L’utilizzazione di servizi di cloud pone spesso interrogativi in materia di diritto sulla protezione dei dati
Vi sono aspetti inerenti al diritto sulla protezione dei dati cui dovete prestare attenzione nell’ambito dell’utilizzazione di servizi di cloud. Fra tali aspetti figurano (i) il ricorso a responsabili del trattamento e a sub-responsabili del trattamento, (ii) la sicurezza del trattamento dei dati e (iii) la trasmissione di dati personali in Paesi terzi.
- Überarbeitetes privatim-Merkblatt «Cloud-spezifische Risiken und Massnahmen» (2022)
- Broschüre des deutschen Bundesamts für Sicherheit in der Informationstechnik «Sichere Nutzung von Cloud-Diensten – Schritt für Schritt von der Strategie bis zum Vertragsende» (2016)
- Broschüre des deutschen Bundesamts für Sicherheit in der Informationstechnik «Checkliste zur Auswahl eines Cloud-Dienstes» (2022)
Che cos’è il cloud computing e quando esso è rilevante in materia di diritto sulla protezione dei dati?
Dal punto di vista tecnico per «cloud computing» s’intende la possibilità di acquisire, secondo le necessità, applicazioni e software, capacità di memoria, strumenti di sviluppo, capacità di rete o potenza di calcolo per il tramite di una rete – ad esempio Internet – presso un fornitore di servizi cloud.
Esempi di cloud computing:
- strumenti Office 365 per i collaboratori;
- strumenti per la gestione di indirizzi di posta elettronici per newsletter o consulenza alla clientela;
- sistema CRM (customer relationship management) online;
- caricare video su piattaforme di streaming;
- caricare dati in un server remoto, disponibile su Internet ecc.
Nel quadro di tali esempi si applica il diritto sulla protezione dei dati qualora siano trasmessi dati personali in un cloud.
La relazione tra fornitori di servizi di cloud e utenti dal profilo del diritto sulla protezione dei dati
L’impresa fornitrice di servizi di cloud agisce di regola quale responsabile – o sub-responsabile – del trattamento di dati del cliente (dell’utente cloud) ai sensi dell’articolo 9 della legge federale sulla protezione dei dati (LPD). Il cliente può essere il responsabile del trattamento dei dati come pure il titolare del trattamento medesimo. Quale responsabile del trattamento egli deve adempire i requisiti stabiliti dal titolare del trattamento, in merito ai suoi trattamenti di dati. Quale titolare del trattamento, il cliente è egli stesso responsabile affinché i trattamenti di dati svolti su mandato da fornitori di servizi di cloud siano conformi alla protezione dei dati e i diritti delle persone interessate non risultino pregiudicati da tale delocalizzazione.
Gli obblighi degli utenti cloud
L’utente cloud deve, quale titolare del trattamento, assicurarsi e garantire mediante contratto il rispetto dei requisiti relativi al trattamento dei dati da parte di un responsabile di cui all’articolo 9 LPD. Al riguardo rinviamo alle nostre spiegazioni relative all’outsourcing e al trattamento di dati da parte di un responsabile. Qualora siano comunicati dati all’estero nell’ambito dell’utilizzazione di servizi di cloud, prima di tale comunicazione dev’essere inoltre esaminato se quest’ultima soddisfa i requisiti legali. Al riguardo rinviamo alle nostre spiegazioni sulla comunicazione di dati all’estero.
Sfide inerenti alla conformità
I servizi di cloud sono caratterizzati da un’offerta di soluzioni standardizzate. I clienti non hanno pertanto margini di manovra negoziali e le loro possibilità di adeguare il servizio alle esigenze relative al trattamento di dati sono limitate. In tale contesto il rispetto delle esigenze in materia di protezione dei dati può costituire una vera e propria sfida.
Quale titolare del trattamento avete la responsabilità primaria di provvedere affinché il trattamento di dati avvenga conformemente alla legge. Le disposizioni sulla protezione dei dati personali sin dalla progettazione e per impostazione predefinita (art. 7 LPD) vi obbligano ad adottare i provvedimenti tecnici e organizzativi necessari affinché il trattamento dei dati personali sia conforme alle disposizioni sulla protezione dei dati e a garantire, mediante appropriate impostazioni predefinite, che il trattamento di dati personali sia circoscritto al minimo indispensabile per lo scopo perseguito.
Se il servizio standardizzato non lo prevede, potete esaminare se avete la possibilità di adottare misure tecniche che consentano di eliminare completamente i potenziali rischi per la protezione dei dati. Potete ad esempio criptare interamente o anonimizzare i dati prima di trasmetterli nel cloud. Se tuttavia ciò non è possibile per l’adempimento delle vostre finalità di trattamento, dovete ricercare un servizio alternativo che vi consenta di effettuare tale trattamento di dati nel rispetto della legge o rinunciare alla loro delocalizzazione.
Consigli per i titolari di trattamenti
Conoscere i propri dati e le relative esigenze di protezione.
La prima tappa del controllo della conformità legale della delocalizzazione di dati a un fornitore di servizi di cloud consiste nell’analisi dei dati che devono essere delocalizzati. Si tratta unicamente di dati non personali o anche di dati personali? Se si tratta unicamente di dati non personali non è necessario esaminare le esigenze in materia di protezione dei dati. In quale misura i dati da trattare sono sensibili? Tali dati sottostanno all’obbligo di mantenere il segreto o sono considerati come dati personali particolarmente degni di protezione? Le misure di protezione da adottare dipendono in gran parte dalla natura dei dati. Inoltre, a seconda del trattamento dei dati, potrebbe rivelarsi necessaria una valutazione d’impatto relativa alla protezione dei dati.
Conoscere i potenziali fornitori di servizi di cloud ed esaminare le condizioni di fornitura dei servizi (p. es. le condizioni generali o il contratto di servizio Service Agreement).
In tale contesto si pongono le seguenti domande:
Confidenzialità:
Il fornitore di servizi di cloud dispone di direttive e di processi che assicurano il rispetto della confidenzialità dei dati da parte dei suoi impiegati o che impongono altri obblighi di confidenzialità appropriati? Il fornitore di servizi di cloud è in grado di fornire la prova che i suoi impiegati si attengono a tali obblighi?
Istruzioni:
Il fornitore di servizi di cloud è tenuto secondo il contratto a trattare i dati personali unicamente in base alle vostre istruzioni oppure si riserva il diritto di trattare dati personali per scopi propri?È il contratto a stabilire che il fornitore di servizi di cloud s’impegna a cancellare o a restituire i dati personali al termine del contratto o siete voi che lo potete decidere?
Misure di sicurezza:
Il fornitore di servizi di cloud adotta misure appropriate per proteggere il trattamento di dati che gli è stato affidato dai rischi inerenti alla sicurezza dei dati? Il fornitore di servizi di cloud dispone di una procedura di verifica dell’efficacia e della pertinenza delle misure?
Registro:
Il fornitore di servizi di cloud tiene un registro ai sensi dell’articolo 12 capoversi 1 e 3 LPD e lo mette a disposizione qualora l’IFPDT lo richieda nel quadro di un’inchiesta?
Sub-responsabili:
Il fornitore di servizi di cloud conosce i suoi sub-responsabili? Vi è stata fornita la documentazione degli ulteriori sub-responsabili, contenente in particolare anche informazioni relative ai Paesi in cui i dati sono trattati? Il fornitore di servizi di cloud dispone di una procedura di verifica dei suoi sub-responsabili al fine di assicurare che gli stessi sono parimenti in grado di adempiere alle condizioni che voi gli avete imposto in materia di protezione dei dati? L’accordo concluso dal fornitore di servizi di cloud con i suoi sub-responsabili riflette le medesime esigenze che voi, quali titolari del trattamento, avete imposto ai fornitori di servizi di cloud?
Nel contratto è fissato un termine per la presentazione della documentazione relativa ai sub-responsabili? Si tratta di un termine appropriato che vi consente di controllare la documentazione?
Assistenza:
Riguardo al trattamento dei dati affidatogli, il fornitore di servizi di cloud dispone di una procedura per assistervi a gestire le domande delle persone interessate secondo il capitolo 4 della LPD o in occasione di inchieste condotte dalle autorità incaricate della protezione dei dati?Il fornitore di servizi di cloud dispone di procedure di cui all’articolo 24 capoverso 3 LPD e, all’occorrenza, vi assiste nell’adempimento del vostro obbligo di notifica conformemente all’articolo 24 capoverso 1 LPD?Se svolgete audit, il fornitore di servici di cloud vi aiuta a realizzarli?
Altri temi
Ultima modifica 24.07.2024