Tecnologia cloud computing: profili giuridici alla luce del general data protection regulation

Lo sviluppo e la continua evoluzione delle tecnologie informatiche ha permesso agli utenti di avere a disposizione nuovi strumenti, sempre più sofisticati, che consentono di soddisfare le crescenti esigenze di comunicazione. Uno di questi è’ proprio il Cloud Computing, termine anglosassone la cui traduzione italiana e’ “nuvola informatica” . Con esso si fa riferimento ad un insieme di servizi che permette di archiviare, memorizzare ed elaborare informazioni, sfruttando risorse software ed hardware distribuite geograficamente o centralizzate in un un’unica struttura, e virtualizzate in remoto, e di  sincronizzazione files tra dispositivi diversi ( quali pc,smartwatch, tablet ecc.). La gestione di queste infrastrutture informatiche e’ deputata ad un soggetto terzo, il Cloud Provider.

Le differenti tipologie di servizio richiesto concedono di identificare tre diverse categorie di Cloud: il Cloud SAAS “Software as a service”, nell’ipotesi in cui l’utente fruisca di servizi applicativi da remoto; il Cloud PAAS “Platform as a service”, caso in cui venga utilizzata una piattaforma di elaborazione ed il Cloud IAAS “Infrastructure as a Service” , ove venga messa a disposizione un’infrastruttura hardware che permetta all’utente di installare ed eseguire piattaforme o applicazioni.

Di non poco conto è, evidentemente, la stretta correlazione tra Cloud Computing e Privacy. Sulla macroarea della infrastrutture tecnologiche incombe, più di tutte, la problematica relativa alla tutela dei dati personali. L’incremento della libertà di circolazione di questi ultimi, essenziale per lo sviluppo dell’economia digitale, necessita, tuttavia, di essere accompagnata da un irrobustimento delle modalità di protezione ed è proprio questo  il principale obiettivo perseguito dal nuovo Regolamento europeo in materia, il  n. 679/2016, “General Data Protection Regulation” o GDPR.

La normativa sopra citata, contiene disposizioni dichiaratamente finalizzate a semplificare la circolazione dei dati e ad incrementare le finalità per cui essi possono essere trattati, anche dando vita a nuovi diritti, quali quello alla la portabilità dei dati di cui all’art. 20; il diritto all’oblio, come formulato dall’art. 17; la possibilità di utilizzare i dati anche per finalità ulteriori rispetto a quelle per cui sono stati raccolti o quella di  raccogliere dati personali ma trattarli poi senza più alcuna connotazione che li renda riconoscibili a persone identificate o identificabili, secondo quanto prevede l’art. 11; la legittimità ed i limiti del loro trattamento automatizzato, di cui all’art. 21.

A fare da contraltare a tali nuove possibilità, vi sono gli stringenti obblighi previsti dal legislatore europeo, sia nei confronti del titolare (Controller)che del responsabile (Provider o Processor) del trattamento.

L’art. 28 del Reg. Ue 679/2016, pone a carico del primo l’obbligo di verificare che il Processor possieda garanzie idonee ad attuare misure organizzative e tecniche sufficientemente adeguate, che soddisfino i requisiti indicati dal GDPR e garantiscano la tutela dei diritti dell’interessato. Ne consegue che il primo non potrà limitarsi a sottoscrivere contratti per adesione ai servizi offerti dal Provider, in base a clausole standars, ma dovrà di volta in volta analizzarne il contenuto ed  accertarsi che questo sia in linea con quanto previsto dalla normativa vigente.

Come chiarito dalle linee guida relative all’utilizzo del Cloud Computing –  emanate dall’European Data Protection Supervisor o EDPS – il titolare del trattamento ha l’obbligo di assicurare una “due diligence on choising a prospective Cloud Solution Provider”: la scelta del Provider dovrà cioè essere ben ponderata, avendo a riguardo le specifiche esigenze dell’azienda.  Non in tutti i casi e non per tutti i trattamenti risulta quindi possibile applicare la tecnologia Cloud, soprattutto se questa si avvale di strutture collocate in aree esterne all’Unione Europea. Anche se non specificamente sottolineata, infatti,  è palese la preferenza dell’EDPS verso sistemi Cloud pubblici o comunque interamente europei..

Diversamente da quanto previsto dalla disciplina precedente, tuttavia, anche il Provider sarà chiamato a rispondere, insieme al Controller – direttamente e per l’intero ammontare – del danno eventualmente cagionato nei confronti dell’interessato, qualora: agisca in maniera difforme rispetto alle indicazioni ricevute dal titolare e non adempia agli obblighi che il GDPR pone direttamente in capo ai responsabili del trattamento.

Da un punto di vista strettamente giuridico,  il Provider, generalmente a fronte di un pagamento di corrispettivo in danaro, assume su di sé l’obbligazione di rendere una prestazione di servizi, di carattere continuativo o periodico. La fattispecie così delineata,  sembrerebbe potersi pacificamente sussumere nell’appalto di servizi, la cui disciplina è racchiusa negli artt. dal 1655 al 1677 del codice civile, il quale ultimo a riguardo sancisce l’applicabilità delle norme del capo VII, relative all’appalto, e di quelle relative al contratto di somministrazione, ex art. 1559 c.c., in quanto compatibili.

Giova evidenziare che detto inquadramento non è pacifico e che parte della dottrina, talora riconduce il suddetto rapporto alla fattispecie innominata dell’outsourcing e altre volte a quella della licenza d’uso.

Il livello di complessità aumenta nel caso del servizio reso  dal fornitore Cloud IAAS, che gli studiosi tendono a ricondurre  al contratto di deposito, così come descritto dall’ art. 1766 cod. civ.

Dal quadro sopra descritto, si evince dunque l’esigenza , in fase di sottoscrizione del contatto, di un testo specifico e chiaro nei termini, nell’indicazione dei livelli di servizio, nelle modalità di trattamento dei dati e nelle garanzie di continuità della prestazione.

Seppure il percorso è ancora lungo, si avverte la necessità di sviscerare e discutere a fondo il tema dei sistemi Cloud e del loro rapporto con il trattamento dei dati nell’economia digitale. Occorre affrontare e risolvere questo nodo, trovando le forme più idonee e supportando le imprese a non dover soggiacere a clausole standard imposte con la forza. Questo significherebbe non solo garantire il rispetto delle regole ma anche la tutela effettiva dei trattamenti dati delle organizzazioni sia pubbliche che private.