L’entrata in vigore del GDPR ha delle interessanti ricadute anche sui servizi in cloud. La normativa offre delle vere e proprie best practices all’insegna di una maggiore chiarezza e sicurezza dei servizi e dei contratti. Le nuove regole, infatti, impongono una maggiore collaborazione tra le società che raccolgono e gestiscono dati personali e i loro fornitori cloud.
Le nuove responsabilità dei cloud provider
Un esempio per tutti è il nuovo regime di responsabilità solidale tra controller e processor introdotto dall’articolo 82 del GDPR. A differenza che in passato, infatti, se si verifica un furto o una perdita di dati, il fornitore dei servizi in cloud potrà essere chiamato a rispondere direttamente e per l’intero ammontare del danno cagionato nei confronti degli interessati. In che caso? Qualora il cloud provider abbia agito in modo difforme rispetto alle istruzioni legittime ricevute dal titolare, specifica la normativa. Il che significa quando il fornitore si sia reso inadempiente rispetto alle obbligazioni relative al trattamento dati formalizzate nella documentazione contrattuale che disciplina le condizioni di servizio o non abbia adempiuto agli obblighi che il GDPR pone direttamente in capo ai responsabili del trattamento dei dati.
A cambiare anche le forme contrattuali
Il GDPR comporta una serie di novità anche rispetto alle modalità e ai fattori di valutazione con cui le aziende devono selezionare i cloud provider e sottoscrivere i servizi. L’aumentata attenzione ai profili relativi alla sicurezza nonché i maggiori oneri di formalizzazione degli obblighi correlati al trattamento dati, infatti, rendono gli accordi di servizio più dettagliati e trasparenti.
Più in dettaglio, l’articolo 28 del GDPR contiene un elenco di contenuti puntuali e specifici che dovranno necessariamente corredare l’accordo con il cloud provider.
Ad esempio, è reso più trasparente il ricorso al subappalto, in quanto il provider dovrà garantire il ribaltamento sui subappaltatori degli stessi obblighi che lo vincolano contrattualmente all’azienda cliente, anche, ed in particolare, per ciò che concerne gli obblighi di sicurezza, rispondendo direttamente nei confronti del cliente in caso di eventuali inadempimenti della propria catena di subfornitura. La normativa è molto chiara: qualora il contratto autorizzi in via generale il provider a ricorrere al subappalto, eventuali modifiche in ordine alla modifica o alla sostituzione di taluno dei subappaltatori dovranno essere comunicate al cliente, al quale, in ipotesi di dissenso rispetto all’intervenuta modifica nella catena di subfornitura, dovrà essere accordata la possibilità di opporsi (presumibilmente, attraverso l’esercizio di un diritto di recesso dal contratto senza alcun costo o onere).
A che punto sono le imprese italiane?
Secondo l’Osservatorio Osservatorio Information Security & Privacy della School of Management del Politecnico di Milano, prima dell’entrata in vigore della normativa oltre un’impresa italiana su due (il 51%), aveva già in corso un progetto strutturato di adeguamento alla nuova regolamentazione UE in materia di trattamento dei dati personali (erano appena il 9% nel 2017) e un altro 34% stava analizzando nel dettaglio requisiti e piani di attuazione. La percentuale di aziende che hanno già un budget dedicato all’adeguamento al GDPR era il 58% (rispetto al 15% del 2017).
Una nuova era per la sicurezza in cloud
Grazie al GDPR il legislatore ha fornito le linee guida di un’impostazione più matura della sicurezza, introducendo un approccio detto risk based. Le misure tecniche e organizzative da implementare a tutela dei dati, dunque, sono quelle che, di volta in volta, ciascuna azienda reputa adeguate. La valutazione deve tenere conto dei rischi insiti nel trattamento e degli eventuali impatti che da tali rischi possano derivare rispetto alla protezione dei dati. Questo perché l’articolo 32 del Regolamento (norma cardine in materia di misure di sicurezza a tutela dei dati) si dirige allo stesso modo e in ugual misura tanto al titolare, quanto al responsabile del trattamento. In sintesi, nel caso di un servizio in cloud non sarà solo l’azienda che valuta e contrattualizza il servizio a dover valutare l’adeguatezza dei livelli di sicurezza garantiti dal provider, ma, ancor prima, dovrà essere quest’ultimo a mettere in atto misure tecniche e organizzative adeguate rispetto ai servizi offerto. Se così non sarà, il provider sarà a rischio di sanzioni che possono anche comportare l’obbligo di risarcimento in caso di violazione delle prescrizioni di legge e di conseguenti danni legati a trattamenti illeciti.
Ancora: tra gli ulteriori obblighi normativamente previsti in capo al provider, assumono particolare rilevanza nel mondo dei servizi cloud l’obbligo di comunicazione delle violazioni della sicurezza che comportino accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati. Rientra nella normativa anche l’obbligo del provider di assistere e cooperare con l’azienda cliente, titolare del trattamento, nel notificare gli eventuali data breaches alle Autorità di controllo e nel comunicarli agli interessati, laddove necessario. Altrettanto importante è l’obbligo che impone la restituzione o la cancellazione dei dati personali al momento della cessazione del servizio.
GDPR oneri ma anche nuove opportunità per i cloud provider
Se da un lato il GDPR comporta maggiore responsabilità e maggiori oneri per i cloud provider, d’altro canto offre loro l’opportunità di accrescere l’affidabilità dei servizi stessi. Questo comporterà un aumento della competitività degli attori sul mercato ma anche uno stimolo ad aumentare l’affidabilità nei confronti della propria clientela, ad esempio attraverso l’adesione ai codici di condotta o il ricorso ai meccanismi di certificazione previsti dal Regolamento, che costituiscono garanzie sufficienti in ordine alla protezione accordata ai dati, al rispetto degli obblighi previsti dalla normativa e alla tutela dei diritti degli interessati.
