L’attribuzione dei ruoli nel modello cloud come misura di sicurezza

L’attribuzione dei ruoli quale misura di sicurezza (organizzativa) mostra potenzialità e criticità soprattutto in contesti tecnologici avanzati in cui il ricorso a sistemi cloud per il trat-

625 _{Medesimo ragionamento può essere fatto nel caso in cui il titolare utilizzi un dispositivo prodotto da un}

soggetto che rimane estraneo al trattamento (ossia privo della qualifica di responsabile). In tal caso il titolare violerà gli obblighi di sicurezza non in forza dell’individuazione di un responsabile privo delle garanzie neces- sarie, ma in ragione della scelta di mezzi non adeguati a garantire la sicurezza del trattamento. Cfr. BRAVO,

L’“architettura” del trattamento e la sicurezza dei dati e dei sistemi, cit., 835-836; E.COVELLO, La privacy by design nel

rapporto tra titolare e responsabile del trattamento dati: le soluzioni, NetworkDigital360, pubblicato il 21 marzo 2019,

consultabile al sito: https://www.cybersecurity360.it/legal/privacy-dati-personali/la-privacy-by-design-nel- rapporto-tra-titolare-e-responsabile-del-trattamento-dati-le-soluzioni/ .

tamento dei dati personali, e dunque l’adozione di modelli di governance complessi, è la nor- ma. Prima di approfondire tale aspetto, è necessario descrivere brevemente le dinamiche che si sviluppano tra fruitore del servizio cloud e fornitore dello stesso.

Il cloud computing è costituito da un insieme di tecnologie hardware e software collegate in Rete tramite cui il cloud provider offre l’erogazione online di servizi di gestione, memorizza- zione, archiviazione e/o elaborazione di dati626_{; questo si caratterizza per un modello di}

erogazione “uno a molti”, incentrato su prestazioni standardizzate destinate ad un’ampia platea di soggetti627_{. Un esempio è fornito proprio dalle applicazioni destinate agli assistenti}

vocali: i produttori dell’assistente consentono a terze parti di sviluppare delle skills628 che potranno essere utilizzate dagli utenti per mezzo degli assistenti vocali629_{. In questo caso}

non è facile configurare quale sia il rapporto tra il fornitore del servizio cloud630 _{e lo svilup-} patore della skill dal punto di vista della disciplina a tutela dei dati personali. Un punto di riferimento per procedure nell’analisi è fornito dal Working Party che, in via generale, ha individuato nel fruitore del servizio cloud il titolare del trattamento e nel cloud provider il re- sponsabile631: “The cloud client determines the ultimate purpose of the processing and decides on the ou- tsourcing of this processing and the delegation of all or part of the processing activities to an external organi- sation. The cloud client therefore acts as a data controller. […] When the cloud provider supplies the means and the platform, acting on behalf of the cloud client, the cloud provider is considered as a data processor”

632_{. Nella maggior parte dei casi}633_{, infatti, è lo sviluppatore della skill a determinare auto-}

626 _{L. GRECO, I ruoli: titolare e responsabile, in FINOCCHIARO (a cura di), Il nuovo Regolamento europeo sulla privacy e}

sulla protezione dei dati personali,cit., 276. Per le diverse tipologie di servizi che il cloud provider può fornire (SaaS, DaaS, HaaS, PaaS), si v. D’ACQUISTO,NALDI, Big data e privacy by design, cit., 207-208.

627 _{In ciò il cloud computing mostra una differenza rispetto ai processi di outsourcing (stante l’affinità inerente i}

processi di esternalizzazione) in cui il servizio è molto personalizzato in ragione delle esigenze del cliente. Per un approfondimento sui rapporti tra ousourcing e cloud computing: A.MANTELERO, Il cloud computing, in PANETTA

(a cura di), Circolazione e protezione dei dati personali, tra libertà e regole del mercato, cit., 509-515; GRECO, I ruoli: titola-

re e responsabile, cit., 274-275.

628 _{Con il termine skill si suole indicare una applicazione per l’assistente vocale, in particolare per nel caso di}

Alexa. Cfr. A.PFEIFLE, Alexa, What Should We Do about Privacy? Protecting Privacy for Users of Voice-activated Devic-

es, 93 Wash. L. Rev. 421 (2018), disponibile al sito: https://digital.law.washington.edu/dspace- law/handle/1773.1/1778; https://www.amazon.it/b?ie=UTF8&node=15606817031. Relativamente alla pos- sibilità per terze parti di creare delle skills: https://developer.amazon.com/it-IT/alexa/alexa-skills- kit#Ready%20to%20start%3F.

629 _{HOY,Alexa, Siri, Cortana, and More: An Introduction to Voice Assistants, cit., 83.}

630 _{Di seguito si farà riferimento al produttore dell’assistente vocale e al fornitore del servizio cloud identifican-}

doli nello stesso soggetto in quanto ciò rispecchia lo scenario attuale, almeno per quanto riguarda i major

players del settore (si fa riferimento, ad esempio, ad Amazon e a Google).

631 _{Art. 29 WP, Opinion 05/2012 on cloud computing, adopted on 1 July 2012, WP196.} 632 _{Art. 29 WP, Opinion 05/2012 on cloud computing, cit., 8-9.}

633 _{Al di là degli esiti di una analisi generale che tiene conto delle circostanze concrete in cui usualmente ven-}

gono in essere i trattamenti dei dati per mezzo di servizi cloud, sarà sempre necessario verificare di volta in vol- ta quale sia la relazione che ciascun autore del trattamento instaura con i dati per attribuire le qualifiche che più rispecchiano la reale situazione di fatto.Cfr. MANTELERO, Il cloud computing, cit., 518.

120

nomamente i mezzi e le finalità del trattamento, mentre il fornitore del servizio cloud non partecipa a tale determinazione634_{. Ulteriori indici possono essere d’ausilio per stabilire se il}

fornitore sia effettivamente responsabile del trattamento, tra i quali: (i) la legittimazione conferita dagli interessati al solo sviluppatore della skill affinché questo tratti i dati, e facoltà per i terzi (in specie il fornitore del servizio cloud) di gestire i dati solo in quanto pongano in essere un’elaborazione nell’interesse del primo; (ii) la presenza di un certo margine di auto- nomia decisionale ed operativa in capo al fornitore, accompagnata però dal fatto che i suoi compiti siano chiaramente e rigorosamente definiti; (iii) la determinazione operativa delle finalità e modalità di impiego del software in relazione al trattamento dati ad opera dello svi- luppatore635_.

Identificato il rapporto tra fruitore e fornitore del cloud (nel caso in analisi, sviluppato- re della skill e produttore dell’assistente vocale), si può procedere ad esaminare lo scenario che la concreta designazione a responsabile prospetta in tale contesto. In primo luogo, lo sviluppatore dovrà scegliere un fornitore che presenti garanzie sufficienti per mettere in at- to misure di sicurezza adeguate. Ciò comporterà un onere significativo per il titolare, che dovrà infatti assicurarsi che il responsabile abbia predisposto delle procedure interne in grado di gestire problematiche tecniche di elevata complessità: in caso di violazione dei dati sulla piattaforma cloud sarà il fornitore a dover individuare la criticità, porvi rimedio e notifi- care l’accaduto al titolare636_{. Più in generale, da un lato il responsabile dovrà riuscire ad im-}

plementare le specifiche misure ex articolo 32 del GDPR affinché siano adeguate ai sistemi interconnessi e intelligenti, che presentano particolari vulnerabilità e logiche opache637_;

dall’altro, il titolare dovrà avere le competenze tecniche per comprendere se tali misure sia- no effettivamente adeguate. In questo scenario i codici di condotta e le certificazioni apro- no prospettive interessanti (sebbene non risolutive), potendo agevolare il compito dei tito- lari e fissando degli standard per i produttori638.

634 _{Laddove, invece, il fornitore e lo sviluppatore stabilissero congiuntamente mezzi e finalità si configurereb-}

be un caso di contitolarità. L’articolo 26 del Regolamento disciplina in modo analitico tale situazione preve- dendo che le rispettive responsabilità debbano essere individuate mediante un accordo interno il cui contenu- to dovrà essere messo a disposizione dell’interessato. Per un approfondimento: PELINO, I soggetti del trattamen-

to, cit., 136; D. FARACE,Il titolare e il responsabile del trattamento, in CUFFARO,D’ORAZIO,RICCIUTO (a cura di), I

dati personali nel diritto europeo, Torino, 2019, 750 ss.

635 _{MANTELERO, Il cloud computing, cit., 520-521.}

636 _{BOLOGNINI,PELINO,BISTOLFI,Le obbligazioni di compliance in materia di protezione dei dati, cit., 339.}

637 _{Si torna a sottolineare che l’adeguatezza delle misure di sicurezza dipende dal grado di rischiosità del trat-}

tamento il quale è particolarmente alto nel caso di sistemi intelligenti, cfr. Capitolo 3, paragrafo 1.2.1.

638 _{Ad esempio, è stata sollevata l’idea di applicare agli oggetti intelligenti la normativa relativa al marchio}

“CE” (che permette ai produttori europei, e non, di dimostrare la loro ottemperanza alle normative obbliga- torie in tema di sicurezza, salute e ambiente) al fine di garantire un approccio di data protection by design e by de-

In secondo luogo, una volta individuato un responsabile che risponda a tali requisiti, questo dovrà essere formalmente designato, dal momento che il Regolamento non ammet- te che un soggetto rivesta tale ruolo in assenza di un titolo che disciplini il suo rapporto con il titolare in modo dettagliato. L’articolo 28.3 del GDPR dispone che: “I trattamenti da parte di un responsabile del trattamento sono disciplinati da un contratto o da altro atto giuridico a norma del diritto dell'Unione o degli Stati membri, che vincoli il responsabile del trattamento al titolare del trattamen- to […]”. Sono previsti, inoltre, vincoli sia sulla forma (scritta) e sul contenuto (minuziosa- mente elencato nel prosieguo dell’articolo 28.3). Il dovere di regolare con tale precisione i caratteri del trattamento svolto dal responsabile offre al titolare la possibilità di porre in es- sere ulteriori misure di sicurezza organizzative che vanno al di là dell’individuazione del re- sponsabile in sé. In tal modo, infatti, il titolare potrà limitare il più possibile l’autonomia del fornitore del cloud affinché questo non svolga altro ruolo se non quello di supporto tecno- logico per le sole finalità e con le sole modalità fissate dallo sviluppatore. Si dia il caso di un titolare che ponga in essere il trattamento di dati sanitari e che per far ciò si avvalga di un fornitore cloud: nell’atto di designazione dovrà stabilire che quest’ultimo non possa utilizzare i dati trattati per monitorare le preferenze dell’utente o per finalità di marketing. Così il tito- lare potrà scongiurare a monte, attraverso un approccio organizzativo by design, un uso im- proprio dei dati personali trattati639_{, in questo caso appartenenti alle categorie particolari a}

cui è riservata una tutela ancora maggiore. Rispetto a tale possibilità, però, si deve prendere in considerazione il fatto che i contratti di erogazione di servizi cloud di questo genere han- no solitamente la struttura dei contratti standard con clausole scarsamente negoziabili e personalizzabili riguardo alle modalità della prestazione del servizio e alle misure di sicurez- za640. Di conseguenza, l’asimmetria nel potere contrattuale potrebbe impedire al titolare di predisporre, per mezzo del contenuto dell’atto di designazione, misure di tal genere a tutela del trattamento svolto con un sistema intelligente - o meglio, potrebbe consentirlo solo a quegli sviluppatori sufficientemente forti dal punto di vista contrattuale da poter ottenere un confronto con gli attori principali nel mercato degli assistenti vocali (e più in generale dei fornitori di servizi cloud) tagliando fuori gli sviluppatori di dimensioni inferiori.

Infine, sempre in riferimento ai rapporti tra i diversi soggetti coinvolti nel trattamen- to, si deve osservare che la scelta di avvalersi di fornitori di servizi cloud implica tendenzial-

fault. Cfr. GIOVANELLA,Le persone e le cose: la tutela dei dati personali nell’ambito dell’Internet of Things, cit., 1238-

2239.

639 _{Laddove il responsabile dovesse procedere al trattamento dei dati per finalità proprie non previste dall’atto}

di designazione sarà considerato titolare autonomo con le relative responsabilità. Art. 28.10, GDPR.

122

mente il venire in essere di flussi transfrontalieri di dati, in ragione della localizzazione dei principali players del settore. In virtù del dettato degli articoli 44 e seguenti del Regolamento, al di fuori dei casi in cui il Paese di destinazione offra un livello di tutela ritenuto adeguato dalla Commissione europea o sussistano altri specifici strumenti di tutela ad hoc, le parti do- vranno ricorrere a soluzioni contrattuali che risentiranno anch’esse dell’asimmetria ora de- scritta641_.