Segue La definizione di controller e processor tra la direttiva 95/46/CE e il futuro regolamento: la nuova figura del “joint

controller”

Come emerge da uno studio comparatistico sui contratti cloud preposto dalla Commissione Europea82, gli stati membri, nel recepire la direttiva in materia di protezione dei dati personali, hanno riproposto la bipartizione controller-processor per individuare i soggetti coinvolti nel trattamento dei dati personali, nel caso specifico un trattamento effettuato con l'ausilio di strumenti elettronici; ed è stato evidenziato come l’applicazione di questo binomio, in un contratto cloud, potrebbe non essere più soddisfacente per una serie di condizioni che andremo qui di seguito ad esaminare.83

La difficoltà che si riscontra nel qualificare giuridicamente le posizioni dei soggetti coinvolti nel trattamento si riflette significativamente nella definizione degli obblighi gravanti sulle parti del contratto e le loro responsabilità.

Merita ricordare che, in questo ambito, non rilevano le differenti tipologie contrattuali che possono essere impiegate per regolare l'affidamento dei dati in gestione al provider; le responsabilità in merito ai dati sono del tutto indipendenti dalla natura dei rapporti contrattuali che si instaurano fra utente e cloud provider poiché la

81 _{Per un’analisi sulla portata delle norme di cui agli artt. 31 e 15 del d.lgs.196/03 in}

merito alla differente ampiezza del dovere di diligenza imposto dalle norme cfr. A. Mantelero, Il costo della privacy tra valore della persona e ragione d’impresa, Giuffrè editore, Milano, 2007, ivi, pp.183 e ss..

82

La ricerca è stata svolta su richiesta della Commissione Europea: DLA Piper UK LLP, Comparative Study on cloud computing contracts - Final Report, 2015.

83

Art. 29 Data Protection Working Party, Opinion 1/2010 on the concepts of

“controller” and “processor”, 12 febbraio 2010, 25, nel parere ci si riferisce

56 normativa ha un carattere tipicamente “dato-centrico”, per cui conta solamente la relazione che ciascun soggetto instaura con i dati.84

Quindi “l’attribuzione di compiti di gestione delle informazioni ad un’altra impresa, non comporta necessariamente che dall’autonoma entità delle parti consegua altresì un’indipendenza sul piano del trattamento dati, potendo benissimo l’una assumere il ruolo di titolare del trattamento (controller) e l’altra quello di responsabile (processor), al primo correlato e subordinato.”85

Non si può non notare come, specialmente in un ambiente come il

cloud, la regolamentazione in materia di protezione dei dati personali,

risalente al 1995, risulti ad oggi, e in alcune delle sue parti, obsoleta, a causa dei continui cambiamenti tecnologici ed economici che hanno interessato e continuano ad interessare questa materia.

Dall’analisi dei più ricorrenti problemi applicativi della normativa sul trattamento dei dati personali, si rende evidente l’importanza di una corretta definizione dei ruoli e delle qualifiche giuridiche dei soggetti coinvolti, con il preciso obiettivo di un utilizzo il più possibile consapevole del cloud da parte dell’utente anche nella prospettiva della tutela dei dati, che impone un’attenta valutazione e dei precisi obblighi.

Per questo motivo la Commissione europea, nel gennaio 2012, ha presentato ufficialmente il cosiddetto "pacchetto protezione dati" con lo scopo di garantire un quadro coerente ed un sistema complessivamente armonizzato in materia di protezione dei dati personali nell'UE.

Esso si compone di due diversi elementi:

a) una proposta di Regolamento concernente "la tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati", volta a disciplinare i trattamenti di dati

84

Cfr. A. Mantelero, “Processi di Outsourcing informatico e cloud computing: la

gestione dei dati personali ed aziendali”, cit. p. 679.

85

A. Mantelero, Il costo della privacy tra valore della persona e ragione d’impresa, cit..

57 personali sia nel settore privato sia nel settore pubblico, e destinata a sostituire la Direttiva 95/46;86

b) una proposta di Direttiva indirizzata alla regolamentazione dei settori di prevenzione, contrasto e repressione dei crimini, nonché all'esecuzione delle sanzioni penali, che sostituirà (ed integrerà) la decisione quadro 977/2008/CE sulla protezione dei dati personali scambiati dalle autorità di polizia e giustizia (che l'Italia non ha, peraltro, ancora attuato).

Il 18 dicembre 2015 è stato raggiunto un accordo sul testo del Regolamento e della Direttiva che sarà formalizzato nella prima parte del 2016 dal Consiglio e dal Parlamento UE e culminerà con la pubblicazione nella Gazzetta Ufficiale UE.

Il pacchetto protezione dati sarà in quindi vigore dalla primavera del 2018.

Ai fini che qui interessano è importante soffermarci su alcune delle più importanti novità che saranno introdotte prossimamente con l’adozione del Regolamento.

Se i principi di fondo, che caratterizzano il modello europeo di tutela dei dati personali, sono rimasti immutati, sono però stati introdotti importanti istituti che, specialmente nella prospettiva dell’impresa, potrebbero rivelarsi un’opportunità in termini competitivi.

L'Unione deve assicurare l'applicazione sistematica del diritto fondamentale alla protezione dei dati, come sancito dalla Carta dei diritti fondamentali dell'Unione europea87, e questo implica un dovere di bilanciamento fra la tutela degli interessi della persona e l’esigenza di non gravare in maniera sproporzionata sulle attività d’impresa, in termini di oneri amministrativi e costi.

86

Risoluzione legislativa del Parlamento europeo del 12 marzo 2014 sulla proposta di regolamento del Parlamento europeo e del Consiglio concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati (regolamento generale sulla protezione dei dati).

58 Tra le direttrici lungo cui si muoverà la futura regolamentazione, ne possiamo individuare tre che andranno presumibilmente a incidere sulla materia trattata in questa sede:

a) la preventiva analisi dei rischi per valutare l’adozione di una soluzione tecnica a discapito di un’altra in base agli effetti che produrrà sulla tutela dei dati, il c.d. privacy impact assessment o PIA;

b) la creazione di processi e prodotti già preordinati alla protezione dei dati;

c) l’accountability degli autori del trattamento.88

Inoltre merita una menzione particolare il rinnovato ruolo delle certificazioni, dei codici di condotta, oltre al riconoscimento di nuovi diritti riguardo la c.d. data breach notification, il diritto alla cancellazione dei dati e alla portabilità del dato.