperabilità può rendere impossibile, o comunque molto difficoltoso,trasferire i dati (personali) del cliente al nuovo fornitore cloud (ilcosiddetto vendor lock-in). Lo stesso vale per i servizi sviluppati dalcliente su una piattaforma offerta dal fornitore originario (PaaS). Prima diordinare un servizio cloud, il cliente cloud dovrebbe controllarese e come il fornitore garantisce la portabilità di dati e servizi³¹.

3.4.3.8 Responsabilità

Nelle tecnologie informatiche, si può definire la responsabilitàcome la capacità di stabilire che cosa ha fatto un'entità in un determinatomomento nel passato e come lo ha fatto. Nel campo della protezione dei datispesso assume un significato più ampio e descrive la capacità delle parti didimostrare di aver preso misure adeguate per garantire l'attuazione deiprincipi di tutela dei dati.

La responsabilità nelle tecnologie informatiche assume unaparticolare importanza per indagare su violazioni dei dati personali, doveclienti cloud, fornitori e subcontraenti possono avere ciascuno un certogrado di responsabilità operativa. La capacità della piattaforma cloud difornire meccanismi di monitoraggio e logging affidabili e completiriveste un'importanza fondamentale a questo proposito.

Inoltre, i fornitori di servizi cloud dovrebbero fornireprove documentali di misure opportune ed efficaci per la realizzazione deiprincipi di protezione dei dati delineati nelle sezioni precedenti. Esempi disimili misure sono le procedure per garantire l'identificazione di tutte leoperazioni di trattamento dei dati e per rispondere a richieste di accesso, ladistribuzione di risorse tra cui la designazione di funzionari addetti allaprotezione dei dati e responsabili dell'osservanza dei principi di protezionedei dati, ovvero procedure di certificazione indipendenti. Inoltre, iresponsabili del trattamento dovrebbero garantire di essere pronti a dimostrarel'istituzione delle misure necessarie, su richiesta delle autorità di vigilanzacompetenti ³².

3.5Trasferimenti internazionali

Gli articoli 25 e 26 della direttiva 95/46/CE prevedono il liberotrasferimento di dati personali verso paesi extra-SEE solo se il paese o ildestinatario garantisce un livello di protezione adeguato. Altrimenti, ilresponsabile del trattamento e i suoi corresponsabili e/o incaricati deltrattamento sono tenuti a fornire garanzie specifiche. Tuttavia, il cloudcomputing si basa per lo più sulla completa mancanza di un'ubicazionestabile dei dati all'interno della rete del fornitore cloud. I datipossono trovarsi in un centro di trattamento alle 2 del pomeriggio e dall'altraparte del mondo alle 4 del pomeriggio. Il cliente cloud quindi èraramente nella posizione di sapere in tempo reale dove si trovano, dove sonoarchiviati o dove sono trasferiti i dati. In un simile contesto, gli strumentigiuridici tradizionali che fungono da quadro di riferimento per laregolamentazione dei trasferimenti di dati verso paesi terzi extra-UE che nonforniscono una tutela adeguata, presentano delle limitazioni.

3.5.1 Safe Harbor e paesiadeguati

Gli accertamenti di adeguatezza, ivi compresi i principi SafeHarbor ("approdo sicuro"), hanno un ambito di applicazione geograficalimitata e quindi non coprono tutti i trasferimenti all'interno del cloud.I trasferimenti verso organizzazioni USA che aderiscono a tali principi possonoavvenire legalmente ai sensi della legislazione UE, poiché si presume che leorganizzazioni destinatarie forniscano un adeguato livello di protezione aidati trasferiti.

Tuttavia, secondo il parere del Gruppo di lavoro, la solaautocertificazione di conformità al Safe Harbor può non essereconsiderata sufficiente in assenza di una solida applicazione dei principi diprotezione dei dati nel contesto del sistema cloud. Inoltre, l'articolo17 della direttiva UE prevede che il responsabile del trattamento stipuli uncontratto con un incaricato ai fini del trattamento, come conferma la FAQ 10dei documenti quadro dell'accordo Safe Harbor UE-USA. Il contratto non èsoggetto alla preventiva autorizzazione delle autorità europee per laprotezione dei dati (DPA) e specifica il trattamento da effettuare e eventualimisure necessarie per garantire che i dati siano mantenuti in sicurezza.Diverse legislazioni nazionali e DPA possono prevedere requisiti aggiuntivi.

Il Gruppo di lavoro ritiene che le società che esportano dati nondovrebbero semplicemente basarsi sulla dichiarazione dell'importatore dei datiin merito alla certificazione Safe Harbor. Al contrario, dovrebberoottenere le prove dell'esistenza delle autocertificazioni Safe Harbor erichiedere che venga dimostrata l'osservanza dei relativi principi. Questoaspetto è importante, soprattutto per quanto concerne le informazioni forniteai soggetti interessati dal trattamento dei dati³³.

Il Gruppo di lavoro ritiene inoltre che il cliente cloud debbaverificare se i contratti tipo offerti dai fornitori cloud sianoconformi ai requisiti nazionali concernenti le clausole contrattuali sultrattamento dei dati. La legislazione nazionale può richiedere che nelcontratto sia definito il subtrattamento, con la relative ubicazioni e i datidei subincaricati³⁴, nonché latracciabilità dei dati. Di norma, i fornitori cloud non fornisconosimili informazioni al cliente; l'impegno nei confronti del Safe Harbor nonpuò sostituire la mancanza delle garanzie di cui sopra, se richieste dallalegislazione nazionale. In questi casi, l'esportatore è incoraggiato autilizzare altri strumenti giuridici disponibili, come le clausole contrattualitipo o le norme vincolanti d'impresa (BCR).

Infine, il Gruppo di lavoro ritiene che i principi Safe Harbor diper se stessi non possano garantire all'esportatore dei dati gli strumentinecessari per assicurare che il fornitore di servizi cloud negli USAabbia applicato adeguate misure di sicurezza, come richiesto dalle legislazioninazionali in base alla direttiva 95/46/CE³⁵. In terminidi sicurezza dei dati, il cloud computing comporta numerosi rischispecifici, quali la perdita di governance, l'insicurezza o incompletezzadella cancellazione dei dati, piste di controllo (audit trail)insufficienti o carenze nell'isolamento³⁶, che non sonoaffrontati in misura sufficiente dai principi Safe Harbor esistenti inmateria di sicurezza dei dati³⁷. Occorrequindi prevedere garanzie aggiuntive per la sicurezza dei dati, ad esempiointegrando competenze e risorse di terzi che siano in grado di valutarel'adeguatezza dei fornitori cloud con diversi sistemi di controllo,standardizzazione e certificazione³⁸. Per questimotivi, sarebbe auspicabile integrare l'impegno dell'importatore di dati neiconfronti del Safe Harbor con ulteriori garanzie che tengano conto dellanatura specifica dell'ambiente cloud.

3.5.2 Esenzioni

Le esenzioni previste all'articolo 26 della direttiva 95/46/CEconsentono agli esportatori di dati di trasferire dati fuori dall'UE senzafornire garanzie aggiuntive. Tuttavia, il WP29 ha adottato un parere nel qualeafferma che le esenzioni si applicano solo quando i trasferimenti non sonoricorrenti, né massicci o struttural .

Sulla base di tali interpretazioni è quasi impossibile applicaredelle deroghe nel contesto del cloud computing.

3.5.3 Clausole contrattuali tipo

Le clausole contrattuali tipo adottate dalla Commissione UE alloscopo di disciplinare i trasferimenti internazionali di dati tra dueresponsabili del trattamento o un responsabile e un incaricato del trattamentosi basano su approccio bilaterale. Quando il fornitore cloud èconsiderato l'incaricato del trattamento, le clausole tipo come da decisione2010/87/UE della Commissione sono uno strumento che l'incaricato e ilresponsabile del trattamento possono utilizzare come base per l'ambiente di cloudcomputing, per offrire garanzie adeguate nel contesto dei trasferimentiinternazionali.

Oltre alle clausole contrattuali tipo, il Gruppo di lavoro ritieneche i fornitori di servizi cloud potrebbero offrire ai clientidisposizioni basate sulle loro esperienze concrete, nella misura in cui noncontraddicano direttamente o indirettamente le clausole contrattuali tipoapprovate dalla Commissione, né pregiudichino diritti e libertà fondamentalidegli interessati⁴⁰. In ognicaso, le società non possono modificare le clausole contrattuali tipo senzaimplicare che tali clausole non si possano più considerare "tipo"⁴¹.

Quando il fornitore di servizi cloud che agisce in qualitàdi incaricato del trattamento è stabilito nell'UE, la situazione può rivelarsipiù complessa poiché le clausole tipo si applicano, in generale, solo altrasferimento di dati da un responsabile del trattamento UE a un incaricato deltrattamento non UE (cfr. considerando 23 della decisione 2010/87/UE dellaCommissione sulle clausole tipo e WP 176).

Per quanto concerne la relazione contrattuale tra l'incaricato deltrattamento non UE e i subincaricati, dovrebbe esistere un accordo scritto cheimponga ai subincaricati gli stessi obblighi imposti all'incaricato deltrattamento nelle clausole tipo.

3.5.4 Norme vincolanti d'impresa (BCR):verso un approccio globale

Le BCR costituiscono un codice di condotta per le società chetrasferiscono dati all'interno del proprio gruppo. Si tratta di una soluzioneapplicabile anche nel contesto del cloud computing quando il fornitoredel servizio è un incaricato del trattamento. In effetti, il WP29 attualmentesta lavorando su BCR per incaricati del trattamento, che consentano iltrasferimento all'interno del gruppo a vantaggio dei responsabili deltrattamento senza richiedere la firma di un contratto tra incaricato deltrattamento e subincaricati per ciascun cliente⁴².

Questo tipo di BCR per gli incaricati del trattamentoconsentirebbero al cliente di affidare i propri dati personali all'incaricatodel trattamento con la sicurezza che i dati trasferiti entro la portatadell'attività del fornitore del servizio ricevano un adeguato livello di protezione.

4.Conclusioni e raccomandazioni

Imprese e amministrazioni che intendono ricorrere al cloudcomputing dovrebbero effettuare per prima cosa un'analisi del rischiocompleta e approfondita, prendendo in esame i rischi relativi al trattamentodei dati nel sistema cloud (scarso controllo e informazioniinsufficienti – cfr. sezione 2 che precede) con riferimento allatipologia di dati trattati nel cloud⁴³. Inoltre, sidovrebbe prestare un'attenzione particolare alla valutazione dei rischi legaliin materia di protezione dei dati, che riguardano principalmente obblighi disicurezza e trasferimenti internazionali. Il trattamento di dati sensibili via cloudcomputing solleva ulteriori preoccupazioni. Per questo, fatte salve leleggi nazionali, tale trattamento richiede garanzie aggiuntive⁴⁴. Le conclusioni che seguono sono intese a fornire una listadi controllo per l'osservanza dei principi di protezione dei dati da parte diclienti e fornitori di servizi cloud sulla base dell'attuale quadrogiuridico; vengono fornite anche una serie di raccomandazioni in vista deifuturi sviluppi nel quadro normativo a livello UE e internazionale.

4.1Linee guida per clienti e fornitori di servizi di cloud computing

- Relazione responsabile del trattamento-incaricato del trattamento:il presente parere si incentra sulla relazione cliente-fornitore in quantorelazione tra responsabile del trattamento e incaricato del trattamento (cfr.sezione 3.3.1). In ogni caso, sulla base di circostanze concrete possonoesistere situazioni dove il fornitore cloud agisce anche da responsabiledel trattamento, ad esempio quando procede all'ulteriore trattamento di datipersonali per scopri propri. In tal caso, il fornitore cloud ha la pienaresponsabilità (congiunta) del trattamento ed è tenuto ad adempiere a tutti gliobblighi di legge sanciti dalle direttive 95/46/CE e 2002/58/CE (sepertinente).

- Responsabilità del cliente cloud in quanto responsabiledel trattamento: il cliente in quanto responsabile del trattamento deveassumere la responsabilità di attenersi alla legislazione sulla protezione deidati ed è soggetto a tutti gli obblighi di legge di cui alle direttive 95/46/CEe 2002/58/CE, se pertinente, in particolare nei confronti degli interessati(cfr. 3.3.1). Il cliente dovrebbe scegliere un fornitore cloud chegarantisca la conformità con la legislazione UE in materia di protezione deidati, rispecchiata dalle adeguate garanzie contrattuali sintetizzate inappresso.

- Garanzie relative ai subcontraenti: qualsiasi contratto trafornitore e cliente di servizi cloud dovrebbe prevedere delle clausolerelative ai subcontraenti. Il contratto dovrebbe specificare che isubincaricati possono essere autorizzati solo sulla base di un consenso che dinorma può essere concesso dal responsabile del trattamento a fronte di unchiaro obbligo dell'incaricato del trattamento di informarlo in merito aeventuali cambiamenti previsti in proposito, mentre il responsabile deltrattamento si riserva la possibilità, in qualsiasi momento, di opporsi a talicambiamenti o di risolvere il contratto. Il contratto dovrebbe chiarirel'obbligo del fornitore cloud di indicare tutti i subcontraentiautorizzati. Inoltre, il fornitore cloud è tenuto a stipulare uncontratto con ciascun subcontraente che rispecchi le clausole del contrattostipulato con il cliente cloud; il cliente dovrebbe garantire di esserein grado di avvalersi di possibilità di ricorso in caso di violazioni deicontratti da parte dei subcontraenti del fornitore (cfr. 3.3.2).

- Osservanza dei principi fondamentali in materia di protezionedei dati:

o Trasparenza (cfr. 3.4.1.1): i fornitori cloud dovrebberoinformare i clienti cloud in merito a tutti gli aspetti pertinenti (perla protezione dei dati) dei propri servizi durante i negoziati per ilcontratto; in particolare, i clienti dovrebbero essere informati in merito atutti i subcontraenti che contribuiscono alla prestazione dei rispettiviservizi cloud e a tutte le sedi presso le quali i dati possono esserearchiviati o trattati dal fornitore cloud e/o dai suoi subcontraenti (inparticolare se alcune o tutte le sedi si trovano fuori dello Spazio economicoeuropeo, SEE); il cliente dovrebbe ricevere informazioni significative inmerito a misure tecniche e organizzative attuate dal fornitore; a titolo di buonaprassi, il cliente dovrebbe informare gli interessati in merito al fornitore diservizi cloud e a tutti i subcontraenti (eventuali) nonché in meritoalle sedi presso le quali i dati possono essere conservati o trattati dalfornitore cloud e/o dai suoi subcontraenti;

o Specificazione e limitazione della finalità (3.4.1.2): il clientedovrebbe garantire l'osservanza dei principi di specificazione e limitazionedella finalità e assicurare che il fornitore di servizi o eventualisubcontraenti non procedano al trattamento di dati per finalità diverse.L'impegno a tale proposito dovrebbe essere contenuto in opportune disposizionicontrattuali (ivi comprese garanzie tecniche e organizzative);

o Conservazione dei dati (3.4.1.3): i cliente ha la responsabilitàdi garantire che i dati personali vengano cancellati (dal fornitore delservizio e da eventuali subcontraenti) da qualsiasi supporto sul quale sianomemorizzati, non appena non sono più necessari per gli scopi specificati; ilcontratto dovrebbe prevedere meccanismi sicuri di cancellazione (distruzione,smagnetizzazione, sovrascrittura).

- Garanzie contrattuali (cfr. 3.4.2, 3.4.3 e 3.5):

o   In generale: il contratto con il fornitore di servizi (equelli stipulati tra fornitore e subcontraenti) dovrebbe fornire garanziesufficienti in termini di sicurezza tecnica e misure organizzative (a normadell'articolo 17, paragrafo 2, della direttiva) ed essere in forma scritta o inun'altra forma equivalente. Il contratto dovrebbe descrivere nel dettaglio leistruzioni del cliente al fornitore del servizio, tra cui oggetto e orizzontetemporale del servizio, accordi sul livello del servizio (SLA) oggettivi emisurabili, nonché le sanzioni pertinenti (finanziarie o altro); inoltredovrebbe specificare le misure di sicurezza da rispettare in funzione deirischi del trattamento e della natura dei dati, in linea con i requisitiindicati in appresso e ferma restando l'applicazione di eventuali misure piùrigorose previste dalla legislazione nazionale del cliente; se i fornitori cloudintendono utilizzare condizioni contrattuali tipo, dovrebbero garantire chetali condizioni siano conformi ai requisiti in materia di protezione dei dati(cfr. 3.4.2); in particolare, le rispettive condizioni dovrebbero specificarele misure tecniche e organizzative attuate dal fornitore del servizio.

o   Accesso ai dati: solo le persone autorizzate dovrebberoavere accesso ai dati; nel contratto si dovrebbe inserire una clausola diriservatezza vincolante per il fornitore di servizi cloud e per i suoidipendenti.

o   Divulgazione dei dati a terzi: questo aspetto dovrebbeessere disciplinato solo dal contratto, che dovrebbe prevedere l'obbligo per ilfornitore del servizio di indicare tutti i subcontraenti, ad esempio in unregistro digitale pubblico, e garantire al cliente l'accesso a informazionirelative a eventuali cambiamenti, che gli consentano di opporsi a talicambiamenti o di risolvere il contratto; inoltre, ai sensi del contratto ilfornitore dovrebbe essere tenuto a comunicare eventuali richieste legalmentevincolanti di divulgazione di dati personali da parte di un'autoritàgiudiziaria o di polizia, a meno che tale divulgazione sia comunque vietata; ilcliente dovrebbe garantire che il fornitore respinga eventuali richieste didivulgazione non legalmente vincolanti.

o   Obbligo di cooperare: il cliente dovrebbe garantire che ilfornitore sia obbligato a cooperare in merito al diritto del cliente dicontrollare le operazioni di trattamento, agevolare l'esercizio dei dirittidegli interessati ad accedere/rettificare/cancellare i loro dati e (sepertinente) comunicare al cliente cloud eventuali violazioni concernentii dati del cliente.

o   Trasferimenti transfrontalieri di dati: il cliente cloud dovrebbeverificare se il fornitore cloud è in grado di garantire la legittimitàdei trasferimenti transfrontalieri di dati e se possibile limitare itrasferimenti a paesi selezionati dal cliente. I trasferimenti di dati a paesiterzi non adeguati richiedono garanzie specifiche, tramite il ricorso adaccordi Safe Harbor, clausole contrattuali tipo o norme vincolantid'impresa (BCR) se del caso; l'utilizzo di clausole contrattuali tipo per gliincaricati del trattamento (a norma della decisione n.2010/87/CE dellaCommissione) richiede determinati adeguamenti per l'ambiente cloud (perevitare la stipulazione di contratti separati per cliente tra un fornitore diservizi e i suoi subincaricati) che potrebbero comportare la necessità diautorizzazioni preventive dalla DPA competente; il contratto dovrebbecomprendere un elenco dei luoghi dove potrebbe essere fornito il servizio.

o Logging e auditing del trattamento: ilcliente dovrebbe richiedere la registrazione (logging) delle operazionidi trattamento eseguite dal fornitore e dai suoi subcontraenti; il clientedovrebbe essere autorizzato a effettuare l'audit di tali operazioni ditrattamento, benché siano accettabili anche audit e certificazioni diterzi scelti dal responsabile del trattamento, purché sia garantita la pienatrasparenza (ad es. prevedendo la possibilità di ottenere una copia delcertificato di audit o una copia della relazione di audit cheverifica la certificazione).

o Misure tecniche e organizzative: dovrebbero essere mirate a porrerimedio ai rischi comportati dalla mancanza di controllo e di informazioni checaratterizzano in misura rilevante l'ambiente di cloud computing. Leprime comprendono misure mirate a garantire disponibilità, integrità,riservatezza, isolamento, possibilità di intervento e portabilità, comedefiniti nel documento, mentre le secondo sono incentrate sulla trasparenza(cfr. 3.4.3 per i dettagli completi).

4.2 Certificazioni di terzi sulla protezione dei dati

Ä La verifica o la certificazione indipendente effettuata da unterzo affidabile può essere uno strumento credibile per i fornitori cloud perdimostrare la conformità con gli obblighi posti a loro carico, come specificatonel presente parere. Una simile certificazione indicherebbe come minimo che icontrolli in materia di protezione dei dati sono stati oggetto di audit overifica a fronte di una norma riconosciuta e conforme ai requisiti indicatinel presente parere, stabilita da un'organizzazione terza rispettabile⁴⁵. Nel contesto del cloud computing, i potenzialiclienti dovrebbero cercare di capire se i fornitori cloud possono fornireuna copia della certificazione di terzi o una copia della relazione di auditche attesti la certificazione anche rispetto ai requisiti esposti nelpresente parere.

Ä Singoli audit di dati ospitati in un server plurimoe virtuale possono essere tecnicamente impraticabili e in alcuni casi possonoservire ad aumentare i rischi per i controlli di sicurezza esistenti sulla retefisica e logica. In questi casi, un audit effettuato da un terzo sceltodal responsabile del trattamento può essere ritenuta soddisfacente in luogo deldiritto all'audit del singolo responsabile del trattamento.

Ä L'adozione di norme e certificazioni specifiche per la privacy ècruciale per l'istituzione di un rapporto di fiducia tra fornitori cloud,responsabili del trattamento e persone interessate.

Ä Queste norme e certificazioni dovrebbero prendere inconsiderazione misure tecniche (quali ubicazione dei dati o criptaggio) nonchéprocedure all'interno dell'organizzazione del fornitore cloud chegarantiscano la protezione dei dati (quali politiche di controllo dell'accesso,controllo dell'accesso o backup).

4.3 Raccomandazioni: sviluppi futuri

Il Gruppo di lavoro articolo 29 è pienamente consapevole del fattoche la complessità del cloud computing non può essere affrontatacompletamente attraverso le garanzie e le soluzioni delineate nel presenteparere, che tuttavia offre una solida base per garantire il trattamento di datipersonali sottoposti a fornitori cloud da clienti con sede nel SEE. Lapresente sezione è intesa a evidenziare alcune questioni che devono essereaffrontate nel breve-medio termine per rafforzare le garanzie già in essere,assistendo il settore del cloud computing con riferimento alleproblematiche evidenziate nel garantire il rispetto dei diritti fondamentalialla privacy e alla protezione dei dati.

- Maggiore equilibrio di responsabilità tra responsabile eincaricato del trattamento: il Gruppo di lavoro articolo 29 apprezza ledisposizioni dell'articolo 26 della proposta della Commissione (progetto diregolamento generale UE sulla protezione dei dati) mirate ad aumentare laresponsabilità degli incaricati del trattamento nei confronti dei responsabilidel trattamento, assistendoli nel garantire la conformità in particolare con irequisiti di sicurezza e i relativi obblighi. L'articolo 30 della propostaintroduce l'obbligo legale per l'incaricato del trattamento di adottareadeguate misure tecniche e organizzative. Il progetto di proposta chiarisce cheun incaricato che non si attiene alle istruzioni del responsabile deltrattamento è considerato responsabile del trattamento ed è soggetto alle normespecifiche sui corresponsabili del trattamento. Il Gruppo di lavoro articolo 29ritiene che la proposta vada nella giusta direzione per porre rimedio allosquilibrio che spesso caratterizza l'ambiente del cloud computing, doveil cliente (in particolare se si tratta di una PMI) può incontrare difficoltàad esercitare il pieno controllo richiesto dalla legislazione sulla protezionedei dati in merito alle modalità di fornitura dei servizi richiesti. Inoltre,in considerazione della posizione giuridica asimmetrica degli interessati edegli utenti piccole imprese nei confronti dei grandi fornitori di servizi di cloudcomputing, si raccomanda un ruolo più proattivo delle organizzazioni diconsumatori e imprese per negoziare termini e condizioni generali piùequilibrati.

- Accesso ai dati personali per motivi di sicurezza nazionale eattività di contrasto: è della massima importanza aggiungere al futuroregolamento una disposizione che vieti ai responsabili del trattamento operantinell'UE di divulgare dati personali ad un paese terzo su richiestadell'autorità giudiziaria o amministrativa di tale paese terzo, salvo espressaautorizzazione prevista da un accordo internazionale o da trattati di mutuaassistenza legale o approvata da un'autorità di vigilanza. Il regolamento (CE)n. 2271/96 del Consiglio è un esempio appropriato di base giuridica per questoaspetto⁴⁶. Il Gruppo di lavoro èpreoccupato per questa lacuna nella proposta della Commissione, poiché comportauna considerevole perdita di certezza giuridica per gli interessati i cui datipersonali sono memorizzati in centri di trattamento dati in tutto il mondo. Perquesto motivo, il Gruppo di lavoro sottolinea⁴⁷ la necessità di includere nelregolamento l'uso obbligatorio di trattati di assistenza giuridica reciproca(MLAT) in caso di divulgazioni non autorizzate dalla legge dell'Unione o diStati membri.

- Precauzioni particolari del settore pubblico: occorre aggiungereun caveat particolare in merito alla necessità che un ente pubblicovaluti innanzi tutto se la comunicazione, il trattamento e la conservazione didati fuori dal territorio nazionale possa esporre a rischi inaccettabili lasicurezza e la privacy dei cittadini, nonché la sicurezza e l'economianazionale, in particolare se sono coinvolte banche dati sensibili (ad es. datidel censimento) e servizi (ad es. servizi sanitari)⁴⁸. Questa speciale considerazione andrebbe prestata comunque,ogniqualvolta si trattino dati sensibili in un contesto cloud. Da questopunto di vista, i governi nazionali e le istituzioni dell'Unione europeapotrebbero considerare di approfondire ulteriormente il concetto di cloudcomputing governativo europeo in quanto spazio virtuale sovranazionale dovesi potrebbero applicare una serie di regole coerenti e armonizzate.

-        European CloudPartnership (Partenariato europeo per il cloud): il Gruppo di lavoroarticolo 29 sostiene la strategia European Cloud Partnership (ECP)presentata dalla Commissaria Kroes, Vicepresidente della Commissione europea,nel gennaio 2012 a Davos⁴⁹. La strategiaprevede appalti pubblici per tecnologie informatiche al fine di stimolare unmercato europeo del cloud computing. Il trasferimento di dati personalia un fornitore europeo di servizi cloud, disciplinato autonomamentedalla legge europea sulla protezione dei dati, potrebbe portare grandi vantaggiai clienti in fatto di protezione dei dati, in particolare promuovendol'adozione di norme comuni (specialmente in termini di interoperabilità eportabilità dei dati), nonché la certezza giuridica.

ALLEGATO

a) Modelli di rollout

Un private cloud⁵⁰ è un'infrastruttura informaticadedicata alle esigenze di una singola organizzazione, ubicata nei suoi locali oaffidata in gestione ad un terzo (nella tradizionale forma dell'hosting deiserver) nei confronti del quale il responsabile del trattamento esercitaun controllo puntuale. Il private cloud si può paragonare a untradizionale centro di trattamento dati (data center), con la differenzache, grazie a degli accorgimenti tecnologici, è possibile ottimizzarel'utilizzo delle risorse disponibili e potenziarle attraverso investimenticontenuti e attuati progressivamente nel tempo.

Nel caso dei publiccloud, invece, l'infrastruttura è di proprietà di un fornitorespecializzato nell'erogazione di servizi che mette a disposizione di utenti,aziende o pubbliche amministrazioni - e quindi condivide tra di essi - i proprisistemi. La fruizione di tali servizi avviene tramite la rete Internet eimplica il trasferimento delle operazioni di trattamento dei dati e/o dei solidati ai sistemi del fornitore del servizio, il quale assume pertanto un ruoloimportante in ordine all'efficacia della protezione dei dati che gli sono statiaffidati. Insieme ai dati, l'utente cede una parte importante del controlloesercitabile su di essi.

Accanto ai private e public cloud si annoverano icosiddetti cloud "intermedi" o "ibridi", dove i servizi erogati dainfrastrutture private coesistono con servizi acquisiti da cloud pubblici.Vanno citati anche i community cloud (o cloud di comunità) in cuil'infrastruttura informatica è condivisa da diverse organizzazioni a beneficiodi una specifica comunità di utenti.

La flessibilità e la semplicità con cui è possibile configurare isistemi in cloud ne rende possibile un dimensionamento "elastico", ossiaadeguato alle esigenze specifiche secondo un approccio basato sull'utilizzo.Gli utenti non devono curarsi della gestione dei sistemi informatici che,essendo utilizzati sulla base di accordi di esternalizzazione (outsourcing),sono completamente gestiti dai soggetti terzi nel cui cloud sonoconservati i dati. Spesso entrano in gioco fornitori di grosse dimensionidotati di infrastrutture complesse, e per questo motivo il cloud puòestendersi geograficamente in numerosi luoghi distinti e gli utenti potrebberoignorare dove vengono effettivamente conservati i loro dati.

b) Modelli di erogazione dei servizi

A seconda delle esigenze dell'utente, sul mercato sono disponibilivarie soluzioni di cloud computing, che ricadono in linea di massima intre categorie, o "modelli di servizio". Di norma, tali modelli sono riferitisia a soluzioni di private cloud che di public cloud:

- IaaS (CloudInfrastructure as a Service) (infrastruttura cloud resadisponibile come servizio): il fornitore noleggia un'infrastrutturatecnologica, cioè server virtuali remoti che l'utente finale puòutilizzare con tecniche e modalità che rendono semplice, efficace e vantaggiososostituire i sistemi informatici aziendali presenti nei locali dell'azienda e/oaffiancare l'infrastruttura noleggiata ai sistemi aziendali. Tali fornitorisono in genere operatori di mercato specializzati, che realmente dispongono diun'infrastruttura fisica complessa, spesso distribuita in aree geografichediverse.

- SaaS (Cloud Softwareas a Service) (software erogato come servizio cloud): un fornitore eroga via web una seriedi servizi applicativi mettendoli a disposizione degli utenti finali. Questiservizi sono spesso offerti in sostituzione delle tradizionali applicazioniinstallate localmente dall'utente sui propri sistemi; di conseguenza, l'utenteè spinto a esternalizzare i suoi dati affidandoli al singolo fornitore. Sipensi, ad esempio, ad applicazioni tipiche per l'ufficio erogate in modalitàweb quali fogli di calcolo, strumenti di elaborazione testi, registri e agendecomputerizzati, calendari condivisi, ecc., ma anche a servizi come leapplicazioni di posta elettronica cloud.

- PaaS (Cloud Platformas a Service) (piattaforme cloud fornite via web comeservizio): il fornitore offre soluzioni per lo sviluppo e l'hosting evolutodi applicazioni. In genere questo tipo di servizi è rivolto a operatori dimercato che li utilizzano per sviluppare e ospitare soluzioni applicativeproprie, allo scopo di soddisfare esigenze interne e/o per fornire a loro voltaservizi a terzi. Anche nel caso del PaaS il servizio erogato dal fornitore eliminala necessità per l'utente di doversi dotare internamente di strumenti hardwareo software specifici o aggiuntivi.

Una transizione completa ad un sistema cloud totalmentepubblico non sembra fattibile nel breve periodo per una serie di motivi, inparticolare per quanto concerne entità di notevoli dimensioni come grandiaziende o organizzazioni che devono adempiere a obblighi specifici, quali lemaggiori banche, enti governativi, grandi municipalità, ecc. Questo si puòspiegare principalmente per due motivi: innanzi tutto, esiste un fattore dislancio relativo agli investimenti richiesti per realizzare una similetransizione; in secondo luogo, occorre tenere conto delle informazioniparticolarmente preziose e/o delicate da trattare in casi specifici.

Un altro fattore a favore dei private cloud (almeno neicasi citati sopra) è il fatto che i fornitori di public cloud spesso nonsono in grado di garantire una qualità del servizio (sulla base di accordi sullivello del servizio) tale da stare al passo con la natura delicata delservizio che deve erogare il responsabile del trattamento, a volte perchélarghezza di banda e affidabilità della rete non sono sufficienti o adeguate inuna data area, o anche per quanto riguarda specifiche connessioniutente-fornitore. D'altro canto, si può ragionevolmente presumere che in alcunidei casi sopra citati si possano affittare o noleggiare private cloud (perchépuò essere una soluzione più efficiente in termini di costo) o si possanoutilizzare modelli di cloud ibridi (che comprendono componenti pubblichee private). In tutti i casi occorre valutare attentamente tutte le implicazionipertinenti.

In assenza di norme concordate a livello internazionale, esiste ilrischio di soluzioni cloud "fai da te", o anche federate, che comportanomaggiori pericoli di lock-in (oltre a quelle che sono state definite"monocolture della privacy")⁵¹ e impediscono il pieno controllo sui dati senza garantirel'interoperabilità. In effetti, interoperabilità e portabilità dei dati sonofattori chiave per lo sviluppo di una tecnologia cloud e per consentireil pieno esercizio dei diritti di protezione dei dati degli interessati (qualil'accesso o la rettifica).

Da questo punto di vista, l'attuale dibattito sulle tecnologie cloudoffre un esempio significativo della tensione esistente tra approcciorientati ai costi e orientati ai diritti, come descritto in breve nellasezione 2 che precede. Basarsi sui private cloud può essere fattibile eaddirittura consigliabile in una prospettiva di protezione dei dati, tenendoconto delle circostanze specifiche del trattamento, ma nel lungo termine si puòdimostrare impraticabile per le organizzazioni, soprattutto in un prospettivaorientata ai costi. Occorre un'attenta valutazione degli interessi in gioco, perchéattualmente in questo campo non è possibile indicare una soluzione univoca.

NOTE                                      

1 In questo caso, "devono" traduce iltermine inglese "must". Si ritiene opportuno specificare che i termini chiave"MUST", "MUST NOT", "REQUIRED","SHALL", "SHALL NOT", "SHOULD", "SHOULD NOT","RECOMMENDED", "MAY", e "OPTIONAL" nel presentedocumento si devono interpretare come descritto nella RFC 2119. Il documento èdisponibile all'indirizzo http://www.ietf.org/rfc/rfc2119.txt. Tuttavia, ai fini di una maggiore leggibilità, i termini nonsono scritti in lettere maiuscole.

2 http://datenschutz-berlin.de/attachments/873/Sopot_Memorandum_Cloud_Computing.pdf

3 Oltre ai rischi relativi ai datipersonali oggetto di trattamento "nel cloud" citati esplicitamente nelpresente parere, occorre tenere conto anche di tutti i rischi relativiall'esternalizzazione del trattamento di dati personali.

4 In Germania è stato introdotto ilconcetto più ampio di "unlinkability", o impossibilità di collegamento. Cfr.nota 24 sotto.

5 Direttiva 2002/58/CE sulla e-privacy (modificata dalla direttiva2009/136/CE): la direttiva 2002/58/CE relativa al trattamento dei datipersonali e alla tutela della vita privata nel settore delle comunicazionielettroniche si applica ai fornitori di servizi di comunicazione elettronicaaccessibili al pubblico e impone loro di garantire il rispetto degli obblighirelativi alla segretezza della comunicazione e alla protezione dei datipersonali, nonché i diritti e gli obblighi concernenti le reti e i servizi dicomunicazione elettronica. Quando forniscono servizi di comunicazioneelettronica disponibili al pubblico, i fornitori di servizi di cloudcomputing sono soggetti a questa direttiva.

6 Il concetto di responsabile deltrattamento si trova nell'articolo 2, lettera h) della direttiva ed è statoanalizzato dal Gruppo di lavoro articolo 29 nel suo parere 1/2010 sui concettidi responsabile del trattamento e incaricato del trattamento.

7 http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp179_it.pdf

8 L'articolo 4, paragrafo 1, lettera c)stabilisce che la legislazione di uno Stato è applicabile quando ilresponsabile del trattamento "non stabilito nel territorio della Comunità,ricorre, ai fini del trattamento di dati personali, a strumenti, automatizzatio non automatizzati, situati nel territorio di detto Stato membro, a meno chequesti non siano utilizzati ai soli fini di transito nel territorio dellaComunità europea".

9 Il parere riguarda solo la regolare relazione responsabile deltrattamento – incaricato del trattamento. 10 L'ambiente del cloudcomputing può essere utilizzato anche da persone fisiche (utenti) persvolgere esclusivamente attività personali o nazionali. In tal caso, occorrevalutare attentamente se si applica la cosiddetta "esenzione domestica" cheesenta gli utenti dalla qualifica di responsabile del trattamento. Tuttavia, laquestione non rientra nell'ambito di applicazione del presente parere.

11 Ad es. livello di istruzioni,controllo da parte del cliente cloud, competenza delle parti.

12 Parere 1/2010 sui concetti di"responsabile del trattamento" e "incaricato deltrattamento" -

http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp169_it.pdf

13 Cfr. WP169, pag. 29, parere 1/2010sui concetti di "responsabile del trattamento" e "incaricato deltrattamento" (http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp169_it.pdf)

14 Cfr. FAQ II.5 WP176.

15 Proposta di regolamento del Parlamento europeo e del Consiglioconcernente la tutela delle persone fisiche con riguardo al trattamento deidati personali e la libera circolazione di tali dati, 25.1.2012.

16 Cfr. FAQ II, 1) WP176, adottato il 12 luglio 2010.

17 Un obbligo corrispondente di informare l'interessato sussistequando dati che non sono stati ottenuti dallo stesso interessato, bensì dafonti diverse, vengano registrati o divulgati a un terzo (cfr. articolo 11).

18 Solo in tal caso sarà in grado divalutare se i dati personali possono essere trasferiti a un cosiddetto paeseterzo al di fuori dello Spazio economico europeo (SEE) che non garantisce unadeguato livello di protezione ai sensi della direttiva 95/46/CE. Cfr. anche lasezione 3.4.6 in appresso.

19 Cfr. sezione 3.4.3 in appresso.

20 La cancellazione dei dati è unaquestione pertinente per tutta la durata di un contratto di cloud computing ealla sua conclusione. » pertinente anche in caso di sostituzione o ritiro di unsubcontraente.

21 Osservazioni sui requisiti di loggingseguono al punto 4.3.4.2.

22 Questo significa che occorredefinire i periodi ragionevoli di conservazione per file di log estabilire le procedure per garantire la cancellazione puntuale ol'anonimizzazione di tali dati.

23 Cfr. sezione 3.4.3 in appresso.

24 In Germania, nella legislazione è stato introdotto il concetto piùampio di "unlinkability", o impossibilità di collegamento, promosso dallaConferenza dei commissari per la protezione di dati.

25 Cfr.         ad       es.      ENISA         all'indirizzo   http://www.enisa.europa.eu/activities/risk-management/files/deliverables/cloud-computing-risk-assessment

26 Un attacco DoS è un tentativocoordinato di rendere un computer o una risorsa di rete inaccessibile ai suoiutenti autorizzati, in via temporanea o definitiva (ad esempio mediantenumerosi sistemi di attacco che paralizzano l'obiettivo con una moltitudine dirichieste esterne di comunicazione).

27 Direttiva 95/46/CE – considerando 26: "(...); che i principidella tutela non si applicano a dati resi anonimi in modo tale che la personainteressata non è più identificabile; (...)". I processi di frammentazione deidati tecnici che si possono utilizzare nel quadro della fornitura di servizi dicloud computing non portano all'anonimato irreversibile e pertanto nonimplicano la mancata applicazione degli obblighi di tutela dei dati.

28 Questo è vero in particolare per iresponsabili del trattamento che intendono trasferire al sistema cloud datisensibili ai sensi dell'articolo 8 della direttiva 95/46/CE (quali datisanitari) o che sono soggetti a specifici obblighi legali di segretezzaprofessionale.

29 Cfr. 3.4.1.2.

30 Cfr. sezione 3.4.2, punto 6 sopra. Il fornitore può anche ricevereistruzioni per rispondere a richieste a nome del cliente.

31 Preferibilmente, il fornitoredovrebbe utilizzare formati di dati e interfacce standard o aperti. In ognicaso, si dovrebbero concordare clausole contrattuali relative a formatigarantiti, alla preservazione di relazioni logiche e a eventuali costiderivanti dalla migrazione ad un altro fornitore di servizi cloud.

32 Il Gruppo di lavoro formula osservazioni dettagliatesull'argomento della responsabilità nel parere 3/2010 sul principio di responsabilitàhttp://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp173_it.pdf.

33 Cfr.DPA tedesca: http://www.datenschutz-berlin.de/attachments/710/Resolution_DuesseldorfCircle_28_04_2010EN.pdf.

34 Per i requisiti concernenti isubincaricati, cfr. 3.3.2.

35 Cfr. un parere della DPA danese: http://www.datatilsynet.dk/english/processing-of-sensitive-personal-data-in-a-cloud-solution.

36 Descritti in dettaglio nel documentoENISA Cloud Computing: Benefits, Risks and Recommendations for Information Securityall'indirizzo: https://www.enisa.europa.eu/activities/risk-management/files/deliverables/cloud-computing-risk-assessment.

37 "Le organizzazioni devono prendereprecauzioni ragionevoli per proteggere le informazioni personali da perdite,abusi e accesso non autorizzato, divulgazione, alterazione e distruzione".

38 Cfr. sezione 4.2 in appresso.

39 Documento di lavoro 12/1998:Trasferimento di dati personali verso paesi terzi: applicazione degli articoli25 e 26 della direttiva UE sulla tutela dei dati, adottato dal Gruppo di lavoroil 24 luglio 1998 (http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/1998/wp12_it.pdf).

40 Cfr. FAQ IV B1.9 9, Le società possono includere le clausolecontrattuali tipo in un contratto più ampio e aggiungere clausole specifiche?,pubblicata dalla CE all'indirizzo http://ec.europa.eu/justice/policies/privacy/docs/international_transfers_faq/international_transfers_faq.pdf

41 Cfr. FAQ IV B1.10, Lesocietà possono modificare le clausole contrattuali tipo approvate dallaCommissione?

42 Cfr. documento di lavoro 02/2012,contenente una tabella con gli elementi e i principi da prevedere nelle normevincolanti d'impresa (BCR) dell'incaricato del trattamento, adottato il 6giugno 2012: http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2012/wp195_en.pdf

43 ENISA presenta un elenco dei rischida prendere in considerazione http://www.enisa.europa.eu/act/rm/files/deliverables/cloud-computing-risk-assessment

44 Cfr. Memorandum di Sopot, nota 2 cheprecede.

45 Tali norme comprenderebbero quelleemesse dall'International Standards Organisation, dall'International Auditingand Assurance Standards Board e dall'Auditing Standards Board of the AmericanInstitute of Certified Public Accountants nella misura in cui questeorganizzazioni emettono norme rispondenti ai requisiti esposti nel presenteparere.

46 Regolamento (CE) n. 2271/96 del Consiglio del 22 novembre 1996relativo alla protezione dagli effetti extraterritoriali derivantidall'applicazione della normativa adottata da un paese terzo, e dalle azioni sudi essa basate o da essa derivanti, Gazzetta Ufficiale L 309 del 29/11/1996,pagg. 0001 - 0006, URL: http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:31996R2271:IT:HTML

47 Cfr. WP 191 - Parere 01/2012 sulleproposte di riforma della protezione dei dati, pag. 23.

48 A questo proposito, ENISA formula la seguente raccomandazione nelsuo documento su sicurezza e resilienza in cloud governativi (http://www.enisa.europa.eu/activities/risk-management/emerging-and-future-risk/deliverables/security-and-resilience-in-governmental-clouds/at_download/fullReport): "In termini di architettura, per applicazioni sensibili lesoluzioni cloud private e di comunità sembrano essere quelle cheattualmente rispondono meglio alle esigenze delle pubbliche amministrazioniperché offrono il massimo livello di governance, controllo e visibilità, anchese nel pianificare un sistema cloud privato o di comunità si dovrebbeprendere in particolare considerazione la scala dell'infrastruttura".

49 Neelie Kroes, Vicepresidente dellaCommissione europea responsabile per l'Agenda digitale, Setting up theEuropean Cloud Partnership, World Economic Forum Davos, Svizzera, 26gennaio 2012, URL: http://europa.eu/rapid/pressReleasesAction.do?reference=SPEECH/123.

50 Il NIST (National Institute of Standards and Technology) negli USAha lavorato per qualche anno sulla standardizzazione delle tecnologie basatesul cloud e anche il documento di ENISA fa riferimento alle suedefinizioni: Private cloud.

L'infrastruttura cloud èdedicata esclusivamente a un'organizzazione. Può essere gestitadall'organizzazione stessa o da un terzo e può esistere in sede o altrove. Vanotato che un private cloud si basa almeno su determinate tecnologie chesono tipiche anche dei public cloud – tra cui, in particolare,tecnologie di virtualizzazione che promuovono la riorganizzazione (o revisione)dell'architettura del trattamento dati come spiegato sopra.

Public cloud.

L'infrastruttura cloud è resadisponibile al pubblico in generale o a un grande gruppo industriale ed è diproprietà di un'organizzazione che vende servizi cloud.

51 Cfr. lo studio del Parlamento europeo Does it Help or Hinder?Promotion of Innovation on the Internet and Citizens' Right to Privacy,pubblicato nel dicembre 2011.