Archivio tag: controller

Cloud e GDPR: come funziona la nomina del fornitore quale responsabile?

A worried man uses his cell phone and you feel surrounded by secret agents
L’art. 28 del GDPR prevede che

1. Qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest’ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato.

3. I trattamenti da parte di un responsabile del trattamento sono disciplinati da un contratto o da altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, che vincoli il responsabile del trattamento al titolare del trattamento e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento (…).

Quando un titolare (impresa, p.a. o professionista) si avvale di servizi cloud (basta pensare a alla suite di Google) il fornitore della nuvola diventa di fatto un responsabile del trattamento, poiché esegue dei trattamenti per conto del titolare: così quando si memorizzano dati dei clienti su Google Drive (per rimanere in tema) Google diventa responsabile del trattamento. Lo deve diventare anche di diritto.

Primo problema: la nomina a responsabile deve essere fatta con un contratto o altro atto giuridico: come faccio a fare un contratto con Mister Google?

Soluzione: il comma 9 prevede:

9. Il contratto o altro atto giuridico di cui ai paragrafi 3 e 4 è stipulato in forma scritta, anche in formato elettronico.

Questo non significa solo che si può fare attraverso un documento informatico (che non avrebbe un gran valore aggiunto rispetto all’equivalente cartaceo) ma in una forma contrattuale elettronica. Quindi anche stipulando il contratto a mezzo web.

Se andiamo a leggere le dichiarazioni di Google, in effetti, notiamo che l’azienda si auto-dichiara responsabile del trattamento (la traduzione Italia del termine data processsor) per conto del titolare.

termg

Dunque si potrebbe ritenere che il titolare, nel momento in cui crea un account su Google, accetta le condizioni alle quali il servizio viene reso: il tutto contrattando via internet. La stessa regola su cui si reggono gran parte delle transazioni commerciali elettroniche.

Secondo problema: il contratto con cui si nomina un responsabile deve avere un contenuto minimo per legge; deve cioè contenere almeno quanto segue:

a) istruzioni documentate del titolare del trattamento,
b) garanzia che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza;
c) adozione di tutte le misure richieste ai sensi dell’articolo 32;
d) rispetto delle condizioni di cui ai paragrafi 2 e 4 per ricorrere a un altro responsabile del trattamento;
e) assistenza al titolare del trattamento con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, al fine di soddisfare l’obbligo del titolare del trattamento di dare seguito alle richieste per l’esercizio dei diritti dell’interessato di cui al capo III;
f) assistenza al titolare del trattamento nel garantire il rispetto degli obblighi di cui agli articoli da 32 a 36,
g) su scelta del titolare del trattamento, cancellazione o  restituzione di tutti i dati personali dopo che è terminata la prestazione dei servizi relativi al trattamento e cancellazione delle copie esistenti, salvo che il diritto dell’Unione o degli Stati membri preveda la conservazione dei dati;
h) messa a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui al presente articolo nonché consenso e contributo alle attività di revisione, comprese le ispezioni, realizzati dal titolare del trattamento o da un altro soggetto da questi incaricato.

Per alcuni di questi adempimenti Google fornisce informazioni nel suo “Data Processing Amendment to G Suite and/or Complementary Product Agreement” precise e aderenti al dettato normativo. Ma.. c’è sempre un ma..

Le informazioni di cui al punto a) –  ad esempio –  sono fornite in modalità per così dire “indiretta” poiché il titolare potrà fornire le istruzioni :

  • agendo sulle diverse funzionalità dei Servizi, ivi incluse le opzioni previste nell’ Admin Console
  • come indicato nel documento stesso (?)
  • “…come documentato ulteriormente in qualsiasi altra istruzione scritta fornita dal Cliente e riconosciuta da Google come costituente istruzioni…

Non mi pare però di aver trovato una casella di posta elettronica cui inviare queste istruzioni e mi chiedo, quindi, come fare in concreto ad inviarle…

Ammesso e non concesso che si trovi tale indirizzo email: cosa fare se Google non le riconosce come istruzioni?

Le istruzioni, infatti, andrebbero inviate e riconosciute come tali prima del 25 maggio 2018.

Anche per tutti gli altri adempimenti, il contenuto è determinato da Google e non poteva essere diversamente. Probabilmente se un’impresa come Google si è preoccupata di allinearsi al GDPR avrà fatto le sue brave valutazioni.

Ora però è il “nostro” turno. Come titolari (o consulenti di titolari) dovremmo fare le nostre valutazioni: non credo ci siano problemi nel caso in cui le istruzioni che il titolare vuol dare al suo responsabile siano già comprese nei termini & condizioni di Google, ma in caso contrario?

Se ad esempio  il titolare volesse-dovesse istruire il responsabile affinché proceda alla crittografia dei dati  o alla pseudonimizzazione?

Se il nominando responsabile non è stato trasparente come Google? Esistono grandi fornitori di servizi cloud che pur essendo al di fuori dell’UE non risultano nel Privacy Shield e quindi, a’ termini di GDPR, non possono essere utilizzati da chi effettua trattamenti in Europa, se non chiedendo un consenso esplicito all’interessato, il che per un titolare con molti clienti (per non parlare della pubblica amministrazione..) non sarebbe affatto agevole o addirittura impossibile.

Cloud è bello, ci solleva da tanti problemi, è comodo, però forse ne pone degli altri. Bisogna scegliere con cura. Viste le sanzioni, con molta cura.