L’entrata in vigore nel maggio scorso del GDPR (General Data Protection Regulation), con la successiva approvazione in Italia del decreto legislativo 101/2018, che ha aggiornato il Codice della privacy alle disposizioni del Regolamento UE 2016/679, sta trovando nel Cloud l’alleato naturale a una sua compiuta attuazione.
I principali Cloud Service Provider (CSP), infatti, prima ancora che la normativa europea fosse varata, avevano cominciato già a ipotizzare standard di sicurezza sempre più elevati che servissero a proteggere dati e sistemi dalla vulnerabilità e dai rischi di intrusione e alterazione. Nel maggio 2017, un anno prima che il GDPR diventasse operativo, un gruppo di CSP leader di mercato si era dotato di un Codice di Condotta (CoC) in materia di protezione dei dati personali. Il Codice aveva recepito le indicazioni provenienti dai Garanti europei o WP29 (oggi EDPB: il Comitato europeo per la protezione dei dati), tanto che i contenuti del CoC sono arrivati a coincidere, nella sostanza, con quanto legiferato dal Regolamento 2016/679. Basterebbe questo a far capire perché GDPR e Cloud siano ambiti affini. È la tipologia stessa dei dati, oggi sempre meno statici e chiusi all’interno dei perimetri informativi aziendali, a rendere appropriata la loro migrazione sulla nuvola che, di conseguenza, diviene anche il contesto adatto alla compliance aziendale al GDPR. Tanto più che, a livello enterprise, i modelli di servizio che si avvalgono del Cloud sono almeno tre e non si limitano soltanto alla classica funzione storage: dalla semplice disponibilità di applicazioni (SaaS o Software as a Service) all’utilizzo di piattaforme IT sulle quali sviluppare e installare software proprietario (PaaS o Platform as a Service), fino all’esternalizzazione dell’intera infrastruttura fisica (IaaS o Infrastructure as a Service).
Quale che sia il modello Cloud scelto, è importante che l’impresa non pensi che in tema di GDPR possa semplicemente “consegnare le chiavi” di una o più parti dei propri sistemi IT; ritenere che gli obblighi della normativa saranno assolti da un altro soggetto in outsourcing è un errore. Su questo l’art. 28 del Regolamento è molto chiaro: «Qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest’ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato».
In sostanza, il principio cardine del GDPR, cioè quello della accountability (della responsabilità), deve essere rispettato dall’impresa nella definizione di soluzioni tecnologiche che siano in grado di assicurare al meglio la conformità alle direttive europee in materia di privacy. Un principio che vale anche quando della tutela dei dati personali sia stato incaricato un CSP.
Rimanendo in capo all’azienda la titolarità del trattamento dei dati, essa non è esente dall’agire avvedutamente nella selezione del CSP che ricoprirà il ruolo di responsabile del trattamento. Gli adempimenti in proposito sono diversi e vincolanti: dalla verifica delle garanzie che le misure tecniche e organizzative offerte siano conformi alla legislazione, alla stipula di accordi contrattuali che abbiano validità giuridica; dall’autorizzazione previsionale rispetto all’eventuale ricorso ad altri sub-responsabili, alla trasparenza sulla collocazione effettiva dei dati da parte di uno o più tra i CSP delegati alla loro gestione. È evidente che si tratta di un insieme di attività che possono mettere in difficoltà un’impresa, poiché comportano una pluralità di competenze che non sempre sono presenti al suo interno (legale, organizzativa, sistemistica ecc.). Per questo, risulta determinante la collaborazione con partner che, affiancando l’organizzazione nell’individuare i CSP con le caratteristiche richieste dal GDPR, si facciano anche carico di tutti gli aspetti legati al percorso di adeguamento più idoneo alla specifica situazione dell’azienda.