Il CISPE (Cloud Infrastructure Services Providers in Europe) ha presentato, nel mese di settembre 2016, il primo codice di condotta per garantire la protezione dei dati personali dei clienti di provider di infrastrutture cloud. Il CISPE ha voluto regolamentare per la prima volta l’intero settore dei servizi cloud per i clienti e i loro utenti, in vista dell’entrata in vigore del nuovo Regolamento UE 2016/679 per la protezione dei dati personali, basandosi su
standard di sicurezza riconosciuti a livello internazionale.
Il codice in commento, partendo dal (necessario) presupposto secondo cui v’è una vasta gamma di fornitori di servizi cloud che fornisce una varietà di differenti modelli di cloud
computing, evidenzia subito che la disciplina in tema di protezione dei dati non si applica a
tutti i modelli di cloud nello stesso modo, ma dipenderà necessariamente dal tipo di servizi di cloud computing che viene offerto e dalla categoria dei dati che vengono trattati. Tali fornitori di diversi tipi di servizi di cloud computing hanno necessariamente ruoli e responsabilità diverse, in particolare in relazione alla protezione e alla sicurezza dei dati.
Pertanto, si chiarisce immediatamente che «[t]his Code of Conduct (Code) focusses on IaaS
providers. IaaS providers are referred to in this Code as Cloud Infrastructure Services Providers (CISPs).
Lo scopo che il codice persegue «is to guide customers in assessing whether cloud infrastructure
services are suitable for the processing of personal data that the customer wishes to perform. The very
determinare, è ammesso nel rispetto di misure ed accorgimenti a garanzia dell'interessato, ove prescritti. 2. Le misure e gli accorgimenti di cui al comma 1 sono prescritti dal Garante in applicazione dei principi sanciti dal presente codice, nell’ambito di una verifica preliminare all’inizio del trattamento, effettuata anche in relazione a determinate categorie di titolari o di trattamenti, anche a seguito di un interpello del titolare.». Con tale disposizione si prevedono accorgimenti nel caso in cui il trattamento dei dati diversi da quelli sensibili e giudiziari, c.d. «dati quasi-sensibili» implichi o determini specifici rischi per i diritti e le libertà fondamentali, nonché per la dignità dell’interessato. Come sottolineato da G. ALPA, La disciplina dei dati personali, in Atti del
Convegno ITA, Roma, 1998, c’è da chiedersi se i diritti e le libertà fondamentali siano soltanto quelli risultanti
dalla Costituzione ovvero si faccia riferimento anche ai trattati e alle Convenzioni (ad esempio la Convenzione europea sui diritti dell’uomo e i princípi generali del diritto comunitario). Il quesito, nel contesto di un’interpretazione sistematica e assiologica, deve trovare risposta affermativa nel senso che i diritti e le libertà fondamentali derivanti da tali fonti, contribuiscono alla formazione e al completamento di un quadro di princípi di rango costituzionale. L’art. 17 rappresenta un tentativo di adeguamento all’art. 20 della direttiva 95/46/CEE, poiché essa prevedrebbe che gli Stati, dapprima individuino i casi in cui adottare tali specifiche garanzie, eventualmente anche in sede di esame preliminare di una nuova normativa (e si suppone quindi lo facciano per legge) e, in seguito, che l’Autorità di controllo (ovvero il Garante) ne sorvegli l’attuazione, secondo le misure indicate, prima che il trattamento venga posto in essere. Per approfondimenti sul punto, si veda AAVV., Codice in materia di protezione dei dati personali, Commento articolo per articolo al testo unico sulla privacy
159
different nature of cloud infrastructure services compared to other types of cloud computing services – means that a specific Code tailored for IaaS is required.»326.
Il codice è costituito da una serie di requisiti per i processors di dati CISPs con una particolare attenzione per la sicurezza. Questi sono riportati nella sezione 5 (Requisiti protezione dei dati) e la Sezione 6 (requisiti di trasparenza). Questi requisiti sono indicati collettivamente nel Codice come i requisiti del codice.
Qualsiasi CISP può dichiarare la sua adesione ai requisiti del codice per qualsiasi servizio
cloud di infrastrutture se: a) il servizio è conforme ai requisiti del codice; b) nei confronti di
tale servizio, il CISP si conforma a tutte le leggi sulla protezione dei dati dell’UE applicabili e vincolanti su di esso, tra cui la direttiva sulla protezione dei dati (e le eventuali trasposizioni nazionali di esse applicabili) e al regolamento generale sulla protezione dei dati (GDPR) quando sarà applicabile; c) il servizio offre al cliente la possibilità di scegliere di utilizzare il servizio per memorizzare ed elaborare i dati interamente all’interno del SEE.
Qualsiasi CISP dichiarando la sua adesione al Codice deve essere in grado di soddisfare tutti i requisiti del codice. Per quanto riguarda i dati trattati per conto di un cliente che utilizza il servizio di infrastruttura cloud, il CISP: a) non ha l’accesso (o non può utilizzare) a tali dati ad eccezione di quanto necessario per fornire i servizi al cliente; b) non può trattare tali dati per propri scopi, tra cui, in particolare, ai fini di data mining, profilazione o di marketing diretto. Il CISP può agire come un responsabile del trattamento nei confronti di alcuni dati personali forniti dal cliente al CISP. Questo include, per esempio, informazioni sul conto (come ad esempio nomi utente, indirizzi email e dati di fatturazione), che il cliente fornisce al CISP in connessione con la creazione o gestione del conto del cliente utilizzato per accedere al servizio del CISP. Il presente Codice non si applica quando il CISP elabora tali dati come un responsabile del trattamento.
La sezione 5 - sulla premessa che la normativa UE sulla protezione dei dati fa una distinzione tra il «titolare» (controller), ossia chi determina le finalità e gli strumenti del trattamento di dati personali e il «responsabile» (processor), ossia chi elabora dati personali per conto del controller - evidenzia come il codice intervenga per definire il ruolo del cliente, come controller o come processor, prevedendo che i servizi di infrastruttura cloud vengono
326 Lo scopo del Codice è quello di guidare i clienti a valutare se i servizi di infrastruttura di cloud sono adatti
per il trattamento dei dati personali che il cliente desidera eseguire. La diversa natura dei servizi infrastruttura
cloud rispetto ad altri tipi di servizi di cloud computing significa che è richiesto un codice specifico su misura per i
160
utilizzati come parte di una varietà di diverse operazioni di business e ci possono essere molteplici parti coinvolte in una catena di approvvigionamento. Pertanto, come guida generale, si chiarisce che:
• il cliente sarà il controller (titolare) in relazione ai dati personali se è egli stesso a determinare le finalità per le quali i dati saranno elaborati e ha scelto come saranno elaborati;
• il cliente sarà, invece, un mero processor (responsabile) in relazione ai dati personali se si limiterà ad una attività di mero trattamento (merely processing) dei dati personali sul servizio del CISP per conto e secondo i desideri di una terza parte (che può essere il titolare o altri terzi in una catena di fornitura).
Qualora il cliente scelga di archiviare o comunque trattare i dati personali utilizzando i servizi di un CISP, questo sarà il responsabile.
Lo scopo della sezione 5 in commento è quello di chiarire il ruolo del CISP come responsabile del trattamento in base al diritto sulla protezione dei dati dell’UE nel contesto dei servizi di infrastruttura cloud. Il Codice persegue questo obiettivo attraverso: a) l’individuazione dei requisiti dei responsabili (processors) del trattamento dei dati in base alla normativa europea sulla protezione (DP requirement); e b) applicando il requisito DP nel contesto servizi di infrastruttura di cloud, assegnando la responsabilità per questi requisiti tra il CISP e il cliente e definire i requisiti specifici per il CISP ai sensi del Codice (requirement for CISP)327.
Il titolare deve assicurare che i dati personali vengono trattati in modo lecito. Il trattamento è lecito solo se si applicano determinate condizioni. Salvi i casi in cui sia richiesto di rispettare altre disposizioni di diritto, il responsabile può trattare dati personali solo su istruzioni documentate del titolare [Art 28, par. 3, lett. a), GDPR].
Il CISP tratterà i dati personali in conformità alle istruzioni del cliente. Il contratto di servizio e l’utilizzo da parte del cliente delle caratteristiche e funzionalità messe a
327 Oltre al Codice, CISPs e i clienti sono incoraggiati a prendere in considerazione tutti i requisiti di legge
sulla protezione dei dati dell’UE rispettivamente nella loro fornitura e nell'uso dei servizi di infrastruttura di cloud, rispettivamente. Un obiettivo chiave del codice è che affronterà i requisiti fondamentali per CISPs di diritto allora vigente sulla protezione dei dati dell'UE. In particolare, questo include la GDPR quando si sarà in vigore e requisiti del codice sono definiti con riferimento al GDPR. Il Codice sarà rivisto e aggiornato, se necessario, in considerazione cambiamenti nella legge sulla protezione dei dati dell'UE, in conformità con la Sezione 7 (Governance) (comprese tutte le specifiche vincolanti che possa essere fornite dalle autorità di controllo competenti in materia di GDPR).
161
disposizione dal CISP come parte del servizio è dato dalle istruzioni complete e finali del cliente al CISP in relazione al trattamento dei dati personali.
I CISPs non hanno alcun controllo sui contenuti che il cliente sceglie di caricare sul servizio (tra cui se essi includano, o meno, dati personali). I CISPs non hanno alcun ruolo nel decidere se il cliente utilizza il servizio di infrastruttura cloud per il trattamento dei dati personali, a quale scopo e sul se o sul come essi vengano protetti. Pertanto, i CISPs non sono in grado di verificare se ci può essere una base legale per il trattamento. Come tale, la loro responsabilità è limitata: a) alla conformità con le istruzioni del cliente, come previsto o riflessa nel contratto di servizio; e b) a fornire informazioni sul servizio ai sensi della Sezione 6 (obblighi di trasparenza) del Codice.
Il trattamento da parte di un processor è disciplinato da un contratto scritto che è vincolante tra processor e controller e che definisce l’oggetto e la durata del trattamento, la natura e le finalità del trattamento, il tipo di dati personali e categorie di dati soggetti e gli obblighi e i diritti del controller. Il contratto può essere in forma elettronica (art. 28, par. 3 GDPR). Il CISP definisce le caratteristiche del servizio e come viene consegnato e i diritti e gli obblighi del cliente nel Contratto di Servizio di cui alle sezioni (a) e (b)328.
I CISPs forniscono infrastrutture. I clienti hanno la possibilità di scegliere come utilizzare questa infrastruttura e possono anche scegliere di cambiare il modo e per quale scopo essi utilizzano questa infrastruttura quando vogliono.
Previsioni specifiche sono dettate anche in tema di sicurezza del trattamento dei dati personali ove, al paragrafo 5.3 della sezione 5ª in analisi, si premette innanzitutto che sia
controller che processor devono, tenendo conto dello stato dell’arte, i costi di attuazione e la
natura, la portata, il contesto e le finalità del trattamento, nonché il rischio di varia probabilità e la gravità per i diritti e le libertà delle persone fisiche, implementare adeguate
328 a) Descrizione del trattamento. Per facilitare queste caratteristiche di servizi di infrastruttura cloud e per
evitare la necessità di modificare l’accordo di servizio o di entrare in un nuovo accordo di servizio ogni volta che il cliente o qualsiasi utente finale sceglie di cambiare il modo in cui utilizza il servizio, la descrizione del trattamento nell’accordo (contratto) deve essere redatta in un modo che può ospitare i cambiamenti che clienti che vogliono applicare. Per una maggiore flessibilità, contratti di assistenza possono riguardare la descrizione del trattamento utilizzando i servizi di infrastruttura cloud su base generica, ad esempio, “elaborazione, storage e distribuzione di contenuti sulla rete del CISP”; b)Forma del contratto. A condizione che sia per iscritto (anche in forma elettronica) e giuridicamente vincolante tra il CISP e il cliente, il contratto di servizio può assumere qualsiasi forma, tra cui: un unico contratto; una serie di documenti come un contratto di servizi di base con relativi allegati (accordi di elaborazione dati, SLA, i termini di servizio, le politiche di sicurezza, etc.); o termini e condizioni standard online.
162
misure tecniche e organizzative per garantire un livello di sicurezza adeguato al rischio (Art 32, par. 1, GDPR).
Si specifica, poi, che, per quanto concerne le misure di sicurezza, che il CISP dovrà porre in essere (Requirement for CISP), il codice prevede che questi implementerà e adotterà adeguate misure tecniche e organizzative per le strutture di data center del CISP, server, apparecchiature di rete e sistemi software host che si trovano sotto il controllo del CISP e che sono utilizzati per fornire il servizio del CISP (Rete CISP). Tali misure tecniche e organizzative devono essere progettate per aiutare i clienti a proteggere i dati personali contro il trattamento non autorizzato, la perdita accidentale o illecita, l’accesso o la divulgazione.
I servizi di infrastruttura cloud hanno agnostici contenuti. Essi offrono le stesse misure tecniche e organizzative e livello di sicurezza a tutti i clienti, indipendentemente dal fatto che riguardino il trattamento dei dati personali o meno, o la natura, la portata, il contesto e le finalità del trattamento che il cliente vuole che il servizio esegua.
Il codice chiaramente evidenzia che il CISP non è l’unico responsabile per la sicurezza nel contesto dell’uso di un cliente del servizio di infrastruttura cloud e, pertanto, specifica che ci sono alcuni aspetti chiave della sicurezza che sono a carico del cliente (e non sotto la responsabilità del CISP). Ad esempio, il cliente (e non il CISP) è responsabile per la sicurezza dei sistemi operativi ospitati, le applicazioni ospitate sul servizio, i dati in transito e a riposo, il servizio di accesso all’Area Clienti (le credenziali) e le autorizzazioni per il personale cliente che utilizza il servizio.
I clienti dovrebbero rivedere: a) le informazioni messe a disposizione da parte del CISP in materia di sicurezza dei dati per quanto riguarda i servizi329; b) la configurazione scelta dal cliente del servizio di infrastruttura cloud e l’utilizzo delle funzioni e i controlli disponibili in connessione con il servizio di infrastruttura cloud; e c) le misure di sicurezza che il cliente dovrà mettere in atto per gli aspetti della sicurezza sotto la sua responsabilità, e determinarsi, in modo indipendente, sul se, tutte insieme, queste misure forniscano un adeguato livello di sicurezza del trattamento che il servizio va ad eseguire. Questa determinazione dovrebbe essere basata sulla natura, la portata, il contesto e le finalità del trattamento previsto del cliente.
163
Poiché è il cliente che decide cosa trattare (cioè quali dati e per quali scopi), solo il cliente può determinare il livello di sicurezza «appropriato» per memorizzare i dati personali e dei processi il servizio che utilizza. Il CISP non è in grado di fare questa valutazione perché il CISP non controlla, non limita o comunque non controlla quello che è il trattamento da eseguire dal cliente che utilizza il servizio.
Il CISP, da parte sua, manterrà un programma di sicurezza delle informazioni con l’obiettivo di: a) identificare i rischi ragionevolmente prevedibili e interni alla sicurezza della rete CISP; e b) ridurre al minimo i rischi di sicurezza, anche attraverso valutazioni del rischio e test regolari. Il CISP designerà uno o piú personale CISP per coordinare e rendere conto per il programma di sicurezza delle informazioni.
Il CISP effettuerà verifiche periodiche della sicurezza della rete CISP e sull’adeguatezza del programma di sicurezza delle informazioni del CISP. Questi può scegliere di rivedere il suo programma di sicurezza delle informazioni nei confronti di uno o piú standard di sicurezza del settore; valuterà costantemente la sicurezza della rete CISP per determinare se sono necessarie ulteriori misure di sicurezza o diversi per rispondere ai nuovi rischi per la sicurezza oi risultati generati dalle proprie revisioni periodiche del CISP; può modificare gli
standard di sicurezza del CISP di tanto in tanto, ma continuerà per tutta la durata del
Contratto di servizi a fornire almeno lo stesso livello di sicurezza come descritto negli
standard di sicurezza del CISP alla data di efficacia del Contratto di servizi.
Previsioni specifiche sono dettate anche in tema di trasferimento dei dati personali verso paesi terzi (par. 5.4). Innanzitutto, si richiama l’art. 44 del GDPR, per il quale sia il controller che il processor devono garantire che qualsiasi trasferimento di dati personali oggetto di trattamento a un paese terzo deve avvenire solo se determinate condizioni ai sensi del diritto sulla protezione dei dati dell’UE siano rispettate.
Si individuano cosí i requirement for CISP e segnatamente: a) location. Il servizio di infrastruttura cloud fornirà al cliente la possibilità di scegliere di utilizzare il servizio per memorizzare ed elaborare i dati interamente all’interno del SEE; b) information. Il CISP fornirà le informazioni ai clienti sulla regione e il paese in cui i dati vengono memorizzati ed elaborati da o per conto del CISP, compreso se il CISP subappalta parte del trattamento
164
a terzi330; c) level of protection. Il CISP implementerà o altrimenti renderà disponibile ai clienti un livello di conformità riconosciuta ai sensi del diritto sulla protezione dei dati dell’UE per il trasferimento legittimo dei dati personali al paese in questione (tra cui, ad esempio, la norma UE contrattuali clausole, norme vincolanti d’impresa o UE -US Privacy Shield per i trasferimenti di dati personali verso gli Stati Uniti d’America), se: i) il cliente trasferisce i dati dall’interno del SEE da memorizzare utilizzando il servizio del CISP in qualsiasi paese al di fuori del SEE che non è riconosciuto dalla Commissione europea in grado di fornire un livello di protezione adeguato dei dati personali; o ii) il CISP è autorizzato ad accedere ai dati memorizzati utilizzando il servizio del CISP all'interno del SEE da questo paese di cui al punto (i) di cui sopra.
In attuazione dell’art. 28, par. 3, lett. e) GDPR - per il quale, tenuto conto della natura del trattamento, il processor deve assistere il controller con adeguate misure tecniche e organizzative, nella misura in cui ciò sia possibile, per l’adempimento dell’obbligo del
controller di rispondere alle richieste di esercizio dei diritti della persona interessata - il CISP
(v. paragrafo 5.7., intitolato «Data Subject requests») fornirà al cliente la possibilità di rettificare, cancellare, limitare o recuperare i dati dei clienti. Il cliente può utilizzare questa capacità per aiutare cliente nell’adempimento dei suoi obblighi per rispondere alle richieste di esercizio dei diritti della persona interessata. Il CISP può fornire al cliente la possibilità di rettificare, cancellare, limitare o recuperare i dati del cliente: a) come parte del servizio; o b) permettendo ai clienti di progettare e implementare le proprie soluzioni utilizzando il servizio.
Oltre a fornire al cliente la possibilità di rettificare, cancellare, limitare o recuperare i dati dei clienti, il codice di condotta in disamina specifica in maniera molto chiara che il CISP non è tenuto a fornire ulteriore assistenza al cliente con richieste di dati dei soggetti. Questo perché è il cliente (e non il CISP) il responsabile della gestione dati trattati
330 Per motivi di sicurezza, solo una posizione generale (ad esempio un’area di città o l’area di una regione)
deve essere fornito. Questa descrizione generale deve, almeno, permettere al cliente di identificare quale Stato membro dell’Unione europea ha giurisdizione sull’elaborazione effettuata dal cliente che sta utilizzando il servizio. Se necessario per assolvere obblighi di un’autorità di vigilanza competente secondo la legge vigente in materia di utilizzo del cliente del servizio e purché le informazioni sono protette da adeguati obblighi di riservatezza vincolanti per l’autorità, il CISP comunica alla competente autorità di vigilanza l’indirizzo esatto delle strutture competenti. Per i servizi che possono essere eseguiti indifferentemente all’interno di diversi luoghi della Rete CISP, CISPs renderà le informazioni facilmente accessibili al cliente e consentirà ai clienti di selezionare la posizione/i all’interno della rete CISP in cui verranno trattati i loro dati.
165
utilizzando il servizio. Pertanto, il CISP non sa ciò (rectius, i dati) che i clienti stanno caricando sul servizio e, in particolare, chi sono le persone interessate di tali dati.
Precise regole di condotta sono dettate per consentire l’attuazione degli obblighi di riservatezza in capo al processor ex art. 28, par. 3, lett. b (v. paragrafo 5.8) e al fine di garantire il rispetto dell’art. 48, per il quale i responsabili del trattamento (ma anche i titolari) possono dare esecuzione ad una sentenza o decisione amministrativa di un paese terzo che necessita di dati personali da trasferire o divulgare soltanto in base a un accordo