Negli ultimi anni stiamo assistendo a una crescita significativa del mercato dei servizi cloud. Da un lato, per via delle politiche commerciali dei vendor, che sempre più di frequente dimostrano di puntare sulla nuvola per ragioni legate alla redditività dei servizi e alla possibilità di ottenere marginalità superiori rispetto quelle rivenienti dal mondo “on premise”, dall’altro lato, per la crescita della domanda, che trova nel cloud risposta a esigenze di flessibilità, scalabilità e fruizione dei servizi secondo logiche “pay per use”, oggi sempre più sentite.
Who's Who
Anna Italiano
Avvocato, Associate Partner di P4I-Partners4Innovation
In questo contesto, si inserisce poi la spinta normativa all’esternalizzazione, di cui – con specifico riferimento alla materia del trattamento dati, che sappiamo essere particolarmente impattante sul ricorso ai servizi cloud – il nuovo Regolamento Europeo sulla protezione dei dati personali costituisce innegabile evidenza.
La nuova normativa contiene, infatti, un serie di novità destinate ad avere un riflesso immediato e diretto in relazione alle modalità e ai fattori di valutazione sulla cui base le aziende selezioneranno i cloud provider e contrattualizzeranno i servizi da essi offerti. Basti pensare all’aggravamento della posizione del data processor (e, quindi, del cloud provider che, normalmente, agisce per l’appunto in qualità di responsabile del trattamento), all’aumentata attenzione ai profili relativi alla sicurezza o ai maggiori oneri di formalizzazione degli obblighi correlati al trattamento dati, che, inevitabilmente, renderanno gli accordi di servizio più dettagliati e trasparenti.
Ma perché il legislatore, a livello europeo ancor prima che nazionale, starebbe spingendo il mercato nella direzione dell’esternalizzazione dei servizi, creando i presupposti, da un lato, per un innalzamento delle garanzie di sicurezza da parte dell’offerta di servizi, dall’altro lato, per incoraggiare le imprese verso l’esternalizzazione dei propri trattamenti?
La risposta è evidente. Se si pensa all’emergenza sicurezza che ha investito l’intero pianeta negli ultimi anni e che è tristemente confermata dagli episodi di cronaca che, con preoccupante ciclicità, siamo ormai abituati a leggere sulle pagine dei giornali, si comprende come la spinta all’esternalizzazione si traduca in spinta all’accentramento della gestione della sicurezza, con l’obbiettivo di innalzare i livelli generali di protezione contro le minacce.
Sotto questo profilo, è, infatti, innegabile come, attraverso l’adozione di servizi cloud, intrinsecamente basati su logiche di economia di scala, le aziende siano poste in condizione di accedere, a costo contenuto, non solo a tecnologie molto avanzate, ma anche a livelli di sicurezza che presumibilmente nessuna azienda “media” in Italia sarebbe in grado di implementare e mantenere autonomamente al proprio interno.
Articolo 82 del GDPR: «Responsabilità solidale tra controller e processor»
In quest’ottica deve essere letto il regime di responsabilità solidale tra controller e processor introdotto dall’articolo 82 del GDPR, che implicherà indubbiamente una maggiore responsabilizzazione dei cloud providers e che costituisce una delle novità assolute introdotte dalla nuova normativa.
A differenza che in passato, infatti, sotto la vigenza della nuova normativa, non solo l’azienda titolare del trattamento, ma anche il cloud provider che agisce in qualità di responsabile potrà essere chiamato a rispondere direttamente e per l’intero ammontare del danno cagionato nei confronti degli interessati, qualora: a) abbia agito in modo difforme rispetto alle istruzioni legittime ricevute dal titolare (cioè, si sia reso inadempiente rispetto alle obbligazioni relative al trattamento dati formalizzate nella documentazione contrattuale che disciplina le condizioni di servizio), ovvero: b) non abbia adempiuto agli obblighi che il GDPR pone direttamente in capo ai responsabili.
Come noto, con il GDPR cambia in maniera significativa anche la materia della sicurezza, non soltanto perché, con impostazione più matura e strettamente legata alla specificità del contesto aziendale in cui la normativa è destinata a trovare applicazione, il legislatore ha introdotto un approccio “risk based” – ove le misure tecniche ed organizzative da implementare a tutela dei dati dovranno essere quelle che, di volta in volta, ciascuna azienda reputi adeguate in relazione ai rischi insiti nel trattamento e agli eventuali impatti che da tali rischi possano derivare rispetto alla protezione dei dati –, ma anche perché l’articolo 32, del Regolamento (norma cardine in materia di misure di sicurezza a tutela dei dati) si dirige allo stesso modo ed in ugual misura tanto al titolare, quanto al responsabile del trattamento. Non sarà, quindi, solo l’azienda che valuta e contrattualizza il servizio a dover valutare l’adeguatezza dei livelli di sicurezza garantiti dal provider, ma, ancor prima, dovrà essere quest’ultimo a mettere in atto misure tecniche e organizzative adeguate rispetto ai servizi offerto. Pena l’esposizione sanzionatoria e risarcitoria prevista in caso di violazione delle prescrizioni di legge e di conseguenti danni da trattamenti illeciti.
Cloud providers, si richiede chiarezza e trasparenza per gli accordi di servizio
La normativa introduce, infine, nuovi oneri di formalizzazione, che imporranno, in capo ai cloud providers, maggiori sforzi di chiarezza e trasparenza nella redazione dei propri accordi di servizio e, in capo alle aziende intenzionate a valutare l’adozione di servizi cloud, una maggiore attenzione ai contenuti contrattuali.
Sotto questo profilo, la norma di riferimento cui guardare è l’articolo 28 del GDPR, che contiene un elenco di contenuti puntuali e specifici che dovranno necessariamente corredare l’accordo con il cloud provider.
Per esempio, verrà reso più trasparente il ricorso al subappalto, poiché, non solo il contratto dovrà disciplinarlo espressamente, pena l’impossibilità del responsabile del trattamento di ricorrere a subappaltatori, ma il provider dovrà, inoltre, garantire il ribaltamento sui subappaltatori degli stessi obblighi che lo vincolano contrattualmente all’azienda cliente, anche, ed in particolare, per ciò che concerne gli obblighi di sicurezza, rispondendo direttamente nei confronti del cliente in caso di eventuali inadempimenti della propria catena di subfornitura. Qualora il contratto autorizzi in via generale il provider a ricorrere al subappalto, eventuali modifiche in ordine alla modifica o alla sostituzione di taluno dei subappaltatori dovranno essere comunicate al cliente, al quale, in ipotesi di dissenso rispetto all’intervenuta modifica nella catena di subfornitura, dovrà essere accordata la possibilità di opporsi (presumibilmente, attraverso l’esercizio di un diritto di recesso dal contratto senza alcun costo o onere).
Ancora: tra gli ulteriori obblighi normativamente previsti in capo al provider, assumono particolare rilevanza nel mondo dei servizi cloud l’obbligo di comunicazione delle violazioni della sicurezza che comportino accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati (cc.dd. data breaches); l’obbligo del provider di assistere e cooperare con l’azienda cliente, titolare del trattamento, nel notificare gli eventuali data breaches alle Autorità di controllo e nel comunicarli agli interessati, laddove necessario; l’obbligo di assistere l’azienda nell’effettuare la DPIA e l’eventuale consultazione preventiva, laddove previsto per legge; l’obbligo di restituzione o cancellazione dei dati personali al momento della cessazione del servizio.
In questo contesto, all’indiscusso aggravamento della posizione e delle responsabilità dei providers di servizi farà da contraltare l’opportunità di accrescere l’affidabilità dei servizi stessi e, in ultima analisi, la propria competitività sul mercato e il livello di trust in essa riposto dalla propria clientela, magari anche attraverso l’adesione ai codici di condotta o il ricorso ai meccanismi di certificazione previsti dal Regolamento, considerati quali indici presuntivi della sussistenza, in capo al fornitore, di garanzie sufficienti in ordine alla protezione accordata ai dati, al rispetto degli obblighi previsti dalla normativa e alla tutela dei diritti degli interessati.
In ultima analisi, il GDPR potrebbe costituire un’opportunità per lo sviluppo di una nuova maturità del mercato dei servizi cloud, contribuendone all’espansione, specie qualora l’offerta si indirizzi verso pratiche contrattuali più eque, trasparenti e bilanciate rispetto a quelle che, in passato, hanno dominato quest’ambito. Sarà interessante vedere se i cloud service provider riusciranno a cogliere e sfruttare appieno il destro offerto loro dal legislatore.