Riflessioni a tutto tondo su problematiche giuridiche riguardanti l’ubicazione delle informazioni, i profili multi-giurisdizionali e lo strumento del consenso per sancire la fattibilità del trasferimento dei dati personali dentro e fuori i confini europei.
Impegnata a inquadrare cosa ha comportato e cosa sta comportando il trasferimento progressivo dei dati dai computer locali ai cloud service provider, in qualità di research fellow in intellectual property law presso l’Università Commerciale Luigi Bocconi di Milano, Aura Bertoni, riporta per un momento l’attenzione al 1996 e alla dichiarazione di indipendenza del cyberspazio inteso come «mondo virtuale a sé stante rispetto all’universo reale, e come tale, privo di confini, di nazioni e, di conseguenza, di giurisdizioni».
Quindici anni dopo, il volto di Internet non è solo cambiato radicalmente ma è anche riuscito a guadagnarsi un livello di invasività della sfera quotidiana che, attraverso l'”Internet delle cose“, ha invaso i confini domestici facendo perdere significato pratico al concetto di trasferimento.
«Peccato – è la puntualizzazione – che, tradizionalmente, il diritto attribuisce un profondo valore all’ubicazione geografica dei dati determinando, così, le questioni giurisdizionali così come le conosciamo».
Ma tant’è.
Nel contesto in cui ci troviamo il punto è verificare se il cloud, «che rappresenta un’applicazione delle enormi potenzialità del Web, determina o meno criticità ulteriori per quanto concerne il trasferimento dei dati».
La risposta è positiva e nelle categorizzazioni realizzate dalla nostra interlocutrice mette in luce problematiche giuridiche qualitative e quantitative.
Dal punto di vista delle prime, il riferimento è alla catena di rapporti tra IaaS, PaaS e SaaS e all’identificazione quest’ultime come «assolutamente collegate tra loro a conforto di uno degli aspetti caratteristici del cloud, che è l’integrazione, in grado di determinare le sembianze di un servizio “sulla nuvola”».
I problemi subentrano nel momento in cui, è l’esempio citato da Bertoni, l’utente consumatore che acquisisce un Software as a Service come Dropbox, spesso non è cosciente che quest’ultimo acquisisce servizi di Infrastructure as a Service da Amazon.
«Il ché non crea solo una catena di rapporti che complica l’identificazione della ubicazione dei dati, ma palesa un’integrazione proveniente dal lato della domanda che non sceglie più un solo cloud service provider ma pesca differenti servizi da soggetti diversi tra loro».
Il quadro identificato da Bertoni è, dunque, più di “fog computing” che di “cloud computing” in cui la scelta dei singoli riguarda l’abbinamento di diverse apps che possono anche creare una serie di sovrapposizioni «all’interno delle quali identificare in un determinato momento dove un dato sia, non è cosa facile».
In merito alle specificità quantitative a subentrare sono, invece, esigenze di carattere organizzativo, economico e tecnico dei cloud service provider che, «per adempiere a determinati standard di sicurezza, si trovano ad adottare un sistema di ridondanze multiple che rimbalzano un determinato dato in server diversi posizionati in luoghi tra loro distanti e, quindi, soggetti a profili multi-giurisdizionali» che già caratterizzano il Web.
In un caso, come nell’altro, richiedere di limitare a un solo Stato l’ubicazione del dato è possibile «solo per quelle realtà che hanno forte potere contrattuale, mentre le Pmi sono solitamente interdette nella scelta di ubicazione del server di riferimento».
Disciplina comunitaria
Tenuto conto che, quando ci riferiamo alle cloud pubbliche, parliamo di spazi condivisi tra diversi utenti «in cui è alto il rischio di violazione della privacy», il trasferimento dei dati personali palesa problematiche di profilazione degli utenti cloud e di accesso a prove di carattere digitale «a cui le autorità giudiziarie possono riferirsi in caso di indagini penali anche tra diverse giurisdizioni».
Considerato l’articolo 29 della direttiva 2002/58/Ce del Parlamento europeo riguardante la conservazione di dati generati o trattati nell’ambito della fornitura di servizi di comunicazione elettronica accessibili al pubblico o di reti pubbliche di comunicazione, «il trasferimento verso un server collocato in un Paese terzo soggiace sicuramente alla disciplina comunitaria per quanto concerne l’esportazione dei dati».
In merito, quest’ultima prevede due norme cardine (identificate negli artt. 25 e 26) che ne determinano, rispettivamente, condizioni e deroghe «che, nel caso del trasferimento dei dati – sottolinea Bertoni – sono diventate quel che accade normalmente e che l’Europa ha incardinato rispetto al principio di adeguatezza per il trattamento dei dati personali».
A fronte dei circa 8 Paesi considerati “adeguati”, realtà come gli Stati Uniti funzionano attraverso rapporti ad hoc o strumenti contrattuali regolati da clausole standard o stipulate dalle parti che gli Stati Membri e la Commissione europea ritengono adeguate.
Tuttavia, «l’articolo 26 pocanzi citato stabilisce, tra le altre cose, che il trasferimento dei dati avviene attraverso lo strumento del consenso che, qualora sottoscritto dalle parti, sancisce la fattibilità del trasferimento stesso».
Una procedura «quanto meno ingombrante e poco efficace» e che, come spesso accade, non ha prodotto altro «che un certo interesse da parte di numerosi cloud provider a collocare i propri server in acque internazionali».
Il principio di collocazione geografica
Come se non bastasse, nel trasferimento dei dati «a farla da padrona è il criterio di collocazione geografica attorno al quale ruota la normativa comunitaria rispetto al trattamento dei dati personali dando vita, però, a un’interpretazione “iperestensiva”, vista l’identificazione del luogo di stabilimento del responsabile del trattamento dei dati personali o del luogo in cui gli strumenti utilizzati per il medesimo scopo sono collocati».
Ciò detto, appare ai più chiara la sovraesposizione di disciplina a cui i cloud service provider devono adempiere per non risultare responsabili. Non a caso, quella di cui parla Artoni è sì una disciplina europea «dalla quale derivano, però, 27 implementazioni differenti, mentre su base globale occorre fare i conti con le discipline vigenti in ulteriori Nazioni».
Possibili soluzioni
Convinta che la protezione dei dati e non come questi vengono trasferiti sia la questione reale da considerare, le conclusioni della referente bocconiana, sono rivolte «a impedire l’accesso non autorizzato a dati intellegibili rispetto a una restrizione tout court dell’esportazione dei dati tramite strumenti utili a criptare e, quindi, a proteggere i dati da trasferire».
Qui, il suggerimento per l’area europea è quello di applicazione del Paese di origine per una completa armonizzazione «che permetterà ai cloud service provider di sottoscrivere e sottostare alla disciplina del proprio Paese d’origine» come, in qualche misura accade in Australia che, nell’ambito del trattamento dei dati personali segue i propri cittadini riconoscendosi competente solo in merito a quel che rientra tra i suoi confini.
L’approccio canadese, preferito dalla Artoni, ruota infine «attorno al principio della accoutability che, all’opposto di quello europeo, non si focalizza sull’adeguatezza dello Stato rispetto alla disciplina che quello stesso Stato fornisce per la protezione dei dati, ma gravita attorno alla responsabilità di chi effettua il trattamento dei dati e che come tale ne è responsabile e deve, dunque, risultare adeguato sgravando lo Stato di un compito che non gli compete».
- La Ue vuol sapere come vogliamo l’Internet delle cose
- L’Internet delle cose è un equilibrio fra capacità di rete e Qos
- Internet of things: una visione italiana
- Con Thunderbolt, inizia una nuova nel trasferimento dati
- Contratti cloud: il parere di due Studi Legali
- Outsourcing e Crm saranno le armi dei provider nel 2012
- Cloud e sicurezza: ai provider interessa ancora poco
- Se il dato è al sicuro è un bene per clienti e canale