Cloud computing, trasferimento di dati all'estero e Safe Harbor

Cloud computing, trasferimento di dati all'estero e Safe Harbor

Cloud computing

I servizi di cloud computing sono una delle tecnologie di maggior successo e che promette di di rivoluzionare il mondo dell'information technology. Il cloud computing rende possibile l'utilizzazione di spazi di memorizzazione, software, server virtuali e qualsivoglia altra tipologia di ambiente di sviluppo, mediante il collegamento a server remoti gestiti da terze parti (cloud provider), quindi senza che sia necessario caricare le risorse sul proprio sistema informatico. 

 

La peculiarità del cloud computing è l'erogazione di un servizio (le prestazione sono caratterizzate dalla locuzione "software as a service"), così ribaltando il tradizionale modello nel quale l'utente è proprietario della gestione delle risorse informatiche, passando ad un modello nel quale ciò che conta è la possibilità di accedere (tramite internet, infatti l'unica risorsa indispensabile è l'accesso alla rete) al servizio (cultura dell'accesso).
Ciò comporta una maggiore rilevanza del contratto di fruizione del servizio, non essendo più l'utente proprietario delle risorse (il programma). Occorre quindi che il cloud provider assicuri la continuità della prestazione e necessita una attenta regolamentazione del rapporto tra fornitore e utilizzatore.

Sotto il profilo giuridico il contratto di cloud computing non ha una struttura propria ma ricorre a diversi schemi negoziali tipici (contratto misto), e precisamente l'appalto di servizi e il contratto di licenza.
L'appalto di servizi consiste nella prestazione di un'attività che si realizza nell'obbligo di fornire un servizio a fronte di un corrispettivo, quindi consiste in un obbligo di facere. Nel caso specifico si tratta della fornitura di memoria di massa sui server del provider e degli altri servizi collegati. Ovviamente l'obbligazione assunta dal provider dovrà essere inevitabilmente di risultato.
Il contratto di licenza specifica, invece, le modalità di utilizzazione del servizio da parte dell'utente (contratto d'uso), indicando eventuali modalità di ridistribuzione e imponendo dei vincoli.

Nella redazione dei contratti di cloud è frequente l'inserimento di ulteriori clausole, come ad esempio l'esternalizzazione (outsourcing) di servizi, specialmente per le aziende. Anche l'outsourcing è una forma di appalto di servizi qualificato con il quale vengono esternalizzate attività produttive dell'azienda, quindi non solo strutture ma anche risorse umane.

I contratti di cloud computing sono costituiti da tre documenti: le condizioni generali del servizio, la policy relativa al comportamento delle parti, l'informativa sul trattamento dei dati. I contenuti concernono i profili generali del contratto, cioè durata, corrispettivo, giurisdizione, e i profili informativi, cioè la gestione delle informazioni immesse nel cloud.

La giurisdizione è un problema molto rilevante poiché la maggior parte dei cloud provider ha sede all'estero, principalmente si tratta di aziende americane. La legislazione europea differisce da quella americana e in particolare in materia di protezione dei dati personali le norme degli Usa sono meno tutelanti rispetto a quelle europee. L'esigenza del provider è, ovviamente, di semplificare la gestione dei contratti, ricorrendo a clausole pattizie per un gestione uniforme, di contro le norme nazionali ed europee (regolamento CE n. 593/2008, sostitutivo della Convenzione di Roma del 19 giugno 1980, e Convenzione di Bruxelles) sono inequivoche nello stabilire l'applicabilità al contratto della legge in cui risiede il consumatore.
Inoltre il legislatore italiano esclude che il consumatore possa essere privato della tutela minima chiesta dal Codice del Consumo (art. 143: 1. I diritti attribuiti al consumatore dal codice sono irrinunciabili. E' nulla ogni pattuizione in contrasto con le disposizioni del codice. 2. Ove le parti abbiano scelto di applicare al contratto una legislazione diversa da quella italiana, al consumatore devono comunque essere riconosciute le condizioni minime di tutela previste dal codice).

Frequenti, infine, sono le clausole per limitare la responsabilità del cloud provider, principalmente quelle derogatorie del foro competente, ovviamente si tratta di clausole vessatorie, e come tali vanno trattate.

Trasferimento di dati all'estero
La problematica principale dei servizi di cloud riguarda la tutela dei dati personali e in particolare il trasferimento di dati all'estero.
Il trasferimento di dati personali da paesi appartenenti all'UE verso paesi terzi è vietato in linea di principio (articolo 25, comma 1, della Direttiva 95/46/CE), a meno che il paese extra UE non garantisca un livello di protezione "adeguato".
Il trasferimento è però consentito nei casi menzionati dall'articolo 26, comma 1, della Direttiva 95/46 (consenso della persona interessata, necessità del trasferimento ai fini di misure contrattuali/precontrattuali, interesse pubblico preminente, ecc.), nonché sulla base di strumenti contrattuali che offrano garanzie adeguate (articolo 26, comma 2, della Direttiva 95/46).

Per quanto riguarda l'Italia, il trasferimento dei dati all'estero è disciplinato dal titolo VII (art. 42 e segg.) del Codice in materia di protezione dei dati personali.
L'art. 42 salvaguarda la libera circolazione dei dati all'interno del territorio dell'Unione europea, mentre l'art. 43 del Codice regolamenta, invece, il trasferimento dei dati in paesi extracomunitari, consentendolo nelle ipotesi tassativamente indicate, come riprese dall'art. 25 della direttiva citata:

- quando l'interessato ha manifestato il proprio consenso espresso o, se si tratta di dati sensibili, in forma scritta;
- quando è necessario per l'esecuzione di obblighi derivanti da un contratto del quale è parte l'interessato o per adempiere, prima della conclusione del contratto, a specifiche richieste dell'interessato, ovvero per la conclusione o per l'esecuzione di un contratto stipulato a favore dell'interessato;
- quando è necessario per la salvaguardia di un interesse pubblico rilevante individuato con legge o con regolamento o, se il trasferimento riguarda dati sensibili o giudiziari, specificato o individuato ai sensi degli articoli 20 e 21;
- quando è necessario per la salvaguardia della vita o dell'incolumità fisica di un terzo. Se la medesima finalità riguarda l'interessato e quest'ultimo non può prestare il proprio consenso per impossibilità fisica, per incapacità di agire o per incapacità di intendere o di volere, il consenso è manifestato da chi esercita legalmente la potestà, ovvero da un prossimo congiunto, da un familiare, da un convivente o, in loro assenza, dal responsabile della struttura presso cui dimora l'interessato. Si applica la disposizione di cui all'articolo 82, comma 2;
- quando è necessario ai fini dello svolgimento delle investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397, o, comunque, per far valere o difendere un diritto in sede giudiziaria, sempre che i dati siano trasferiti esclusivamente per tali finalità e per il periodo strettamente necessario al loro perseguimento, nel rispetto della vigente normativa in materia di segreto aziendale e industriale;
- quando è effettuato in accoglimento di una richiesta di accesso ai documenti amministrativi, ovvero di una richiesta di informazioni estraibili da un pubblico registro, elenco, atto o documento conoscibile da chiunque, con l'osservanza delle norme che regolano la materia;
- quando è necessario, in conformità ai rispettivi codici di deontologia di cui all'allegato A), per esclusivi scopi scientifici o statistici, ovvero per esclusivi scopi storici presso archivi privati dichiarati di notevole interesse storico ai sensi dell'articolo 6, comma 2, del decreto legislativo 29 ottobre 1999, n. 490, di approvazione del testo unico in materia di beni culturali e ambientali o, secondo quanto previsto dai medesimi codici, presso altri archivi privati.

Il trasferimento verso Stati non membri dell'Unione europea è comunque possibile quando è autorizzato dal Garante per la protezione dei dati, sulla base di specifiche garanzie per l'interessato. Tali ipotesi sono dettagliate nell'art. 44 del Codice.

Al di fuori delle ipotesi tratteggiate negli artt. 43 e 44, il trasferimento di dati all'estero, verso un paese non appartenente all'Unione europea, è vietato (art. 45) se il paese terzo non assicura un livello di tutela adeguato. È la Commissione europea che ha il potere di stabilire tale adeguatezza (lista delle decisioni di "adeguatezza") attraverso una specifica decisione (articolo 25, comma 6, della Direttiva 95/46/CE).

Safe Harbor
Le aziende americane (la maggioranza dei servizi di cloud e in genere i servizi online sono gestiti da aziende americane) sono avvantaggiate perché (nonostante la normativa americana sia meno tutelante rispetto a quella europea) esiste uno specifico accordo negoziato tra Usa ed Unione europea nel 2000, in base al quale le aziende americane (qui la lista delle aziende aderenti) che vogliono trattare dati dei cittadini europei dichiarano di rispettare standard di tutela equivalenti a quelli europei.
Quindi, le aziende americane per poter trattare dati dei cittadini europei (e trasferirli negli Usa), devono aderire al programma Safe Harbor (approdo sicuro), il quale è stato poi autorizzato dalle autorità nazionali, in tal modo i trasferimenti verso gli Usa non necessitano di singole autorizzazioni.

L'adesione al Safe Harbor avviene a seguito di autocertificazione con la quale l'azienda dichiara di rispettare determinati requisiti, esiste comunque un controllo demandato alla FTC, ma spesso viene attuato in-house (cioè dalla stessa azienda), oppure delegato ad altre aziende private.

Il programma Safe Harbor stabilisce alcuni principi che rispecchiano la direttiva in materia di protezione dei dati personali:
- informativa: le organizzazioni devono informare gli utenti in merito alle finalità per le quali vengono raccolte e utilizzate le informazioni, alle modalità della raccolta, agli eventuali terzi a cui vengono girate le informazioni ed infine alle modalità per contattare l'azienda per quesiti o reclami;
- finalità: le informazioni non devono essere utilizzate per scopi diversi da quelli della raccolta e devono essere pertinenti;
- consenso: le organizzazioni hanno obbligo di consentire agli utenti di scegliere se le informazioni che li riguardano possono essere rivelate a terzi -es. il commercialista- ovvero utilizzate per fini incompatibili con quelle per cui erano state originariamente raccolte o con quelli successivamente autorizzati dall'interessato;
- sicurezza: le organizzazioni devono garantire la sicurezza dei dati da perdita ed abusi;
- correttezza: le organizzazioni devono assicurare la possibilità degli interessati di accedere alle informazioni che li riguardano e di poterle correggere o eventualmente richiederne la cancellazione.

Già nel 2004 uno studio aveva evidenziato le gravi carenze del sistema Safe Harbor, l'assenza di controlli e la mancanza di effettive sanzioni. Secondo un altro studio del 2008 (Galexia), alcune aziende americane fingevano semplicemente di far parte del programma Safe Harbor, oppure avevano le certificazioni scadute.
Nel 2013 il Commissario Reding ha sostenuto che forse il "porto sicuro" non era così sicuro, e le autorità tedesche per la protezione dei dati personali in un comunicato hanno criticato aspramente le modalità di gestione del Safe Harbor.

A seguito dello scandalo delle intercettazioni dell'NSA nell'ambito del programma di spionaggio PRISM, sono venute alla luce le falle del sistema di tutela dei dati. L'amministrazione Obama ha rilasciato dettagli molto limitati sul sistema PRISM, descrivendolo come un programma anti-terrorismo che opera ai sensi della sezione 702 del Foreign Intelligence Surveillance Act e consente al governo di acquisire informazioni "mirate" relativamente alle persone situate al di fuori degli Stati Uniti. L'Europa ha però precisato che deve essere chiaro quali informazioni vengono raccolte e quanto siano "mirati" gli ordini delle corti (FISA) che autorizzano tale raccolta.

Numerose sono le critiche mosse all'accordo Safe Harbor, fino al punto di suggerire il blocco dello stesso accordo e di conseguenza del trasferimento dei dati dei cittadini europei negli Usa, da parte delle aziende americane.