24 Nov Dati personali e cloud computing, adesso la “nuvola” ha il suo standard
Articolo di Luca Bolognini, avvocato, Presidente dell’Istituto Italiano per la Privacy e la Valorizzazione dei Dati, founding partner ICT Legal Consulting – lucabolognini@vecchioistitutoprivacy.dwb.it
Lo scorso agosto l’ente di certificazione internazionale ISO ha pubblicato uno standard specificamente elaborato per i fornitori di servizi di cloud computing. Si tratta dell’ISO 27018, il primo ed unico al mondo nel suo genere, un set di regole costruito sugli standards ISO 27001 e 27002 per garantire il rispetto dei principi e delle norme privacy dettate dalla Direttiva 95/46/CE, da parte dei providers di public cloud che se ne dotano. L’ambizione dichiarata di questo standard è quella di rappresentare una risposta pratica – di privacy by design – alle principali questioni giuridiche, sia di natura legale che contrattuale, legate alla gestione dei dati personali in infrastrutture informatiche distribuite seguendo il modello del cloud pubblico.
Prima di addentrarci nell’analisi delle sue principali caratteristiche, è opportuna una breve digressione sui suoi predecessori, gli standard ISO 27001 e 27002, di cui lo standard in questione costituisce una “lex specialis”, in quanto muove dai principi e dalle procedure da essi presupposti.
- Le basi dell’ ISO 27018: gli standards 27001 e 27002
Il 27001 è uno standard rivolto alle organizzazioni che intendano adottare una policy di gestione dei rischi dei propri sistemi IT (Information Security Management System, ISMS). Esso stabilisce una serie di requisiti generici che i possessori della certificazione sono chiamati ad avere affinchè le informazioni contenute nei propri sistemi IT possano essere ritenute al sicuro, ma non distingue gli enti certificati nè per natura, nè per dimensione.
Ad un livello maggiore di dettaglio si inserisce invece lo standard ISO 27002, attraverso il quale, a partire da un’analisi dei rischi specifici dei propri sistemi IT, gli enti certificati stabiliscono:
- Controlli specifici di sicurezza, che possono essere tratti da quelli contenuti nello standard oppure sviluppati ex novo sulla base delle proprie esigenze, nel rispetto dello standard;
- Elaborare le proprie linee guida per la gestione della sicurezza informatica.
L’ISO 27002 è lo standard da cui ISO 27018 parte e a cui esso rinvia, per quanto non specificamente disposto.
- Perchè lo standard 27018
L’impiego di servizi di cloud computing è divenuto un irrinunciabile driver di efficienza per un grande numero non solo di imprese commerciali, ma anche di enti pubblici. A fronte della diffusione di questo modello computazionale, da qualche anno le autorità garanti dei dati personali hanno messo in guardia i titolari del trattamento di dati personali – tipicamente clienti di cloud provider più grandi e meglio organizzati sul piano economico, tecnico e legale – contro i rischi di scarsa trasparenza sulle modalità e sui soggetti che processano i dati, nonchè di perdita di controllo sui dati personali inviati in “nuvola”.
Scrivevano, infatti, i Garanti Privacy riuniti nel forum europeo Articolo 29, che «Affidando dati personali a sistemi gestiti da un fornitore di servizi cloud, i clienti rischiano di perdere il controllo esclusivo dei dati e di non poter prendere le misure tecniche e organizzative necessarie per garantire la disponibilità, l’integrità, la riservatezza, la trasparenza, l’isolamento , la portabilità dei dati e la possibilità di intervento sugli stessi». (Parere 5/2012 sul cloud computing, p.7).
Lo standard ISO 27018 si inserisce in questo scenario di rischio e introduce una serie di misure, procedure e controlli attraverso cui i providers di servizi cloud garantiscono il rispetto della direttiva europea sul trattamento dei dati personali, rassicurando i potenziali acquirenti circa la possibilità di controllare, sempre e in piena trasparenza, il processo subito dai dati personali entro i sistemi cloud del provider.
Lo standard consente inoltre ai potenziali acquirenti di verificare la posizione del venditore rispetto agli obblighi privacy, sia esaminando i documenti forniti da un certificatore terzo a seguito di audit 27001, oppure rivedendo la lettera periodica con cui l’ISO garantisce che gli enti certificati hanno implementato tutti i controlli previsti dallo standard 27018.
Questa procedura è stata espressamente consigliata dalle autorità garanti europee nel parere citato sopra: «La verifica o la certificazione indipendente effettuata da un terzo affidabile può essere uno strumento credibile per i fornitori cloud per dimostrare la conformità con gli obblighi posti a loro carico» (Parere 5/2012, p.24). Essa va dunque qualificata come una best practice che gioverà grandemente alla credibilità e reputazione dei fornitori cloud che se ne doteranno, in quanto sembra poter dare piena prova della conformità del provider certificato con i principi privacy sanciti dalla direttiva.
Nel dettaglio, un fornitore di un servizio cloud controllato per essere compliant con ISO 27018 deve garantire che:
- l’interessato possa esercitare i propri diritti nei confronti del Titolare, nonostante i suoi dati siano processati da un responsabile esterno e in una nuvola informatica. E’ infatti un obbligo preciso del fornitore, ai sensi dello standard, offrire al Titolare del trattamento, suo cliente, dei tools appropriati che assicurino l’esercizio dei diritti da parte dei soggetti cui i dati si riferiscono.
- i mezzi del trattamento sono esattamente rispondenti a quelli indicati nella policy resa nota all’acquirente dei servizi fin dall’inizio, con esplicita previsione che, nel caso un mutamento di mezzi si rendesse necessario per ragioni tecniche, il cliente ne sia prontamente informato e abbia la facoltà di opporsi oppure uscire dal contratto.
- i dati personali in cloud non siano trattati per ragioni di marketing diretto o pubblicitarie, a meno che non vi sia l’esplicito consenso dell’interessato, ma in ogni caso ciò non può mai costituire una precondizione posta dal fornitore al cliente per la fornitura del servizio.
- i clienti conoscano fin da subito i nomi degli eventuali sub-processors, e il posto in cui essi sono stabiliti, con diritto di opporsi ad eventuali modifiche nella catena dei subfornitori, ovvero dei paesi di loro stabilimento. Può anche essere prevista l’opzione di risolvere il contratto a fronte di tali mutamenti.
- i clienti ricevano notizia tempestiva delle violazioni di dati personali (data breaches), al fine di poter a loro volta darne notizia alle autorità di controllo (e agli interessati) nei tempi previsti dalla legge.
- siano disciplinate le modalità di restituzione dei dati personali al cliente una volta terminato il contratto (cd. transfer back).
- i suoi servizi siano soggetti a verifiche periodiche di conformità agli standard di sicurezza, di cui sia fornita evidenza ai clienti.
- tutto il suo personale addetto al trattamento di dati personali sia vincolato da patti di riservatezza (non disclosure agreements) e riceva adeguata formazione.
Le norme appena illustrate allineano il trattamento di dati personali nella “nuvola” ai più alti standard e principi normativi in materia. Esse forniscono un rimedio alle problematiche contrattuali più diffuse in fatto di servizi cloud, caratterizzati spesso da offerte e condizioni predisposte dai fornitori e non negoziabili dai clienti, spesso incompatibili con le obbligazioni che il cliente di servizi cloud assume quale Titolare del trattamento per effetto della legge privacy applicabile. Aderendo all’ISO 27018, i fornitori cloud segnalano ai (potenziali) clienti la propria disponibilità ad incorporare i valori della normativa europea di protezione dei dati personali, e ciò testimonia l’assoluta utilità di questo standard anche rispetto alla strategia delineata dalla Commissione Europea nella Comunicazione “Unleashing the potential of cloud computing in Europe”, nella quale l’esecutivo comunitario si poneva l’obiettivo di sviluppare uno standard europeo per la certificazione dell’offerta di servizi cloud in Europa. ISO 27018 non è ovviamente il prodotto finale di quella strategia, ma ad essa fornirà un termine di comparazione di grande qualità, per la robustezza e il valore delle sue norme.
Va comunque precisato che l’adesione allo standard ISO 27018 da parte di un provider non si traduce – necessariamente – in una trasposizione delle sue clausole in sede contrattuale: essa rimane infatti affidata alla libertà delle parti. Tuttavia, per quanto una tale trasposizione non possa inferirsi automaticamente, ISO 27018 rappresenta per i clienti cloud un’ottima “checklist” in fase acquisto dei servizi cloud, a cui fare riferimento per un raffronto puntuale con la normativa primaria privacy applicabile al provider e una valutazione circa la sua “ingaggiabilità”.
- Niente marketing in cloud e notifica delle data breaches
Tra le norme dello standard riportate in precedenza, due rivestono un’importanza particolare.
La prima è quella che fa divieto al fornitore di servizi cloud non soltanto di trattare i dati ad esso affidati per ragioni di marketing non previamente accettate dagli interessati – condotta che di suo sarebbe comunque illegale nel contesto giuridico europeo – bensì esige che il fornitore non condizioni l’erogazione dei servizi cloud alla possibilità di marketing diretto nei confronti degli interessati, i cui dati siano trattati dal cliente-titolare per proprie legittime finalità. Questa regola incorpora i principi di finalità e proporzionalità del trattamento sanciti dal diritto europeo fin dal suo livello più alto, quello della Carta dei Diritti Fondamentali, perchè da un lato richiede che i dati personali non siano trattati per fini diversi da quelli per i quali siano stati raccolti, e dall’altro frappone un ostacolo al trattamento non necessario di dati personali da parte del provider di servizi cloud.
La seconda norma degna di nota è quella che impone ai fornitori la notifica delle cd. data breachesai propri clienti, in quanto essa anticipa il contenuto degli articoli 31 e 32 della proposta di Regolamento Europeo per la protezione dei dati personali attualmente in discussione a Bruxelles. Una volta entrate in vigore, queste due norme generalizzeranno per tutti i titolari del trattamento l’obbligo di avvertire le autorità di controllo e gli interessati in caso di violazioni dei dati personali da essi trattati, mentre la normativa europea oggi applicabile (la Direttiva 2002/58/CE sulla privacy nelle comunicazioni elettroniche) impone tale segnalazione soltanto ai fornitori di servizi di comunicazione elettronica accessibili al pubblico. Anche quest’ultima configura senza dubbio una best practice di sicuro giovamento tanto per i fornitori quanto per i clienti di servizi cloud.
- Ulteriori osservazioni e conclusioni
Per completezza dell’analisi fin qui condotta va però osservato che lo standard ISO 27018 non sostituisce alcuna delle basi giuridiche oggi richieste per il trasferimento di dati personali all’estero (ad es. clausole contrattuali standard, Binding Corporate Rules, Safe Harbor ecc.). Dovrà quindi essere cura del Titolare fare in modo che il trasferimento di dati fuori dall’Unione Europea avvenga nel rispetto di una delle condizioni imposte dalla Direttiva 95/46/CE.
In definitiva, si può concludere che ISO 27018 costituisce un’innovazione pregevole che contribuisce a rendere intelligibile, sotto un’ottica di protezione e valorizzazione dei dati personali, il variegato panorama dei contratti e dei fornitori di servizi cloud.