L’apertura del mercato ha portato alla nascita di numerosi fornitori di servizi cloud computing e all’incremento delle offerte contrattuali (spesso senza previsione di un corrispettivo economico) che, complice anche la mancanza di un’adeguata cultura e consapevolezza informatica, impone di focalizzare l’attenzione sulla tutela degli utenti finali circa la legge applicabile e, in ambito di trattamento dei dati personali, in ordine ai rapporti con il fornitore del servizio, specie quando si è in presenza di un trasferimento di dati al di fuori dello spazio economico europeo. In tal caso, occorre poi trovare la giusta base giuridica legittimante il trasferimento anche in considerazione della recente giurisprudenza europea e del dato pratico dell’assenza di un cloud europeo.
Il cloud computing: definizione e tipologie
Il National Institute of Standards and Technology (NIST) dell’U.S. Departement of Commerce è stata la prima organizzazione a definire il cloud computing offrendo una visione unificante delle cinque caratteristiche essenziali dei servizi cloud, quale: modello on-demand self-service, che offre un ampio accesso alla rete (broad network access), mette in comune le risorse (resource pooling), con capacità che possono essere fornite e rilasciate elasticamente (rapid elasticity) e che controlla e ottimizza automaticamente l’utilizzo delle risorse, garantendo trasparenza sia per il fornitore che per l’utilizzatore del servizio (measured service). In altri termini, secondo la definizione del NIST il cloud computing è «un modello che rende possibile l’accesso facile, su richiesta e in rete a un insieme condiviso di risorse informatiche configurabili […] che può essere fornito rapidamente e diffuso con sforzi minimi o con l’interazione di fornitori di sevizi».
Il modello in esame, in buona sostanza, consiste in risorse informatiche distribuite in remoto. Tale è la definizione contenuta nel Parere del Comitato economico e sociale europeo sul tema «Il cloud computing in Europa», per il quale il cloud computing «si basa su un’architettura digitale i cui vantaggi sono la rapidità di distribuzione, la facilità di espansione e il pagamento in base all’utilizzo». Pertanto, «può essere inteso come l’archiviazione, l’elaborazione e l’uso di dati su computer remoti e il relativo accesso via Internet» (così la comunicazione della Commissione «Sfruttare il potenziale del cloud computing in Europa», del 27 settembre 2012).
Nel novembre 2009, l’ENISA nella sua relazione, intitolata Cloud Computing: Benefits, Risks and Recommendations for Information Security (Cloud computing: vantaggi, rischi e raccomandazioni per la sicurezza dell’informazione), ha definito il cloud computing come «nuovo modo di rendere disponibili risorse di elaborazione, non una nuova tecnologia. Modello che offre servizi che spaziano dalla memorizzazione ed elaborazione dati fino al software, come la gestione delle email, sono ora disponibili istantaneamente, senza impegno e su richiesta.».
Esistono quattro forme fondamentali di prestazioni di servizi in cloud, distinguendosi, pertanto, tra public, private, community e ibrid cloud, così da tener conto dell’utenza a cui è rivolta la fornitura dei servizi e l’uso delle risorse. I servizi offerti possono essere, a loro volta, suddivisi in tre tipologie: Infrastructure as a Service (IaaS), Software as a Service (SaaS) e Platform as a Service (PaaS).
La tutela degli utenti finali e la questione preliminare della legge applicabile
L’apertura del mercato ha portato alla nascita di numerosi fornitori di servizi cloud e all’incremento delle offerte contrattuali (spesso senza previsione di un corrispettivo economico) che, complice anche la mancanza di un’adeguata cultura e consapevolezza informatica, impone di focalizzare l’attenzione sulla tutela degli utenti finali, specie in relazione alle prestazioni oggetto dei contratti in esame, alle sue condizioni generali e alla sussistenza di obblighi di informazione.
L’approfondimento della tematica in parola passa innanzitutto per la verifica della legge applicabile, poiché sarebbe inutile, per l’utente, richiamare il diritto privato «interno», allorquando, sulla base delle regole del diritto internazionale privato, tale diritto non fosse, appunto, la legge applicabile. Pertanto, la consapevolezza circa il diritto applicabile al contratto che regolerà i rapporti con il suo fornitore è essenziale per orientare le sue scelte. Sicché, ove non fosse possibile applicare al contratto la propria legge, l’utente potrà scegliere un diverso fornitore soggetto a tale legge.
Ciò posto, partendo dall’assunto che la legge applicabile sia quella italiana, occorre dire che la qualificazione giuridica del contratto deve essere analizzata alla luce delle prestazioni che il cloud provider esegue in favore dell’utente.
Ebbene, in tutte le tipologie di cloud, si possono individuare alcuni tratti contrattuali comuni. Con la consegna dei propri dati, da parte dell’utente al fornitore, quest’ultimo assume l’obbligo di custodirli e restituirli su richiesta del primo. Ecco, quindi, che emergono caratteri tipici del contratto di deposito, in cui l’utente si identificherebbe come depositante e il fornitore come depositario.
Sussistono, inoltre, forti analogie con il contratto di somministrazione, mentre ci si può anche interrogare sulla possibile ricorrenza dei caratteri del contratto di appalto o di quelli tipici del contratto di licenza d’uso. In ogni caso, la qualificazione del negozio dovrà avvenire in base al concreto scopo pratico perseguito dalle parti, così da assicurare la migliore regolamentazione degli interessi delle stesse.
Titolare e responsabile del trattamento nei servizi cloud: implicazioni alla luce del GDPR
L’oggettiva difficoltà nel negoziare ruoli e responsabilità con il cloud service provider, che spesso è una organizzazione molto più grande del cliente, poi oggi rileggersi alla luce dell’art. 28 del GDPR. Tale articolo attribuisce un preciso obbligo giuridico al titolare del trattamento di impartire istruzioni documentate al responsabile (art. 28, par. 3, lett. a), cui corrisponde un dovere di quest’ultimo (o di chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento) nel momento in cui abbia accesso ai dati personali, di trattarli secondo le istruzioni ricevute dal titolare del trattamento, tanto che non può trattare tali dati se non è istruito in tal senso, salvo che lo richieda il diritto dell’Unione o degli Stati membri (art. 29).
Caso quest’ultimo decisamente inverosimile nella pratica quando si parla di un grande cloud provider, da un lato, e di piccola e media impresa-buyer, dall’altro; mentre è verosimile asserire che, nella maggior parte dei casi, nemmeno buyer come una grande impresa o una P.A. riescano di fatto ad impartire istruzioni dettagliate al cloud provider e ad esercitare quel controllo tipico del rapporto titolare-responsabile.
Alla luce del GDPR, però, il fornitore che si spinga sino al punto di determinare ulteriori finalità del trattamento rispetto a quelle fissate dal cliente assume la qualifica di titolare. Ciò è espressamente detto nel comma 10 dell’art. 28 in disamina, ove è sancito che «fatti salvi gli articoli 82, 83 e 84, se un responsabile del trattamento viola il presente regolamento, determinando le finalità e i mezzi del trattamento, è considerato un titolare del trattamento in questione.». Ciò che rileva, pertanto, è chi in concreto ha determinato le finalità e i mezzi del trattamento, così assumendo di diritto quella qualifica che corrisponde alla sua attività di fatto realizzata. Questo può considerarsi un chiaro intervento teso ad ampliare i casi in cui un fornitore di servizi cloud può essere definito titolare del trattamento.
In ogni caso, sia il cliente che il cloud provider dovranno, tenendo conto dello stato dell’arte, i costi di attuazione e la natura, la portata, il contesto e le finalità del trattamento, nonché il rischio di varia probabilità e la gravità per i diritti e le libertà delle persone fisiche, implementare «adeguate misure tecniche e organizzative» per garantire un livello di sicurezza adeguato al rischio (art. 32, GDPR).
Sicuramente auspicabile è l’introduzione (attraverso i codici di condotta) dell’obbligo per il cloud provider di informare correttamente ed esaustivamente l’utente-titolare del trattamento, per un utilizzo consapevole del servizio e, quindi, per consentirgli di assolvere compiutamente al suo obbligo generale di ricorrere «‘unicamente’ a responsabili del trattamento che presentino ‘garanzie sufficienti’ per mettere in atto misure tecniche e organizzative ‘adeguate’ in modo tale che il trattamento soddisfi i requisiti del [presente] regolamento e garantisca la tutela dei diritti dell’interessato» (art. 28, par. 1, e considerando 81) (si veda, sul tema, Responsabile e titolare del trattamento dati nel GDPR. Il cloud provider dovrebbe, pertanto, aiutare il cliente a raggiungere questo obiettivo, fornendo la trasparenza necessaria circa le misure di sicurezza attuate dallo stesso per l’erogazione dei suoi servizi.
Con riferimento al tema della conservazione dei dati nel cloud è chiaro che essi potrebbero essere dislocati ovunque, il che pone (per il tema “protezione dati”), importanti questioni, tra cui: quella (preliminare) dell’applicabilità al caso di specie del GDPR; quella dell’esportazione dati all’estero (ossia al di fuori dello spazio economico europeo); e, anche, quella della portabilità dei propri dati su altro Cloud service provider (problema del c.d. «vendor lock-in»).
Cloud computing: applicabilità del GDPR
L’art. 3 del Regolamento (UE) 2016/679 (GDPR), individua il suo «ambito di applicazione territoriale», che rinviene i suoi presupposti già nei considerando 22, 23, 24 e 25. In virtù delle summenzionate disposizioni, il Regolamento si applica a qualsiasi trattamento di dati personali effettuato nell’àmbito delle attività di uno stabilimento [che significa effettivo e reale svolgimento di attività nel quadro di un’organizzazione stabile, non essendo determinante la forma giuridica assunta, sia essa una succursale o una filiale dotata di personalità giuridica (considerando 22)] da parte di un titolare del trattamento o di un responsabile del trattamento nel territorio dell’Unione, non rilevando il luogo in cui si effettui il trattamento («indipendentemente dal fatto che il trattamento sia effettuato o meno nell’Unione»). Dunque, ciò che rileva, per l’applicabilità del regolamento, è il fatto che il titolare ‘o’ il responsabile abbia uno stabilimento (per la definizione di «stabilimento principale», v. art. 4, n. 16) nell’Unione europea (criterio dello stabilimento nell’Unione di un titolare ‘o’ di un responsabile che effettua il trattamento). È, quindi, sufficiente che uno dei due sia situato nell’Unione, o meglio effettui il trattamento nell’àmbito delle attività di uno stabilimento situato nell’Unione. Pertanto, ove il fornitore statunitense di servizi cloud avesse uno stabilimento nell’UE, la legge applicabile sarebbe comunque quella europea.
Il paragrafo 2, dell’art. 3, introduce poi il criterio del luogo in cui gli interessati si trovano. Pertanto, se il trattamento dei dati personali di interessati che si trovano nell’Unione è effettuato da un titolare del trattamento ‘o’ da un responsabile del trattamento che non è stabilito nell’Unione, il regolamento si applicherà comunque, quando le attività di trattamento riguardano:
a) l’offerta di beni o la prestazione di servizi ai suddetti interessati nell’Unione, indipendentemente dall’obbligatorietà di un pagamento dell’interessato; oppure
b) il monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo all’interno dell’Unione.
Emerge chiaramente la portata innovativa del criterio in parola, consistente nel fatto che l’elemento che determina l’applicabilità del Regolamento europeo è legato al luogo in cui è situato l’interessato, che se è l’Unione renderà applicabile il regolamento, anche se titolare o responsabile del trattamento non sono stabiliti nell’Unione. Ergo, in questi casi, la legge applicabile sarà quella del soggetto i cui dati vengono raccolti (ossia, l’interessato); social network, piattaforme web e motori di ricerca, cloud provider, saranno quindi soggetti alla normativa europea anche se sono gestiti da società con sede fuori dall’UE.
Inoltre il regolamento si applica al trattamento dei dati personali effettuato da un titolare del trattamento che non è stabilito nell’Unione, ma in un luogo soggetto al diritto di uno Stato membro in virtù del diritto internazionale pubblico (art. 3, par. 3).
Trasferimento dei dati al di fuori dello spazio economico europeo
Data per assodata l’applicabilità del GDPR (alla luce delle regole di cui sopra), occorre garantire che il trasferimento dei dati verso paesi terzi avvenga, appunto, in conformità a detta normativa e, in particolare, in conformità al Capo V (rubricato “Trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali”); infatti, il trasferimento in questione ha luogo «soltanto se il titolare del trattamento e il responsabile del trattamento rispettano le condizioni di cui al presente capo, fatte salve le altre disposizioni del presente regolamento. Tutte le disposizioni del presente capo sono applicate al fine di assicurare che il livello di protezione delle persone fisiche garantito dal presente regolamento non sia pregiudicato.».
In questo quadro normativo s’inserisce la nota decisione Schrems II della Corte di Giustizia UE del 16 luglio 2020 che, a seguito di un nuovo ricorso di Schrems contro il Privacy Shield e la nuova dichiarazione di adeguatezza della Commissione Europea, ha dichiarato l’invalidità di quell’accordo e di quella dichiarazione di adeguatezza, con la conseguenza che di nuovo i trasferimenti dati dalla UE agli USA sono illegittimi rispetto al quadro UE.
Tuttavia occorre evidenziare che – di fatto – la UE deve registrare anche una grande debolezza industriale, priva com’è di sistemi di cloud europei paragonabili a quelli delle realtà industriali statunitensi. Di qui gli sforzi per dar vita al cloud europeo, unitamente a quelli volti a promuovere, anche attraverso l’iniziativa Next Generation UE, lo sviluppo dei cloud nazionali e delle reti di interconnessione delle comunicazioni a livello unionale
Pertanto, allo stato attuale, una parte preponderante dell’economia digitale UE poggia sui trasferimenti di dati da operatori economici con sede in UE a operatori economici (o fornitori di servizi) dislocati negli Stati Uniti. Ricadendo questi trattamenti comunque sotto le norme del Capo V del GDPR, a seguito della predetta decisone si è posto il tema, dalle enormi implicazioni, di come considerare compatibili con il GDPR i trasferimenti dei dati in disamina.
A questo punto, vista la realtà europea e alla luce del richiamo della Corte di giustizia alle regole derogatorie (di cui all’art. 49 del GDPR), dette regole posso rappresentare una via pratica per rendere compatibili i trasferimenti in esame con il GDPR; ergo, il trasferimento sarà ammesso:
a) con il consenso esplicito dell’interessato, previa informativa inerente i rischi del trasferimento attuato in mancanza di decisione di adeguatezza o garanzie adeguate;
b) se è necessario per l’esecuzione di un contratto o misure precontrattuali adottate su richiesta dell’interessato; in tal caso, il Considerando 111 limita l’applicazione di tale deroga ai casi in cui il trasferimento dei dati è occasionale e necessario in relazione a un contratto. A tal riguardo il Gruppo di lavoro “Articolo 29” ha evidenziato come sia essenziale effettuare un “test di necessità” volto a verificare la sussistenza di un “nesso stretto e significativo fra il trasferimento dei dati e la finalità del contratto”;
c) se è necessario per la conclusione o l’esecuzione di un contratto stipulato tra il titolare del trattamento e un’altra persona fisica o giuridica a favore dell’interessato;
d) se è necessario per importanti motivi di interesse pubblico; il paragrafo 4 dell’art. 49 GDPR evidenzia, a differenza della Direttiva 95/46/CE, che tale deroga può trovare applicazione solo ove “l’interesse pubblico [sia] riconosciuto dal diritto dell’Unione o dal diritto dello Stato membro cui è soggetto il titolare del trattamento”;
e) se è necessario per accertare o difendere un diritto in sede giudiziaria (si pensi ai dati personali del cliente che l’avvocato deve trasferire in un Paese extra UE ove instaurare una causa); come puntualizzato dal Considerando 111, tale trasferimento di dati può riferirsi tanto alla sede giudiziale quanto a quella amministrativa o stragiudiziale, compresi i procedimenti dinanzi alle autorità di regolamentazione. Tale ipotesi dovrebbe ricomprendere anche le fasi propedeutiche all’instaurazione di un giudizio, salvo che la futura instaurazione non rappresenti una mera ipotesi;
f) se è necessario per la tutela di interessi vitali dell’interessato o di altre persone, qualora l’interessato sia nell’incapacità fisica o giuridica di dare il proprio consenso;
g) se i trasferimenti siano indicati in un registro che, secondo il diritto dell’Unione o dello Stato membro, fornisca informazioni al pubblico e sia consultabile dal pubblico o da chi dimostri un legittimo interesse in base ai requisiti della consultazione previsti dall’Unione o dagli Stati membri.
Portabilità dei dati
Sul tema viene in rilievo il principio dell’interoperabilità, già contenuto nella Direttiva 91/250/CEE nei considerando 10, 11 e 12. Sul punto il Regolamento UE qualifica la portabilità dei dati come un diritto dell’interessato (art. 20), non a caso inserito nel Capo III, appunto rubricato «Diritti dell’interessato». Lo stesso Regolamento chiarisce la portata e l’essenzialità del diritto in parola, con il dichiarato obiettivo di assicurare più tutele e libertà per i cittadini, al considerando 68 ove si specifica come sia «opportuno incoraggiare i titolari del trattamento a sviluppare formati interoperabili che consentano la portabilità dei dati» indicando quando il medesimo diritto dovrebbe applicarsi.
Pertanto, con il diritto alla portabilità dei dati si è liberi di trasferire i propri dati in un mercato digitale più aperto alla concorrenza. Diritto alla «portabilità» dei propri dati personali che quindi significa diritto di trasferirli da un titolare del trattamento ad un altro. Ad esempio, si può cambiare il provider di posta elettronica senza perdere i contatti e i messaggi salvati. È chiaro che ci sono, però, alcune eccezioni che non consentono l’esercizio del diritto in parola.
Ciò posto, per i fornitori di servizi cloud, la previsione di protocolli di standardizzazione per i servizi dagli stessi offerti sembra essere prospettarsi quale unica strada percorribile sin dalla fase dello loro progettazione, così da garantire la possibilità dello scambio delle informazioni e del loro uso reciproco.