L’EU Cloud Code of Conduct è il primo codice di condotta sui servizi informatici a livello europeo promosso dai più importanti cloud provider italiani ed europei per la sicurezza dei dati personali.
Il Cloud rappresenta oggi l’infrastruttura digitale alla base di gran parte dello sviluppo in campo tecnologico. L’utilizzo di servizi in cloud comporta notevoli vantaggi per le imprese, per i professionisti e per la Pubblica Amministrazione, soprattutto in ragione dell’abbattimento della spesa di tipo informatico. I servizi in cloud rappresentano un grande salto in avanti rispetto alle classiche soluzioni hosting condivise. Si tratta di un mercato in grandissima crescita, dove sono molti anche i cloud provider italiani che giocano un ruolo importante per offrire un servizio che stravolge le vecchie regole del gioco e che porta a pensare a nuove prospettive professionali.
Ricorrere al cloud computing per la realizzazione di applicazioni e servizi informatici, se da una parte comporta sensibili vantaggi in termini di rapidità e di ottimizzazione dei costi, dall’altra richiede ai titolari, in caso di trattamento di dati personali, un’accurata gestione degli aspetti di compliance al Regolamento generale sulla protezione dei dati (GDPR).
Oggi il primo Codice di condotta transnazionale per la tutela dei dati personali è sulle offerte cloud.
Codice europeo per la sicurezza dei dati personali in cloud
Il Board dell’European Data Protection regulation ha approvato - il 20 maggio scorso - il codice di condotta sui servizi cloud, il primo a livello europeo. L’EU Cloud Code of Conductc (EU Cloud CoC) rappresenta il primo codice di condotta avente un carattere e un’applicazione volontaria, che prescinde dai confini nazionali, nato per uniformare la regolamentazion
e in ambito cloud, in conformità con la protezione dei dati personali GDPR (General Data Protection Regulation). L’obiettivo principale è quello di offrire ai cittadini e alle imprese europee la sicurezza dei dati personali all’interno dello spazio economico europeo. L’EU Cloud CoC definisce le migliori procedure e stabilisce delle linee guida in termini di sicurezza e protezione dei dati, la cui adozione garantisce uno standard di adeguatezza al GDPR operato dai cloud providers quali responsabili del trattamento, per orientare i titolari nella scelta di servizi o piattaforme forniti da providers che rispettano tale Codice.
In particolare, l’EU Cloud CoC stabilisce i requisiti che i providers aderenti allo stesso devono rispettare per essere conformi all’European General Data Protection Regulation:
- l’utilizzo di un idoneo sistema di crittografia;
- l’adozione di un solido sistema di sicurezza per la protezione dei dati e la previsione di una governance che stabilisca le modalità di esecuzione delle “best practices” del Codice;
- le modalità di controllo interno nella loro applicazione.
Inoltre, qualora non sia già presente un Data Protection Officer, è previsto l’obbligo per il fornitore di nominare un “point of contact” per la privacy. Tuttavia, viene specificato che l’aderenza al Codice non costituisce una condizione sufficiente per il trasferimento dei dati personali verso un Paese terzo, in questo caso occorrerà comunque svolgere altri adempimenti.
Cos’è la protezione dati personali GDPR
Dal 25 maggio 2018 è divenuto pienamente applicabile in tutti gli Stati membri il Regolamento UE 2016/679 noto come GDPR (General Data Protection Regulation) relativo alla protezione delle persone fisiche con riguardo al trattamento e alla libera circolazione e alla sicurezza dei dati personali.
Con questo regolamento, la Commissione Europea si propone come obiettivo quello di rafforzare la protezione dei dati personali di cittadini dell’Unione europea (UE) e dei residenti nell’UE, sia all’interno che all’esterno dei confini dell’UE, restituendo ai cittadini il controllo dei propri dati personali, semplificando il contesto normativo che riguarda gli affari internazionali, unificando e rendendo omogenea la normativa privacy dentro l’Unione. All’Autorità Garante della Privacy, sono conferiti poteri di indagine, correttivi, autorizzativi e consultivi, oltre al potere di infliggere sanzioni amministrative pecuniarie.
Servizi Cloud cosa sono
I servizi offerti dal Cloud sono di tre tipi:
- SaaS (Software as a Service): fornisce l’accesso al software applicativo (software on demand), senza necessità di installazione, configurazione o altro;
- PaaS (Platform as a Service): fornisce piattaforme di elaborazione con sistema operativo, ambiente di esecuzione del linguaggio di programmazione, database, server web;
- IaaS (Infrastructure as a Service): fornisce l’infrastruttura informatica, le macchine fisiche o virtuali e altre risorse quali firewall, sistemi di bilanciamento del carico, indirizzi IP.
Sono numerosi i servizi che possono essere elaborati in Cloud, non solo le mail, ma anche i servizi di storage (backup online), di contabilità, anagrafe, prenotazione, word processing e così via.
Utilità del nuovo EU Cloud CoC
Il nuovo Codice europeo copre tutte le categorie di offerte Cloud, SaaS (Software as a Service), IaaS (Infrastructure as a Service), PaaS (Platform as a Service) e presenta una serie di requisiti e caratteristiche che i fornitori di servizi cloud devono soddisfare per dimostrare la loro capacità di conformarsi al GDPR. I cloud provider italiani ed europei aderenti dovranno, ad esempio, dotarsi di un Information Security Management System secondo i canoni già previsti dalla normativa ISO 27001/27002 o di solidi sistemi di crittografia. Nell’EU Cloud CoC è presente una sezione sulla governance che disciplina le modalità di adesione, attuazione e controllo nell’applicazione del Codice.
Quanto al contenuto dei codici di condotta, questi non sono che strumenti di autodisciplina finalizzati a “precisare l’applicazione” del Regolamento GDPR (art. 40 GDPR) e il legislatore europeo fornisce nella normativa, alcuni esempi di situazioni in cui questi codici potrebbero essere utili, molte delle quali sono interessate dai codici di condotta esaminati e dedicati ai cloud provider.
Tra gli esempi contenuti nel GDPR e relativi a possibili contenuti dei codici di condotta rientrano il trattamento corretto e trasparente dei dati, i legittimi interessi perseguiti dal responsabile del trattamento in contesti specifici, la disciplina della fase di raccolta dei dati personali, la pseudonimizzazione dei dati personali, la gestione dell’informazione fornita al pubblico e agli interessati, l’esercizio dei diritti degli interessati, la protezione dei minori, le misure volte a garantire la sicurezza del trattamento, la gestione dei data breach e i trasferimenti di dati extra UE.
Nell’EU Cloud CoC è ben specificato che l’adesione al Codice non esime il Cloud Service Provider - o il fruitore - dal porre in essere gli adempimenti necessari per risultare compliant con il GDPR. Il Codice precisa, infatti, che sarà in ogni caso necessario sottoscrivere un contratto o una nomina a responsabile del trattamento (art. 28 GDPR) tra il CSP e il fruitore del servizio cloud, nel quale vengono compiutamente disciplinati gli oneri delle parti, ivi incluse le misure di sicurezza. Il codice di condotta specifica poi che l’adesione al CoC non si presta quale condizione per il trasferimento dei dati personali verso un Paese extra-UE. Anche in questo caso sarà necessario prevedere gli adempimenti “canonici” per poter trasferire i dati personali in un Paese extra-UE, attenendosi ai dettami del Regolamento (artt. 45 e ss.) ed alle recenti indicazioni dell’EDPB e della Corte di Giustizia UE.
Dal Privacy Shield al nuovo Cloud CoC
Il percorso che ha portato al nuovo Codice transnazionale è maturato da alcune importanti considerazioni in materia di trasferimento di dati e privacy. Il 16 luglio 2020, la Corte di Giustizia Europea, con la sentenza “Shrems II” (C-311/18), ha dichiarato invalido il cosiddetto “Privacy Shield”, ovvero l’accordo tra l’Europa e gli Stati Uniti in materia di trasferimento e protezione dei dati personali. La sentenza ha annullato la decisione della Commissione Europea n. 1250/2016, che riteneva tale regime di regolamentazione adeguato e conforme alla normativa europea; infatti, alla luce del Regolamento Europeo 679/2016 (il GDPR), la legge statunitense è stata considerata inidonea a prestare, nel concreto, le stesse garanzie previste dal GDPR sulla protezione dei dati personali.
L’invalidazione del Privacy Shield ha portato alla luce il problema dei servizi di Cloud offerti dai più noti fornitori, dal momento che numerose aziende e singoli utenti se ne avvalgono; a questo proposito, l’European Data Protection Board, nella seduta plenaria del 20 maggio 2021, ha quindi approvato e dato il nulla osta per l’applicazione dell’“EU Cloud Code of Conduct”.
Il Garante Europeo - European Data Protection Supervisor (EDPS), infatti, consapevole che il Cloud computing rappresenta l’infrastruttura digitale alla base di gran parte dello sviluppo in campo tecnologico e del fatto che a tale infrastruttura fanno frequentemente ricorso anche le Istituzioni Europee, ha ritenuto opportuno delineare un’apposita strategia europea per i trasferimenti di dati personali da parte di enti pubblici, che utilizzasse un approccio basato sul rischio e che fornisse orientamenti in grado di perseguire l’obiettivo della compliance anche in relazione ai trasferimenti verso Paesi Terzi. La sentenza della CGUE ha infatti evidenziato come in tali circostanze - in particolare nel caso di esportazioni di dati verso gli USA - i dati riconducibili ai cittadini europei siano sottoposti a specifici rischi, incluse limitazioni ai diritti e alle libertà fondamentali dei soggetti interessati. Alla base della strategia dell’EDPS vi sono il principio di accountability e il principio di cooperazione. Il primo impone ai Titolari del Trattamento di garantire, verificare e dimostrare la conformità al GDPR, anche in relazione ai trasferimenti di dati personali verso Paesi extra-EU. Il principio di cooperazione prevede, invece, la collaborazione tra le Data Protection Authority e le diverse Istituzioni Europee. Nel quadro così delineato, l’EDPS ha richiesto alle Istituzioni Europee di porre in essere una serie di azioni a breve, a medio e a lungo termine.