La norma ISO 27018: lo standard della “nuvola”

Ancor prima dell‟introduzione delle recenti novità appena illustrate in materia di certificazione, nel luglio del 2014, l‟ente internazionale ISO ha pubblicato lo standard 27018 specificamente elaborato per i fornitori di ser- vizi di cloud computing. Si tratta di un set di regole costruito sugli standard ISO 2700151 e 2700252 per garantire il rispetto dei principi e delle norme privacy dettate dalla Direttiva 95/46/CE, da parte dei providers di public

cloud che decidano di certificarsi. La nuova norma fornisce una risposta

concreta, in chiave “data protection by design and by default”53

– alle prin- cipali questioni giuridiche, sia di natura legale che contrattuale, legate alla gestione dei dati personali in infrastrutture informatiche distribuite seguendo il modello del cloud pubblico.

L‟impiego di servizi di cloud, come illustrati nella parte terza del presen- te lavoro, è divenuto una strada obbligata per un grande numero non solo di imprese commerciali, ma anche di enti pubblici. A fronte di tale diffusione, da qualche anno le autorità garanti dei dati personali, riunite nel Gruppo ex

51 _{Il 27001 è uno standard rivolto alle organizzazioni che intendano adottare una policy di}

gestione dei rischi dei propri sistemi IT (Information Security Management System, ISMS). Esso stabilisce una serie di requisiti generici che i possessori della certificazione sono chiamati ad avere affinché le informazioni contenute nei propri sistemi IT possano essere ritenute al sicuro, ma non distingue gli enti certificati né per natura, né per dimensione.

52 _{Il 27002 è uno standard dedicato all‟analisi dei rischi specifici dei sistemi IT. Il 27018 parte}

da esso e ad esso rinvia, per quanto non specificamente disposto.

53 _{Il concetto di “data protection by design and by default” (già noto come “privacy by design}

and by default”, successivamente introdotto nel Regolamento (UE) 2016/679, sarà approfondito

149 Art. 29, hanno messo in guardia i fruitori del cloud computing contro i rischi di scarsa trasparenza sulle modalità e sui soggetti che processano i dati, non- ché di perdita di controllo sui dati personali medesimi. In tale direzione, nel più volte citato Parere 5/2012 sul cloud computing si legge “affidando dati

personali a sistemi gestiti da un fornitore di servizi cloud, i clienti rischiano di perdere il controllo esclusivo dei dati e di non poter prendere le misure tecniche e organizzative necessarie per garantire la disponibilità, l’integrità, la riservatezza, la trasparenza, l’isolamento , la portabilità dei dati e la possibilità di intervento sugli stessi”.

Nel medesimo parere, si afferma che “la verifica o la certificazione in-

dipendente effettuata da un terzo affidabile può essere uno strumento credi- bile per i fornitori cloud per dimostrare la conformità con gli obblighi posti a loro carico».

Le misure introdotte dallo standard ISO 27018 si inseriscono in uno scenario di rischio, stabilendo procedure e controlli attraverso cui i providers di servizi cloud garantiscono il rispetto della direttiva europea sul trattamen- to dei dati personali e, nel contempo, rassicurando i potenziali acquirenti cir- ca la possibilità di controllare, sempre e in piena trasparenza, il processo su- bito dai dati personali entro i sistemi cloud del provider. La certificazione ISO 27108 va dunque qualificata come una best practice sintomatica della credibilità e reputazione dei fornitori cloud che se ne doteranno, in quanto sembra poter dare piena prova della conformità del provider certificato con i principi privacy sanciti dalla direttiva: consente di verificare la posizione del venditore rispetto agli obblighi privacy, sia esaminando i documenti forniti da un certificatore terzo a seguito di audit 27001, oppure rivedendo la lettera periodica con cui l‟ISO garantisce che gli enti certificati hanno implementa- to tutti i controlli previsti dallo standard 27018.

Venendo ora al dettaglio, le misure contenute nell‟ISO 27018 garanti- scono che:

 l‟interessato possa esercitare i propri diritti nei confronti del Tito- lare, nonostante i suoi dati siano processati da un responsabile e- sterno e in una nuvola informatica (è infatti un obbligo preciso del fornitore, ai sensi dello standard, offrire al Titolare del tratta- mento, suo cliente, dei tools appropriati che assicurino l‟esercizio dei diritti da parte dei soggetti cui i dati si riferiscono);

150

 i mezzi del trattamento siano esattamente rispondenti a quelli in- dicati nella policy resa nota all‟acquirente dei servizi fin dall‟inizio, con esplicita previsione che, nel caso un mutamento di mezzi si rendesse necessario per ragioni tecniche, il cliente ne sia prontamente informato e abbia la facoltà di opporsi oppure uscire dal contratto;

 i dati personali in cloud non siano trattati per ragioni di marke-

ting54 diretto o pubblicitarie, a meno che non vi sia l‟esplicito consenso dell‟interessato, ma in ogni caso ciò non può mai costi- tuire una precondizione posta dal fornitore al cliente per la forni- tura del servizio.

 i clienti conoscano fin da subito i nomi degli eventuali sub-

processors, e il posto in cui essi sono stabiliti, con diritto di op-

porsi ad eventuali modifiche nella catena dei subfornitori, ovvero dei paesi di loro stabilimento (può anche essere prevista l‟opzione di risolvere il contratto a fronte di tali mutamenti);

 i clienti ricevano notizia tempestiva delle violazioni di dati per- sonali (data breaches)55, al fine di poter a loro volta darne notizia

54

Vieta al fornitore di servizi cloud non soltanto di trattare i dati ad esso affidati per ragioni di

marketing non previamente accettate dagli interessati – condotta che di suo sarebbe comunque

illegale nel contesto giuridico europeo – bensì esige che il fornitore non condizioni l‟erogazione dei servizi cloud alla possibilità di marketing diretto nei confronti degli interessati, i cui dati siano trattati dal cliente-titolare per proprie legittime finalità. Questa regola incorpora i principi di finalità e proporzionalità del trattamento sanciti dal diritto europeo fin dal suo livello più alto, quello della Carta dei Diritti Fondamentali, perché da un lato richiede che i dati personali non siano trattati per fini diversi da quelli per i quali siano stati raccolti, e dall‟altro frappone un ostacolo al trattamento non necessario di dati personali da parte del provider di servizi cloud.

55 _{Si tratta dell‟obbligo per i fornitori di servizi cloud di notificare i cosiddetti data breaches ai}

propri clienti. La norma ha anticipato il contenuto degli articoli 33 e 34 del Regolamento

Privacy, estendendo per tutti i titolari del trattamento l‟obbligo di avvertire le autorità di

controllo e gli interessati in caso di violazioni dei dati personali da essi trattati, che la pregressa normativa europea (Direttiva 2002/58/CE sulla privacy nelle comunicazioni elettroniche) imponeva soltanto ai fornitori di servizi di comunicazione elettronica accessibili al pubblico. Nello specifico, l‟art. 33 del Regolamento dispone che in caso di violazione dei dati personali, il titolare del trattamento notifica la violazione all'autorità di controllo competente ai sensi dell'articolo 51 senza ingiustificato ritardo, ove possibile entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti

151 alle autorità di controllo (e agli interessati) nei tempi previsti dal- la legge;

 siano disciplinate le modalità di restituzione dei dati personali al cliente una volta terminato il contratto (cd. transfer back).

 i servizi cloud siano soggetti a verifiche periodiche di conformi- tà agli standard di sicurezza, di cui sia fornita evidenza ai clienti; un rischio per i diritti e le libertà delle persone fisiche. Qualora non sia effettuata entro 72 ore, la notifica all'autorità di controllo è corredata di una giustificazione motivata.

Tale notifica deve come minimo:

a) descrivere la natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati in questione;

b) indicare il nome e le coordinate di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni;

c) descrivere le probabili conseguenze della violazione dei dati personali;

e) descrivere le misure adottate o di cui si propone l'adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi.

Il titolare del trattamento documenta qualsiasi violazione dei dati personali,incluse le circostanze in cui si è verificata, le sue conseguenze e i provvedimenti adottati per porvi rimedio. La documentazione deve consentire all‟autorità di controllo di verificare il rispetto del presente articolo.

L‟art. 34, invece, prevede un‟altra importante incombenza collegata alla precedente e cioè la comunicazione di una violazione dei dati personali all‟interessato.

Difatti, quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento comunica la violazione all'interessato senza ingiustificato ritardo.

La predetta comunicazione descrive con un linguaggio semplice e chiaro la natura della violazione dei dati personali e contiene almeno le informazioni e le raccomandazioni di

cui all‟art. 33.

Non è richiesta la comunicazione all‟interessato di cui sopra se:

“a) il responsabile del trattamento ha utilizzato le misure tecniche ed organizzative adeguate di

protezione e tali misure erano state applicate ai dati personali oggetto della violazione, in particolare quelle destinate a rendere i dati incomprensibili a chiunque non sia autorizzato ad accedervi, quali la cifratura, oppure

b) il responsabile del trattamento ha successivamente adottato misure atte a scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati di cui al paragrafo 1, oppure

c) detta comunicazione richiederebbe sforzi sproporzionati. In una simile circostanza, si procede invece a una comunicazione pubblica o a una misura simile, tramite la quale gli interessati sono informati con analoga efficacia”.

152

 tutto il personale addetto al trattamento di dati personali sia vin- colato da patti di riservatezza (not disclosure agreements) e rice- va adeguata formazione.

Le norme appena illustrate allineano il trattamento di dati personali nella “nuvola” ai più alti standard e principi normativi in materia. Esse forniscono un rimedio alle problematiche contrattuali più diffuse in fatto di servizi

cloud, caratterizzati spesso da offerte e condizioni predisposte dai fornitori e

non negoziabili dai clienti, spesso incompatibili con le obbligazioni che il cliente di servizi cloud assume quale Titolare del trattamento per effetto del- la legge privacy applicabile. Aderendo all‟ISO 27018, i fornitori cloud se- gnalano ai (potenziali) clienti la propria disponibilità ad incorporare i valori della normativa europea di protezione dei dati personali, e ciò testimonia l‟assoluta utilità di questo standard anche rispetto alla strategia delineata dalla Commissione Europea nella Comunicazione “Unleashing the potential

of cloud computing in Europe”, nella quale l‟esecutivo comunitario si pone-

va l‟obiettivo di sviluppare uno standard europeo per la certificazione dell‟offerta di servizi cloud in Europa. ISO 27018 non è ovviamente il pro- dotto finale di quella strategia, ma ad essa fornirà un termine di comparazio- ne di grande qualità, per la robustezza e il valore delle sue norme.

Va comunque precisato che l‟adesione allo standard ISO 27018 da parte di un provider non si traduce, necessariamente, in una trasposizione delle sue clausole in sede contrattuale: essa rimane infatti affidata alla libertà delle parti. Tuttavia, per quanto una tale trasposizione non possa inferirsi automa- ticamente, ISO 27018 rappresenta per i clienti cloud un‟ottima “checklist” in fase acquisto dei servizi cloud, a cui fare riferimento per un raffronto puntu- ale con la normativa primaria privacy applicabile al provider e una valuta- zione circa la sua “ingaggiabilità”.