Considerato a ragione uno dei temi più interessanti del diritto delle nuove tecnologie, in grado di dar vita ad accesi dibattiti ed articolati spunti di riflessione –complici gli ampi margini di indeterminatezza della normativa ad esso connessi – il cloud rappresenta senza dubbio una delle maggiori sfide degli ultimi anni in termini giuridici.
Il modo migliore per sfruttare i vantaggi della “nuvola” e beneficiare dei preziosi scenari di business prospettati è prevenire, attraverso contratti e accordi scritti, l’insorgere di problematiche che possono dar luogo a controversie e questioni giuridiche di non sempre agevole soluzione.
Continuità del servizio, sicurezza, integrità e riservatezza dei dati rappresentano gli aspetti più sentiti dai fruitori della Nuvola, il cui unico strumento di tutela - a fronte di una normativa incompleta e spesso non allineata rispetto all’evoluzione tecnologica in atto – è costituito da regolamentazioni predisposte unilateralmente dai fornitori del servizio.
Ma vediamo alcune delle principali questioni che fornitori del servizio e clienti devono tenere in considerazione al momento della predisposizione o della sottoscrizione di un contratto, tenendo in conto che sarebbe bene prevedere che il rapporto con il fornitore si completi con appositi accordi che regolino in dettaglio gli aspetti specificamente inerenti la protezione dei dati personali, un “privacy level agreement” o “PLA” speculare al service level agreement o SLA che, invece, disciplina gli standard tecnici.
I dati identificativi del fornitore e soprattutto, ove esistente, del rappresentante nello stato UE sono sicuramente la prima informazione da indicare all’interno di un contratto seguita dal ruolo privacy ricoperto, dai recapiti del data Protection Officier e, se previsto, del responsabile della sicurezza dei dati.
Laddove non sia presente il Data Protection Officier è necessario riportare i contatti del soggetto di riferimento al quale gli eventuali interessati possono indirizzare le istanze relative al trattamento dei propri dati personali.
Il contratto dovrà necessariamente indicare le categorie di dati personali che al cliente è fatto divieto di trattare o comunque conservare in cloud, come ad esempio i dati sensibili relativi allo stato di salute.
Detto questo, uno degli aspetti più importanti nell’ambito della contrattualistica in materia di cloud resta la modalità con cui i dati saranno trattati.
Nel caso in cui il fornitore sia un mero responsabile del trattamento è essenziale determinare in maniera dettagliata in quali ambiti e con quali modalità il cliente-titolare dei dati potrà fornire le istruzioni necessarie al fornitore- responsabile.
Da non trascurare, se possibile, la distinzione tra le attività che verranno eseguite per conto del cliente nell’ambito dell’erogazione del servizio oggetto del contratto principale (vedi la conservazione dei dati) non solo da quelle che saranno effettuate a richiesta del cliente, ma anche da quelle effettuate su iniziativa del solo fornitore, come il back up per citarne una.
Un contratto efficace, inoltre, non deve tralasciare di specificare le modalità attraverso cui il cliente sarà informato di modifiche rilevanti apportate al servizio in cloud.
Allo stesso modo, è fondamentale indicare con precisione i luoghi in cui sono ubicati gli strumenti attraverso cui i dati vengono trattati ed, in particolare, i luoghi in cui possono essere praticati la conservazione, la duplicazione il backup e il ripristino dei dati.
Nell’ambito di un accordo un’attenzione particolare dovrà poi essere rivolta all’identificazione dei subfornitori e sub responsabili che partecipano al trattamento dei dati, i limiti posti alla loro eventuale responsabilità e gli accorgimenti utilizzati per assicurare che i requisiti richiesti dal trattamento dei dati personali effettuato siano soddisfatti (attenzione però perché uno specifico ruolo privacy di “sub responsabile” con nomina conferita direttamente dal responsabile, non è previsto da tutti i Paesi Ue, ad esempio in Italia occorre fare riferimento alla consueta bipartizione titolare - responsabile).
Il successivo step prevede di descrivere le modalità utilizzate per informare il cliente cloud di ogni modifica che riguardi l’aggiunta o la sostituzione di subfornitori o “sub responsabili” -indicazione da prendere con tutte le cautele già evidenziate- prevedendo in ogni momento, in presenza di simili modifiche, la possibilità per il cliente di recedere dal contratto.
Altra spinosa questione riguarda il trasferimento dati.
Per scongiurare il rischio di violare la normativa privacy e per tutelarsi da eventuali sanzioni è essenziale indicare quando i dati possono essere trasferiti, duplicati (backup) e/o ripristinati in paesi terzi, senza dimenticare di specificare se questo rientra nel normale modus operandi o se si tratta di una procedura di emergenza.
Se la legge applicabile impone limiti e restrizioni al trasferimento dei dati oltre i confini nazionali è opportuno individuare la base giuridica che renda possibile il trasferimento, senza dimenticare di indicare se i dati saranno trasferiti oltre i confini dell’Unione Europea.
Nel caso in cui il nostro contratto preveda il trasferimento oltre i confini dell’Unione Europea è necessario identificare la base giuridica e verificare la presenza di particolari normative in vigore, come ad esempio safe harbor, clausole tipo o decisioni di adeguatezza.
Sul fronte delle misure di sicurezza la regola d’oro è quella di indicare specificamente le misure tecniche, fisiche ed organizzative che saranno poste in essere per proteggere i dati personali da sottrazione o distruzione intenzionale o accidentale, perdita accidentale, alterazioni, uso non autorizzato, modifiche, divulgazione, diffusione, accessi non previsti e ogni altra forma di trattamento illecito.
Oltre a garantire il rispetto delle misure di sicurezza definite "minime" dal legislatore e direttamente rinvenibili nella normativa tecnica, occorrerà individuare le misure idonee descrivendo le misure fisiche tecniche ed organizzative volte ad assicurare disponibilità dei dati, integrità, riservatezza, trasparenza, segregazione, finalità del trattamento, possibilità di intervento, portabilità ed accountability.
In quest’ultimi due casi, in particolar modo, due sono le questioni da tenere bene a mente:
- Denotare i formati dei dati, oltre alle relazioni logiche ed i costi associati alla loro portabilità, le applicazioni ed i servizi e, al tempo stesso, fissare per iscritto come e a quale costo il fornitore assisterà il cliente in una eventuale migrazione verso un altro provider o per tornare a un trattamento presso i propri sistemi potrebbe rivelarsi essenziale in caso di necessità;
- Descrivere di quali policy o procedure o modelli il fornitore si sia dotato per garantire e dimostrare la conformità alla normativa vigente, anche attraverso regolamenti interni o altri accorgimenti che dimostrino la necessaria compliance, ad esempio documentando tutte le operazioni di trattamento svolte sotto la sua responsabilità, prevedendo efficaci controlli e sistemi integrali di registrazione degli accessi potrebbe mettere al riparo da grattacapi di non poco valore.
Per rendere il contratto a prova di “contestazione” vi sono altre clausole da definire, non meno importanti delle altre, ma spesso tralasciate.
Le riassumiamo di seguito:
- Indicare se il cliente abbia la facoltà - o il diritto o la potestà- di fare verifiche dirette o disporre forme di audit per accertarsi che le misure inerenti la riservatezza e la sicurezza definite nel piano siano effettivamente adottate.
- Descrivere dettagliatamente le condizioni e le forme di verifica (report, audit o altro), specificando il tipo di controllo che potrà esercitare il cliente, come la accessibilità ai report di log, o l´auditing circa i trattamenti più rilevanti operati dal fornitore o dai subfornitori.
- Delegare a terzi, scelti nell’accordo delle parti, l’attività di controllo oppure indicare, se sono già previsti, quali report delle verifiche effettuate da terzi certificatori indipendenti verranno forniti al cliente, il loro ambito, la loro frequenza e quali di essi vengono periodicamente aggiornati, e se verrà fornito un report completo o solo uno schema di sintesi.
- Indicare le procedure di conservazione adottate dal fornitore e le condizioni per la restituzione o la distruzione dei dati personali una volta che il servizio principale abbia avuto termine. Queste comprendono le regole di conservazione dei dati, la cancellazione, la conservazione dei dati per adempiere ad obblighi di legge.
- Definire in che misura il fornitore coopererà con il cliente, in modo da assicurare l´adempimento della normativa dettata in tema di privacy, ad esempio consentendo al cliente di garantire agli interessati un effettivo esercizio dei loro diritti.
- Descrivere le procedure adottate per gestire e soddisfare le richieste di informazioni da parte di Autorità di contrasto alla criminalità, con particolare attenzione alle procedure di comunicazione ai clienti coinvolti, quando ciò non sia vietato.
Per mettersi al riparo da ogni genere di controversia è utile precisare quali garanzie sono offerte al cliente nel caso in cui il fornitore o i suoi subfornitori recedano o comunque pongano fine al rapporto contrattuale o si rendano inadempienti agli obblighi assunti con il PLA, e quali rimedi contrattuali siano previsti (comprese manleve o penali o ristori anche dei danni eventualmente causati a terzi interessati) per gli inadempimenti in ordine a sicurezza, sistema di verifiche, comunicazione delle violazioni dei dati personali, portabilità e / o obblighi di conservazione.
Nell’ottica di un offrire un servizio più appetibile è buona regola descrivere eventuali polizze che coprano i servizi offerti dal fornitore e da questi stipulate, se esistenti, dettagliandone l´ambito di applicazione e l´eventuale inclusione di fattispecie relative alla violazione di dati personali, così come indicare i recapiti che il fornitore destina al ricevimento dei reclami o a richieste di chiarimenti in ordine al trattamento effettuato.
Segnalare eventuali terzi ai quali deferire la risoluzione delle controversie insorte, se la normativa lo consente, ad esempio autorità indipendenti, arbitri o servizi di mediazione o conciliazione.
.jpg)
.jpg)
.jpg)
.jpg)
