Il cloud provider quale titolare congiunto del trattamento
Featured

Il cloud provider quale titolare congiunto del trattamento

Il 26 giugno scorso l’Autorità Garante per la protezione dei dati personali della Repubblica della Slovenia pubblica un provvedimento (IP – 0612-23/2019/19: in inglese; in sloveno) di grande rilevanza in merito al ruolo da attribuire ai cloud provider.

Il Garante ha avviato un’indagine su un cloud provider che era qualificato come “responsabile del trattamento”, ritenendo però, al termine dell’istruttoria, che il ruolo più corretto è di titolare congiunto del trattamento.
Il Garante ha ricordato che il GDPR stabilisce che il titolare del trattamento è il soggetto che determina le finalità e i mezzi del trattamento, laddove, sulla scorta della giurisprudenza della Corte europea (vedi caso 40-17 Fashion ID) e delle linee guida dell’EDPB del 2020, è pacifico che il responsabile può anche determinare in parte i mezzi del trattamento, nello specifico i mezzi non essenziali (vedi linee guida EDPB, ad esempio può scegliere un software appropriato o il selezione di misure di sicurezza concrete), ma il titolare deve sempre avere una certa influenza sui mezzi, nel senso che quanto meno deve avere decidere quali sono le misure appropriate e quali no, deve vigilare sull’attuazione delle misure di sicurezza, ecc...
Ovviamente a meno che le finalità o le modalità non siano determinate anche dalla legislazione nazionale o comunitaria.

Nel caso del cloud provider, invece, il rischio e la determinazione dei mezzi viene totalmente trasferito al provider. La complessità dei servizi cloud e la scarsa trasparenza rende, quindi, incompatibile l’attività del cloud provider col ruolo di mero responsabile. Il cloud provider non è un soggetto che agisce per conto del titolare, quanto piuttosto un soggetto che prende decisioni in autonomia che contribuiscono all’attuazione delle finalità stabilite del titolare, col risultato che le decisioni dei due soggetti sono convergenti. Come stabilito dalla CGUE, “le decisioni possono considerarsi coincidenti rispetto a finalità e mezzi se si integrano a vicenda e sono necessarie al trattamento in modo tale da avere un impatto tangibile sulla determinazione delle finalità e dei mezzi del trattamento”.

Il cloud provider fornisce un livello di astrazione dell’accesso ai dati per cui il cliente (titolare) non si occupa delle caratteristiche tecnologiche (ubicazione, protocolli, compatibilità software e hardware, ecc...) ma si concentra sulla sola interpretazione dei dati. L’unica sua preoccupazione è di ottenere i dati in modo uniforme, affidabile, sicuro e veloce. Di contro il cloud provider ha un controllo totale sui dati, con una mappatura in tempo reale dei processi e delle relative query. Cliente e cloud provider perseguono finalità interconnesse e complementari.

Tale semplificazione determina il trasferimento delle decisioni in merito ai mezzi del trattamento anche essenziali per cui il cloud provider non può essere ristretto nel ruolo di mero esecutore, cioè responsabile del trattamento, ma contribuisce alle decisioni del titolare, e in tale quadro al cliente-titolare è reso impossibile esercitare il principio di responsabilità nei confronti degli interessati. Per cui è più corretto configurare il cloud provider come titolare congiunto del trattamento.