Gdpr e cloud: le sfide per la compliance delle aziende

25/07/2018



 
Le nuove norme privacy, con il Gdpr, pongono sfide complesse per una tecnologia già molto affermata, qual è il cloud computing. Sfide di compliance e di attuazione che ormai non è più possibile ignorare. Le aziende infatti sono rese responsabili, dal Gdpr, dei dati affidati alla cloud, ma – per le modalità standard con cui sono offerti questi servizi – non hanno gli strumenti contrattuali per verificare a tutti gli effetti l’adeguatezza del gestore cloud alle norme; né per fare la necessaria Dpia (valutazione d’impatto) per i rischi di protezione dati.
Ne va non solo della compliance delle aziende, ma anche del futuro per l’economia europea, basata sul controllo dei dati.
La premessa da comprendere è che dai primi anni duemila il mondo digitale è stato attraversato da alcune innovazioni tecnologiche essenziali per capire lo sviluppo che esso ha avuto negli ultimi due decenni.
Queste innovazioni, alcune in modo conclamato, altre in modo meno chiaro ai non esperti, sono alla base anche della differenza profondissima che esiste tra il sistema regolatorio della Direttiva 45/96 e il GDPR.
Indice degli argomenti

GDPR, innovazioni tecnologiche e nuovi diritti

Non si possono comprendere, infatti, alcuni dei “nuovi diritti” contenuti nel GDPR senza avere presenti le innovazioni tecnologiche che hanno caratterizzato lo sviluppo della società e dell’economia digitale. Ancor meno si possono comprendere molti dei problemi interpretativi e attuativi che la nuova normativa pone e sempre più porrà man mano che lo sviluppo della società digitale procederà nella sue evoluzione.
Quello che merita sottolineare, in particolare, è che le nuove norme comportano problemi complessi relativamente alla loro attuazione non solo riguardo al futuro della Intelligenza Artificiale e della IoT ma anche rispetto a tecnologie già da molti anni mature, i cui punti critici sono da tempo ben noti e che oggi, nel quadro del nuovo sistema regolatorio, non possono più continuare ad essere ignorati.

Cos’è il cloud computing

Tra queste tecnologie un posto specifico, e di prima fila, spetta al Cloud computing, espressione “poetica” (la nuvola informatica) che si riferisce in realtà, come ha precisato il Working Party 29 nella sua Opinion 05/2012 del 1 luglio 2012, WP n.196, a un “set of technologies and service models that focus in the Internet-based use and delivery of IT applications, processing capability, storage and memory space”.
In sostanza il Cloud è un sistema di erogazione di risorse informatiche, tra le quali l’archiviazione, l’elaborazione, la trasmissione di dati. Esso è caratterizzato dalla disponibilità, on demand, di un insieme di risorse preesistenti alla loro messa a sistema e configurabili per adeguarle alle prestazioni richieste, secondo i diversi modelli di servizi in cui il Cloud computing si articola. Caratteristica essenziale del Cloud è che l’accesso ai suoi servizi e le prestazioni fornite possono essere utilizzate attraverso Internet. Questo sistema, nella sua versione più diffusa e seguendo la impostazione descrittiva adottata da Peter Mell e Timoty Grance in The Nist Definition of Cloud Computing del settembre 2011, ha cinque caratteristiche essenziali, tre tipologie di servizi e quattro modelli di organizzazione.

Le  cinque caratteristiche essenziali del cloud

Le cinque principali caratteristiche, qui descritte in modo molto sintetico e approssimativo, sono:
  • assicurare l’utilizzabilità on demand da parte degli utenti. Ciascun customer può in modo unilaterale, senza necessità di intervento umano, accedere ai servizi offerti dal sistema, fra i quali principalmente quelli di network, di server, di archiviazione e di applicazioni specifiche di volta in volta concordate;
  • consentire una larga gamma di accessi al sistema di network, che permette ai consumer di utilizzare un sistema eterogeno di piattaforme;
  • assicurare la condivisione delle risorse utilizzabili, messe a disposizione di un numero molto elevato di consumer, utilizzando server che possono essere dislocati in parti anche lontanissime del mondo. Questo comporta che la localizzazione dei dati archiviati sul Cloud e delle applicazioni utilizzate non è generalmente conosciuta dai consumer, mentre la stessa localizzazione dei server può al massimo essere assicurata a un livello molto generale, come lo Stato o il Paese che li ospitano o, al massimo, con riguardo alla localizzazione del data center che garantisce la fornitura dei servizi on demand.
  • garantire rapidità ed elasticità nell’utilizzazione degli accessi e dei servizi, consentendo sia la possibilità di una utilizzazione illimitata che quella di un uso adatto alle esigenze del cliente, anche dal punto di vista della quantità di risorse impegnate e del tempo di volta in volta necessario.
  • ottimizzare i servizi richiesti assicurando che essi si svolgano al livello ottimale rispetto alle richieste del consumer.

I tre modelli di servizi offerti dal cloud

  • Software as a Service (SaaS). Questo modello comporta che il consumer utilizzi le applicazioni (i servizi) così come offerti dal CSP (Computer Service Provider). In questo caso oggetto del contratto sono le applicazioni e le loro modalità di uso, fermo restando che le risorse tecnologiche e operative messe a disposizione sono strutturalmente condivise con tutti gli altri consumers che abbiano accesso alla stessa tipologia di servizi. Ovviamente l’ampiezza delle applicazioni condivise può variare a seconda dei contratti di servizio fatti col CSP da ciascun utente;
  • Platform as a Service (PaaS). Questo modello consente al consumer di elaborare programmi e applicazioni proprie ma col limite e il vincolo di dover usare il linguaggio macchina, le librerie e i tools messi a disposizione dal CSP. Ovviamente il CSP resta totalmente proprietario delle infrastrutture messe a disposizione e l’utente non può modificarle né adattarle alle sue specifiche esigenze ma solo controllare il funzionamento dei programmi e delle applicazioni da lui create e dell’ambiente nel quale operano;
  • Infrastructure as a Service (IaaS). Questa tipologia di servizi consente al consumer di utilizzare anche propri softwares che possono implicare anche specifici sistemi operativi e applicazioni. Ovviamente neanche in questo caso il consumer non può modificare la struttura del sistema, ma mantiene il controllo sul software usato e sulle applicazioni relative, acquisendo anche un limitato potere di controllo o di selezione delle componenti adottate.

I quatto modelli organizzativi

  • Il Cloud computing privato. Si tratta di un paradigma di strutture e di risorse organizzate da un soggetto privato che può servire una pluralità di utenti, operando come impresa singola o in accordo con terzi. A seconda dei casi e dei Paesi questo modello può richiedere o meno autorizzazioni specifiche;
  • Il Cloud di comunità. Questo modello prevede che la struttura Cloud sia a disposizione per un gruppo specifico di consumers che possono perseguire anche finalità analoghe o possono condividere in tutto o in parte le finalità perseguite e i trattamenti effettuati;
  • Il Cloud pubblico. Questo sistema è caratterizzato dal fatto che l’organizzatore è un soggetto pubblico e che esso può essere utilizzato o posseduto da imprese pubbliche, strutture accademiche o di ricerca, organizzazioni governative, o anche da un complesso di questi soggetti;
  • Hybrid Cloud. Questo modello si ha quando si connettono due o più sistemi Cloud diversi, operati da privati o soggetti pubblici, che mettono in comune tecnologie proprietarie standardizzate e utilizzano modalità che assicurano la rispettiva portabilità.

I vantaggi economici e sociali del cloud

E’ ovvio che questa tecnologia presenta vantaggi enormi sia sul piano economico che sociale.
Non a caso la Commissione Europea, già nel 2016 ha approvato una Comunicazione al Parlamento, al Consiglio, al Comitato economico e sociale e a quello delle Regioni, intitolata “Iniziativa europea per il cloud computing- Costruire un’economia competitiva dei dati e della conoscenza dell’Europa”.
Si è trattato di una Comunicazione che ha ripreso le conclusioni del Consiglio Competitività del 2015 e che ha avuto l’ambizione di lanciare, anche riprendendo il discorso fatto sul tema dal Presidente Junker nell’ottobre 2015, l’iniziativa europea per il Cloud.
Nell’ambito di questa Comunicazione l’idea alla base della costruzione del Cloud europeo è legata molto all’obiettivo di sviluppare il cosiddetto European Open Science Cloud, attraverso un modello di Cloud pubblico e condiviso dalle Università e dagli Istituti di ricerca dell’Unione.

Cloud, agenda digitale europea e digital single market

Al di là di questo specifico aspetto che, nella strategia della Commissione è utilizzato anche come un grimaldello per promuovere la condivisione della tecnologia Cloud all’interno del sistema Europa, quello che risulta con chiarezza da questa Comunicazione è la stretta connessione con lo sviluppo dell’Agenda Digitale Europea e, in sottofondo, anche e soprattutto col Digital Single Market.
In sostanza il rilancio del Cloud europeo, e comunque il richiamare l’attenzione sui problemi e le opportunità connesse a questa tecnologia (o sistema di tecnologie) fa parte di una strategia ben più ampia che ha come scopo, comune anche al GDPR, di sviluppare l’economia digitale europea in un quadro di fiducia dei cittadini e di capacità di reggere la concorrenza e la sfida delle altre aree del mondo.
Questo aspetto è messo bene in luce dalla Comunicazione presentata dalla Commissione il 25 maggio 2018 intitolata “Verso uno spazio comune europeo dei dati”. La data di presentazione è particolarmente significativa perché coincide con la piena attuazione del GDPR che, infatti, è esplicitamente citato nella Introduzione della Comunicazione, laddove si dice “con il Regolamento generale sulla protezione dei dati personali, l’UE ha creato una solida struttura per la fiducia digitale, un presupposto essenziale per lo sviluppo dell’economia dei dati” e per questo, aggiunge ancora la Commissione, “tutti coloro che sono interessati dalle nuove norme dovranno assicurare una piena conformità”.

Cloud, Gdpr e sviluppo dell’economia digitale Ue

Dunque sia la spinta alla creazione di un Cloud europeo quanto l’adozione del GDPR fanno parte di una medesima strategia di sviluppo dell’economia digitale, che si allarga anche alla proposta di Regolamento presentata dalla Commissione il 13 settembre 2017, finalizzata a costruire “un quadro applicabile alla libera circolazione dei dati non personali nell’Unione Europea”. Un Regolamento, questo, tutto orientato a favorire la interoperabilità tra le banche dati e l’abolizione di ogni limite nazionale rispetto alla localizzazione dei dati non personali, alla loro messa a disposizione delle autorità e alla interoperabilità dei diversi sistemi di archiviazione e conservazione di dati.
Insomma, quello che merita sottolineare è che il GDPR, così come la proposta di un nuovo Regolamento in materia di libera circolazione dei dati non personali e la costante spinta verso un Cloud europeo, sono tutti aspetti che fanno parte di una medesima strategia, orientata a favorire la messa in comune dei dati e delle informazioni, in condizioni di sicurezza e nell’ambito di sistemi di interoperabilità che facilitino non solo l’uso condiviso dei dati pubblici, e soprattutto di quelli finalizzati alla ricerca alla conoscenza, ma anche dei dati tra le imprese, stimolando anche la condivisione dei dati e la promozione di interfacce per programmi applicativi.

La resistenza degli Stati Ue

Si tratta di una strategia, estremamente complessa. Vi sono fortissime resistenze nazionali: ad esempio in materia di localizzazione di banche dati, di realizzazione di vere forme di interconnessione fra di esse, di seri passi avanti verso un European Open Science Cloud che favorisca almeno la condivisione a livello europeo della ricerca scientifica e della conoscenza.
Ancora più complessi sono poi i problemi che questa strategia pone in materia di interoperabilità dei dati. E’ un tema che inevitabilmente si scontra con la tutela della proprietà intellettuale, così come è persistente la resistenza degli Stati alla condivisione delle banche dati pubbliche e alla rinuncia a porre vincoli territoriali per quanto riguarda la circolazione di dati non personali.

Riprendere il dibattito sul cloud

In questo quadro così complesso, e proprio per la ampiezza della ambiziosa strategia che l’Unione persegue, diventa assolutamente importante riprendere la tematica del Cloud computing, oggetto di notevoli analisi tra il 2012 e il 2013.
In quegli anni infatti, la sensibilità relativa alla compatibilità di questa tecnologia con la normativa di tutela dei dati personali, condusse quasi tutte le Autorità nazionali di controllo ad adottare specifiche comunicazioni o linee Guida. Accanto alla già citata Opinion del Working Party 29 del 12 luglio 2012 e alla Resolution on cloud computing, approvata il 26 ottobre 2012 a Montevideo, a conclusione della conferenza internazionale delle Autorità di protezione dati tenutasi in Uruguay in quell’anno, merita ricordare le prese di posizione, tutte adottate tra il 2012 e il 2013, della ICO, della Autorità slovena, di quella irlandese, della CNIL, del Garante italiano, della Agenzia spagnola e del Gruppo di Berlino.
A queste prese di posizione delle Autorità di controllo si aggiunsero, sempre in quegli anni, ben tre papers ENISA e quattro papers NIST, oltre a numerose dichiarazioni e linee guida del mondo industriale e dei regolatori del settore tecnologico.
La stranezza, se di stranezza vogliamo parlare, è che, terminata quella stagione peraltro senza che siano state adottate serie normative di regolazione del Cloud per garantirne la compatibilità con le regole di protezione dei dati personali, l’attenzione sul problema è sembrata evaporare.
Tuttavia il rilancio della strategia europea per lo sviluppo dell’economia digitale, la spinta alla creazione di un Cloud europeo e l’entrata in vigore del GDPR, impongono ora di tornare sull’argomento.

I problemi del cloud alla luce del Gdpr

Non vi è dubbio, infatti, che il GDPR contenga norme dichiaratamente finalizzate ad incrementare la circolazione dei dati e la pluralità delle finalità per cui essi possono essere trattati, anche creando nuovi “diritti tecnologici” fra i quali va segnalata la portabilità dei dati di cui all’art. 20; il diritto alla cancellazione come formulato dall’art. 17; la possibilità di utilizzare i dati anche per finalità ulteriori rispetto a quelle per cui sono stati raccolti, la possibilità di raccogliere dati personali ma trattarli poi senza più alcuna connotazione che li renda riconoscibili a persone identificate o identificabili, secondo quanto prevede l’art. 11, la legittimità e i limiti del trattamento automatizzato di dati di cui all’art. 21.
Tuttavia ciascuna di queste disposizioni pone problemi nuovi anche rispetto alla tecnologia Cloud. L’incremento della libertà di circolazione dei dati, essenziale per lo sviluppo dell’economia digitale, deve essere accompagnata da un irrobustimento delle modalità di tutela e, in ogni caso, da una attenta e puntuale attuazione delle norme del GDPR.
Per questo è giunta l’ora di tornare ad esaminare questa tecnologia e metterla a confronto con la nuova normativa.

Le linee guida dell’Edps per adeguare cloud con Gdpr

L’occasione per un ripensamento di tutta questa tematica è offerta, molto opportunamente, dalle recenti Guidelines on the use of cloud computing services by the European institutions and bodies”, pubblicate dall’EDPS il 16 Marzo 2018.
In queste linee guida l’EDPS, al quale pure non si applica ancora il GDPR ma il vecchio Regolamento 45/2001, affronta il tema in modo molto proattivo, avendo attenzione soprattutto alla specificità dei soggetti a cui si riferiscono i trattamenti di dati sottoposti alla sua vigilanza, e cioè le Istituzioni, le Agenzie e gli Uffici dell’UE.
Proprio questo specifico ambito, che concerne istituzioni e uffici le cui attività richiedono una elevata protezione sotto molteplici aspetti e i cui dati e i loro trattamenti devono essere sottoposti a una rigorosa valutazione in ordine alla compatibilità con le norme di protezione dei dati e alla sicurezza dei trattamenti svolti, offre l’occasione all’EDPS di affermare alcuni principi chiave.
In sintesi l’attenzione si appunta innanzitutto:
  • sulla localizzazione dei servers e delle infrastrutture, sia sotto il profilo del rispetto delle regole che disciplinano il trasferimento dei dati all’estero (con il conseguente obbligo di valutazione dell’adeguatezza dei diversi ordinamenti e delle misure che è necessario adottare a seconda dei Paesi).
  • Il punto importante che l’EDPS sottolinea è che il Controller (e quindi le Istituzioni UE) devono avere una piena conoscenza del sistema di governance che regola i diversi tipi di Cloud.
  • Inoltre, considerando che il fornitore del servizio Cloud ha, rispetto al titolare (Controller), la posizione di Responsabile (Processor) ex art. 28 GDPR, prima di stipulare il contratto è indispensabile che accertarsi che il fornitore del sistema, e il sistema stesso, siano perfettamente compliant col GDPR.

Gli obblighi del controller

Non si tratta di nulla di nuovo. Infatti è l’art. 28 del GDPR che pone a carico del titolare l’obbligo di verificare che il responsabile (Processor) presenti garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo che il trattamento soddisfi i requisiti del Regolamento e garantisca la tutela dei diritti degli interessati. Questo impone che il Controller non possa limitarsi a firmare contratti per adesione rispetto a servizi offerti sulla base di clausole standard. Egli deve sempre verificare che il contenuto del contratto sia tale da garantire prestazioni adeguate alla normativa GDPR, anche tenendo conto del tipo di trattamenti che vengono richiesti al Processor.
Su questo punto l’EDPS assume una posizione molto rigida, che è pienamente condivisibile. Sotto l’impero del GDPR, il titolare che sottoscriva contratti Cloud senza verificare che le clausole contrattuali siano compliant col GDPR si assume responsabilità potenzialmente anche molto rilevanti.
Da questo punto di vista le Linee Guida sono estremamente interessanti, anche perché chiariscono l’obbligo per il Controller di assicurare una “due diligence on chosing a prospective CSP”. Viene chiarito così che non in tutti i casi e per tutti i tipi di trattamento è possibile utilizzare tecnologie Cloud, soprattutto se esse si avvalgono di strutture collocate fuori dall’UE, o comunque non offrono garanzie adeguate rispetto ai trattamenti posti in essere dal titolare.
Queste Linee guida forniscono anche indicazioni molto chiare circa il contenuto che deve avere il contratto stipulato con un CSP per essere compliant col GDPR. Esse, infatti, stressano molto gli obblighi reciproci tra utente (consumer) e CSP, che devono estendersi anche alla possibilità per il Controller di svolgere attività di controllo rispetto all’operato del Provider e delle misure tecniche adottate.
Non minore importanza è data agli accordi integrativi, i c.d. SLA (Service Level Agreement), dei quali si sottolinea anche la potenziale mutabilità nel tempo.
Tra le raccomandazioni espresse dall’EDPS vi è anche che il Controller inserisca nel contratto l’obbligo, previsto dal GDPR art. 28, paragrafo 2, per il Provider di non poter nominare sub-responsabili senza il consenso scritto del Controller.
Infine l’EDPS, proprio perché detta regole relative a trattamenti di dati che riguardano Istituzioni e uffici dell’UE, ribadisce che il Controller deve mantenere specifici poteri di controllo, anche con specifici audit, che devono essere previsti nei contratti e nelle clausole delle SLA.

Contratti cloud e compliance col Gdpr

E’ chiaro che lo EDPS non intende far sconti. E’ evidente, infatti, che non considera affatto che la tecnologia Cloud, in ragione degli indubbi benefici che offre all’economia e alle imprese, possa giustificare una interpretazione del GDPR “morbida” o persino “compiacente”. In sostanza, la necessità, spesso dichiarata dalle imprese, di stipulare contratti standard, pena la rinuncia a servirsi di queste tecnologie con tutte le conseguenze che ne possono derivare in termini di perdita di competitività, non può giustificare in alcun modo la sottoscrizione di contratti Cloud che non siano complaiant col nuovo GDPR.
Infine, anche se non specificamente sottolineata, è evidente la preferenza dell’EDPS versosistemi Cloud pubblici o comunque interamente europei, soprattutto rispetto ai trattamenti totalmente sotto il controllo delle Istituzioni europee o comunque di soggetti pubblici.
Da questo punto di vista è evidente che le Linee Guida adottate dall’EDPS vanno chiaramente nella stessa direzione della Commissione e supportano i suoi sforzi a favore di una rapida realizzazione di un sistema Cloud interamente europeo.
Da questa analisi discende chiaramente il quadro di una realtà tutta in movimento.
Non vi è dubbio che le strategie messe in atto dalla Commissione dal 2015 in poi, unitamente agli effetti che una corretta e puntuale attuazione del GDPR possono comportare sulle tecnologie Cloud computing, spinge a guardare con favore alla creazione di un Cloud, o di un sistema di Cloud, interamente europeo.
Tuttavia possono esservi anche altre soluzioni che vadano anche al di là di un Cloud europeo, oggi certamente ancora estremamente difficile da realizzare. Si può ad esempio puntare su un sistema europeo condiviso e interoperabile, o, ancora più realisticamente, sulla imposizione a tutti i CSP, compresi quelli direttamente collegati alle OTT, del rispetto delle regole del GDPR e di ciò che queste comportano.
Il cammino è ancora lungo ma è assolutamente necessario che il tema dei sistemi Cloud e del loro rapporto con i trattamenti di dati nell’economia digitale (e non solo di dati personali), sia tirato fuori da sotto il tappeto e discusso con franchezza, e a fondo.
Affrontare e risolvere questo nodo, trovando le forme e la forza per aiutare le nostre imprese a non dover soggiacere a clausole standard imposte con la forza di Golia rispetto a tanti piccoli David, significa non solo garantire il rispetto delle nostre regole ma anche la tutela effettiva dei trattamenti di dati delle imprese europee e dalle organizzazioni pubbliche e private dell’area EEA.
Significa, insomma, garantire la capacità dell’economia europea di svilupparsi senza la spada di Damocle costituita dal non avere di fatto mai il pieno controllo dei propri dati e soprattutto, dei loro trattamenti. (Fonte: Franco Pizzetti, https://www.agendadigitale.eu)

Con il Gdpr nascono sfide inedite per le aziende che adottano questi servizi. Diventano responsabili dei dati affidati alla cloud, senza però avere gli strumenti contrattuali per un controllo effettivo e quindi per assolvere agli obblighi. Tra l’altro diventa così urgente la spinta verso un Cloud europeo. Vediamo perché