Nella nostra società digitale, il dato ha assunto un ruolo centrale nella vita sociale e professionale, diventando la principale risorsa economica di ogni azienda.

Con la costante crescita di produzione di dati e la sempre maggiore diffusione dell’utilizzo di piattaforme Cloud per la loro gestione e conservazione, le problematiche per il rispetto dei dati personali sono divenute sempre più pressanti.

Le piattaforme Cloud permettono di ottenere, dietro il pagamento di un abbonamento, delle intere infrastrutture informatiche, con annessi servizi sia di sviluppo che di gestione. Il tutto sollevandoci dal dover mantenere o procurarsi tutto l’hardware necessario e riducendo invece le necessità unicamente al doversi dotare di una connessione ad Internet.

Per fare questo, i Cloud Provider costruiscono data center in varie regioni del mondo. Lì installano le macchine fisiche sulle quali i Cloud Customer accederanno per configurare, gestire e sfruttare le proprie infrastrutture.

Proprio questo porta alla problematica del rispetto della privacy dei dati memorizzati dai Cloud Customer: ogni data center, infatti, risponde alle leggi del paese nel quale risiede, leggi che possono essere molto diverse tra loro.

Per le aziende europee e per quelle extra-UE che gestiscono dati personali di cittadini UE, dal 2018 vige il GDPR o General Data Protection Regulation, che detta le regole per la gestione dei dati dei cittadini UE in tutto il mondo.

A rendere ancora più delicato e complesso il compito di chi gestisce tali dati, nel 2020 è arrivata la “Sentenza Schrems II” della Corte di Giustizia Europea che ha portato alla pubblicazione delle linee guida del gennaio 2021, da parte dello European Data Protection Board (EDPB).

Per capire l’impatto del GDPR e della successiva sentenza, è di poche settimane fa la notizia che vorrebbe la chiusura dei server europei da parte di Facebook ed Instagram.

Il GDPR definisce nell’articolo 4, comma 1, il “dato personale” come “qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”.

Per questi dati, il GDPR regola, nel Capo V art. dal 44 al 50, la materia dei “Trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali”, specificando che per fare in modo che il trasferimento dei dati sia legale in paesi terzi (extra UE, nda), questi devono avere delle legislazioni in termini di privacy che possano garantire una protezione equivalente a quella UE.

Vengono fornite anche delle indicazioni su come verificare tale compliance:

1. Tramite una “decisione di adeguatezza” (art. 45): in questo caso è la commissione UE, tramite l’EDPB, che pubblica sui propri siti la lista dei paesi considerati allineati con il GDPR;
2. Tramite strumenti di “adeguate garanzie” (art. 46): vengono utilizzati degli strumenti legali (contratti, accordi vincolanti) con i quali l’importatore garantisce l’adeguamento ai dettami del GDPR. In questo senso, per importatore si intende colui che riceve in custodia i dati, nel nostro caso specifico il Cloud Provider);
3. Per effetto di specifiche deroghe (art. 49).

Nel caso nessuna di queste condizioni si verifichi, il trasferimento è ritenuto illegale e va immediatamente sospeso. Nel caso in cui la sospensione non si verifichi, l’esportatore (nel nostro caso il sottoscrittore o Cloud Customer) è punibile con una sanzione.

Bisogna sottolineare il fatto che il “consenso informato” è previsto nel comma 1 dell’art. 49, quindi se si ottiene il consenso di un utente, questo basta a sanare il trasferimento dei suoi dati. Ovviamente, il consenso dovrà essere molto chiaro e completo (come previsto dal GDPR) nel descrivere i rischi che corrono i dati dell’utente.

Le sentenze Schrems I e Schrems II prendono il nome da Maximilliam Schrems, un’attivista austriaco che nel 2013 denunciò Facebook Ireland Ltd richiedendo che i suoi dati non venissero memorizzati sui server localizzati in USA, perché lì, sosteneva, la sua privacy non sarebbe stata rispettata e chiedeva alla Commissione UE di intervenire per garantirla.

La Corte di Giustizia Europea si è pronunciata due volte, entrambe a favore di Schrems:

• La prima volta il 6/10/2015, dichiarando nullo il trattato “Safe Harbor” allora vigente tra UE e USA per la protezione dei dati;
• La seconda volta il 16/7/2020, confermando l’applicabilità del GDPR per i trattamenti di dati in essere e futuri eseguiti dalle autorità di paesi terzi (extra UE) per finalità di pubblica sicurezza, difesa o sicurezza nazionale.

La conseguenza di tali sentenze è che ogni trasferimento di dati soggetti al GDPR verso gli USA diviene illegale e, pertanto, vietato a meno di non adottare uno degli strumenti indicati all’art. 46 del GDPR.

A livello politico, inoltre, queste sentenze impongono alla Commissione l’obbligo di aprire una trattativa con il governo degli USA per regolamentare adeguatamente la materia.

A seguito delle sentenze Schrems, l’EDPB ha pubblicato, ad inizio 2021, una serie di linee guida per la gestione della nuova situazione venutasi a creare. La più importante è la “Recommendations 202001vo.2.0” che si occupa di dare indicazioni per i trasferimenti di dati soggetti al GDPR.

Queste linee guida descrivono un processo, suddiviso in sei passaggi, per verificare la liceità del trasferimento dati. É necessario implementare tale processo per ogni trasferimento dati verso paesi terzi (esterni all’UE), ed è di competenza dell’esportatore.

I sei passaggi sono:

1. Individuare la nazione nella quale i dati verranno trasferiti;
2. Individuare quale strumento di quelli previsti nel GDPR verrà utilizzato;
3. Verificare se la nazione destinazione ha una legislazione equivalente per quanto riguarda la privacy (è possibile utilizzare questa linea guida);
4. Identificare ed implementare le misure aggiuntive:
   • a. Tecniche (encryption, anonymization, pseudonymization);
   • b. Contrattuali;
   • c. Organizzative;
5. Richiedere eventuali procedure formali, per esempio contattando la propria DPA;
6. Ripetere l’intero processo ad intervalli periodici.

Oltre a questo processo, le linee guida presentano quattro scenari dove le misure addizionali sono sufficienti e due per cui, invece, è impossibile eseguire il trasferimento dati.

Un aspetto importante da sottolineare è che il EDPB da una grande peso alle soluzioni tecniche, che quindi devono essere sempre implementate insieme agli strumenti giuridici del punto 2 ed alle misure contrattuali del 4b.

Il problema sollevato della memorizzazione dei dati in server USA è chiaramente critico, per chiunque lavori nel campo dell’IT.

Fintanto un nuovo accordo non regolamenterà questa situazione, quando si utilizzano tecnologie cloud occorre sempre tenere presente la problematica ed implementare o suggerire le soluzioni tecniche.

Le soluzioni possono essere:

• Memorizzare i dati personali in paesi UE o in paesi GDPR compliant;
• Memorizzare i dati in paesi non GDPR compliant, ma avendo l’accortezza di criptare i dati sia in scrittura che in lettura, memorizzando le encryption key (necessarie per decriptare i dati e leggerli in chiaro) in paesi UE o in paesi GDPR compliant.

Parlando di privacy dei dati su piattaforme Cloud, è facile immaginare ed intuire come la questione riguardi principalmente gli USA.

Data la complessità e la criticità della problematica, è auspicabile che UE e USA raggiungano un nuovo accordo per gestire la questione della privacy.

Fino a quel momento, tutti i professionisti IT che si trovino a lavorare su piattaforme Cloud devono tenere presente la problematica e adottare i necessari passaggi, sia legali che tecnici, per assicurare la legittimità del trasferimento, pena il rischio di sanzioni da parte del DPA.

Dall’altra parte, è impensabile che le aziende americane possano autonomamente risolvere la questione, dato che devono sottostare a leggi che permettono alle autorità governative un accesso ai dati proibito dal GDPR (ad es: 50 USC § 1881°).

È necessaria grande attenzione da parte dei professionisti IT europei ed è assolutamente necessaria una collaborazione tra aziende per continuare a sviluppare e mantenere i dati sul Cloud, in attesa di un nuovo trattato che chiarisca la situazione.