Difficoltà di inquadramento soggettivo

Merita una trattazione a sé stante, anche alla luce delle più recenti novità normative39 già citate, un ulteriore aspetto critico del cloud computing, lega- to all‟inquadramento delle figure soggettive codificate sul modello respon- sabile/titolare del trattamento.

Nonostante il recente intervento normativo (e nell‟incertezza della sua portata risolutiva), la questione rimane attuale in quanto la nuova disciplina (Art. 99, comma 2, RGPD) si applicherà a decorrere dal 25 maggio 2018.

Il rapporto giuridico tra l‟utente (Pubblica Amministrazione) e il cloud

provider, alla luce delle definizioni presenti nel D. Lgs. 196/2003, vede cer-

tamente il primo quale titolare del trattamento, mentre il secondo dovrebbe rivestire il ruolo di responsabile esterno del trattamento. Il condizionale è d‟obbligo (non dal punto di vista normativo) perché una tale configurazione non risponde pienamente alle caratteristiche effettive del rapporto sussistente tra i due soggetti. L‟ente fruitore, infatti, titolare del trattamento secondo il Codice Privacy, dovrebbe costantemente accertare l‟affidabilità e la compe- tenza del responsabile esterno, oltre che adempiere agli obblighi organizza- tivi e gestionali di implementazione e controllo delle misure di sicurezza che, in realtà, sono di competenza del provider.

141 Posto che le categorie previste dall‟art. 4 del D. Lgs. 196/2003 non sono sufficienti ad inquadrare un tale rapporto, è necessario riferirsi direttamente alle figure, elaborate nella direttiva madre, del data controller (colui che de- termina le finalità e gli strumenti del trattamento) e del data processor (cor- rispondente all‟incaricato40_{, al quale compete l‟elaborazione dei dati perso-} nali per conto del data controller).

Per una corretta classificazione dei ruoli è opportuno fare riferimento al rapporto sostanziale tra le parti che prevale sempre sulla qualificazione giu- ridica convenzionalmente stabilita dalle stesse nel contratto di fornitura dei servizi di cloud computing. La gran parte dei contratti stipulati per la fornitu- ra di servizi di cloud standardizzati41 contengono clausole generali accettate, per adesione, dal cliente; di fatto, quindi, il cloud provider si colloca in una posizione dominante rispetto al fruitore del servizio, il quale non è nelle condizioni di poter negoziare le clausole a lui meno favorevoli.

Come già sottolineato, nei contratti di cloud ogni decisione relativa alle misure di sicurezza da adottare e alla configurazione tecnologica dei sistemi è di esclusiva competenza del provider. L‟Amministrazione sanitaria, ben- ché sia titolare del trattamento, può verificare l‟esatta esecuzione delle pre- stazioni in conformità con quanto previsto dal contratto, ma non può eserci- tare alcun potere di controllo sugli aspetti suddetti.

La sostanza del rapporto, quindi, vede entrambi i soggetti conservare una piena libertà decisionale in merito alle modalità del trattamento; ragion per cui sarebbe più coerente inquadrare sia il cliente che il fornitore cloud come titolari del trattamento e in tale direzione sembra essersi mosso il legi- slatore europeo con il neonato Regolamento (UE) 2016/679 generale sulla protezione dei dati, che introduce la figura del contitolare42 ogniqualvolta

40 _{Il D.lgs. 196/03 considera incaricato colui che materialmente opera sui dati personali,}

seguendo le istruzioni del titolare o del responsabile. Sul tema si veda S. SICA, sub art. 1-6, in

La nuova disciplina della privacy, Commento al D.lgs. 30 giugno 2003, n. 196, a cura di S.

SICA E P. STANZIONE, Bologna 2005, p.14.

41 _{Servizi progettati sul modello del cliente tipo, offerti ad una generica e indeterminata}

categoria di destinatari.

42 _{L‟Art. 26 del Regolamento generale sulla protezione dei dati, dispone quanto segue:}

“Contitolari del trattamento 1. Allorché due o più titolari del trattamento determinano

congiuntamente le finalità e i mezzi del trattamento, essi sono contitolari del trattamento. Essi determinano in modo trasparente, mediante un accordo interno, le rispettive responsabilità in merito all'osservanza degli obblighi derivanti dal presente regolamento, con particolare

142 “due o più titolari del trattamento determinano congiuntamente le finalità e

i mezzi del trattamento”.

La novità citata, però, potrebbe non essere la soluzione al problema del rapporto tra cloud provider e Amministrazione sanitaria (o altra Ammini- strazione fruitrice, sia essa pubblica o privata) in quanto il fornitore del ser- vizio partecipa (e non deve partecipare) alla definizione delle finalità di trat- tamento. Ammettere ciò, significherebbe licenziare un‟ingerenza che non appartiene (e non deve appartenere) ai rapporti quivi contemplati, in partico- lare se il settore d‟interesse riguarda Amministrazioni Pubbliche cui compe- te il trattamento di dati sensibili.

In attesa di conoscere gli sviluppi interpretativi sulla portata applicativa dell‟art. 26 del Regolamento Privacy, si ritiene che non vi sarebbe stato al- cun dubbio sull‟applicabilità di tale disposizione al rapporto tra cloud provi-

der e Amministrazione sanitaria se il ruolo del contitolare fosse stato circo-

scritto alla determinazione congiunta dei mezzi del trattamento, e non anche delle finalità. Il ruolo più appropriato per il cloud provider rimane quello della “titolarità supplementare”43

, già contemplata per i fornitori di servizi di telecomunicazioni, ove il fornitore del servizio ha una titolarità limitata al “funzionamento del servizio”. Ma questa non è stata la scelta del legislatore europeo.

Peraltro, l‟introduzione dei “contitolari del trattamento”, sostanzialmen- te, non rappresenta una novità ma esclusivamente una esplicitazione di quanto già contenuto (tanto nella vecchia, che nella nuova disciplina) nella definizione di “titolare del trattamento”44

. La reale portata innovativa

riguardo all'esercizio dei diritti dell'interessato, e le rispettive funzioni di comunicazione delle informazioni di cui agli articoli 13 e 14, a meno che e nella misura in cui le rispettive responsabilità siano determinate dal diritto dell'Unione o dello Stato membro cui i titolari del trattamento sono soggetti. Tale accordo può designare un punto di contatto per gli interessati. 2. L'accordo di cui al paragrafo 1 riflette adeguatamente i rispettivi ruoli e i rapporti dei contitolari con gli interessati. Il contenuto essenziale dell'accordo è messo a disposizione dell'interessato. 3. Indipendentemente dalle disposizioni dell'accordo di cui al paragrafo 1, l'interessato può esercitare i propri diritti ai sensi del presente regolamento nei confronti di e contro ciascun titolare del trattamento”.

43 _{Cfr. Direttiva 95/46/CE, considerando n. 47.} 44

L‟art. 4, n. 7) del Regolamento generale sulla protezione dei dati definisce la figura del "titolare del trattamento", specificando che il ruolo può essere svolto “singolarmente o insieme

143 dell‟art. 26 è costituita dalla previsione formale dell‟”accordo interno” per la definizione delle “rispettive responsabilità […] con particolare riguardo

all'esercizio dei diritti dell'interessato”.

É doveroso, ancora una volta, evidenziare che le difficoltà di inquadra- mento quivi rappresentate appartengono soltanto ai rapporti negoziali in cui il cloud provider ha una forza e autonomia tali che impediscono una sua ete- ro-determinazione nei confronti del fruitore del servizio (Pubblica Ammini- strazione sanitaria). In caso contrario, il binomio titolare/responsabile non comporta alcuna difficoltà di inquadramento dei protagonisti coinvolti.

Al di là del rapporto tra fruitore e fornitore del servizio, la contitolarità è presente nel momento in cui più Amministrazioni sanitarie svolgono un trat- tamento congiunto sui dati conservati in una medesima piattaforma. In tali casi (come avviene, ad esempio, in ambito FSE) è indubbio che “più titolari

del trattamento determinano congiuntamente le finalità e i mezzi del tratta- mento”45.

2.5 Contromisure per la sicurezza dei dati personali: i para-