DATI NEL CLOUD E GDPR

Dati nel Cloud e GDPR

Enrico Fasani

Aesys
 Abstract

Introduzione

Situazione Attuale

Cosa prevede il GDPR

Sentenze Schrems e loro effetti

Le raccomandazioni 01/2020 dell'EDPB

Soluzioni adottabili dalle PMI

Conclusioni
 Introduzione

Nella nostra società digitale, il dato ha assunto sempre più un ruolo centrale nella vita

sociale ed in quella professionale, diventando la principale risorsa economica di ogni azienda in

qualsiasi ambito operi.

Con la costante crescita di produzione di dati [1] e la sempre maggiore diffusione

dell’utilizzo di piattaforme on cloud per la loro gestione e conservazione, le problematiche per il

rispetto dei dati personali sono divenute sempre più pressanti.

 Situazione Attuale

Le piattaforme on cloud permettono di ottenere, dietro il pagamento di un abbonamento,

delle intere infrastrutture informatiche, con annessi servizi sia di sviluppo che di gestione, senza

doversi procurare (e manutenere) tutto l’hardware necessario, ma dovendo dotarsi unicamente di

una connessione ad Internet.

Per fare questo i cloud providers costruiscono data center in varie regioni del mondo, e lì

installano le macchine fisiche sulle quali i cloud customers accederanno per configurare, gestire

e sfruttare le proprie infrastrutture.

Proprio questo porta alla problematica del rispetto della privacy dei dati memorizzati dai

cloud customers: infatti, ogni data center risponde alle leggi del paese nel quale risiede, leggi che

possono essere molto diverse tra loro.

Per le aziende europee e per quelle extra-UE che gestiscono dati personali di cittadini UE,

dal 2018 vige il GDPR o General Data Protection Regulation [2], che detta le regole per la

gestione dei dati dei cittadini UE in tutto il mondo.

A rendere ancora più delicato e complesso il compito di chi gestisce tali dati, nel 2020 è

arrivata la “Sentenza Schrems II” della Corte di Giustizia Europea che ha portato alla

pubblicazione delle linee guida del gennaio 2021, da parte dello European Data Protection Board

(EDPB).

Per capire l’impatto del GDPR e della successiva sentenza, è di queste settimane la notizia

che vorrebbe la chiusura dei server europei da parte di Facebook ed Instagram [3].
 Cosa prevede il GDPR

Il GDPR definisce nell’articolo 4, comma 1, il “dato personale” come “qualsiasi

informazione riguardante una persona fisica identificata o identificabile («interessato»); si

considera identificabile la persona fisica che può essere identificata, direttamente o

indirettamente, con particolare riferimento a un identificativo come il nome, un numero di

identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi

caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o

sociale”.

Per questi dati, il GDPR regola, nel Capo V artt. dal 44 al 50, la materia dei “Trasferimenti

di dati personali verso paesi terzi o organizzazioni internazionali”, specificando come perché il

trasferimento dei dati sia legale i paesi terzi (extra UE, nda) devono avere delle legislazioni in

termini di privacy che possano garantire una protezione equivalente a quella UE.

Vengono fornite anche delle indicazioni su come verificare tale compliance:

- Tramite una “decisione di adeguatezza” (art.45): in questo caso è la commissione UE,

tramite l’EDPB, che pubblica sui propri siti la lista dei paesi considerati allineati con il

GDPR;

- Tramite strumenti di “adeguate garanzie” (art.46): vengono utilizzati degli strumenti

legali (contratti, accordi vincolanti) con i quali l’importatore (cioè colui che riceve in

custodia i dati, nel nostro caso specifico il cloud provider) garantisce l’adeguamento ai

dettami del GDPR;

- Per effetto di specifiche deroghe (art.49).

Nel caso nessuna di queste condizioni si verifichi, il trasferimento è ritenuto illegale e va

immediatamente sospeso altrimenti l’esportatore (nel nostro caso il sottoscrittore o cloud

customer) è punibile con una sanzione.

Da sottolineare è il fatto che il “consenso informato” è previsto nel comma 1 dell’art.49, quindi

se si ottiene il consenso di un utente, questo basta a sanare il trasferimento dei suoi dati:

ovviamente, il consenso dovrà essere molto chiaro e completo (come previsto dal GDPR) nel

descrivere i rischi che corrono i dati dell’utente.

 Sentenze Schrems e loro effetti

Le sentenze Schrems I e Schrems II [4] prendono il nome da Maximilliam Schrems,

un’attivista austriaco che nel 2013 denunciò Facebook Ireland Ltd richiedendo che i suoi dati

non venissero memorizzati sui server localizzati in USA, perché lì, sosteneva, la sua privacy non

sarebbe stata rispettata e chiedeva alla Commissione UE di intervenire per garantirla.

La Corte di Giustizia Europea si è pronunciata due volte, entrambe a favore di Schrems:

- La prima volta il 6/10/2015, dichiarando nullo il trattato “Safe Harbor” [5] allora

vigente tra UE e USA per la protezione dei dati;

- La seconda volta il 16/7/2020, confermando l’applicabilità del GDPR per i trattamenti

di dati in essere e futuri eseguiti dalle autorità di paesi terzi (extra UE) per finalità di

pubblica sicurezza, difesa o sicurezza nazionale.

La conseguenza di tali sentenze è che ogni trasferimento di dati soggetti al GDPR verso gli

USA diviene illegale, e pertanto vietato, a meno di non adottare uno degli strumenti indicati

all’art.46 del GDPR.

A livello politico, impone alla Commissione di aprire una trattativa con il governo degli

USA per regolamentare adeguatamente la materia.

 Le raccomandazioni 01/2020 dell'EDPB

A seguito delle sentenze Schrems, l’EDPB ha pubblicato, ad inizio 2021, una serie di

guidelines per la gestione della nuova situazione venutasi a creare.

La più importante è la “recommendations 202001vo.2.0” [6] che si occupa di dare

indicazioni per i trasferimenti di dati soggetti al GDPR.

In queste linee guida viene descritto un processo in sei passaggi per verificare la liceità del

trasferimento dati.

Tale processo va effettuato per ogni trasferimento dati verso paesi terzi (esterni all’UE), ed

è di competenza dell’esportatore.

I sei passaggi sono:

1. Individuare la nazione nella quale i dati verranno trasferiti;

2. Individuare quale strumento di quelli previsti nel GDPR verrà utilizzato;

3. Verificare se la nazione destinazione ha una legislazione equivalente per quanto

riguarda la privacy (per questo è possibile utilizzare la guideline [7]);

4. Identificare ed implementare le misure aggiuntive:

a. Tecniche (encryption, anonymization, pseudonymization);

b. Contrattuali;

c. Organizzative;

5. Richiedere eventuali procedure formali, per esempio contattando la propria DPA

[8];

6. Ripetere l’intero processo ad intervalli periodici.

Oltre a questo processo, vengono presentati quattro esempi di scenari dove le misure

addizionali sono sufficienti e due dove non è possibile eseguire il trasferimento dati.
 Un aspetto importante da sottolineare è che il EDPB da una grande peso alle soluzioni

tecniche, che quindi devono essere sempre implementate insieme agli strumenti giuridici del

punto 2 ed alle misure contrattuali del 4b.

 Soluzioni adottabili dalle PMI

Il problema sollevato della memorizzazione dei dati in server USA è chiaramente critico,

per chiunque lavori nel campo dell’IT.

Fintanto che la situazione non verrà regolamentata da un nuovo accordo, quando si

utilizzano le tecnologie cloud direttamente od indirettamente presso cliente, occorre sempre

tenere presente la problematica ed implementare o suggerire le soluzioni tecniche.

Le soluzioni possono essere:

- Memorizzare i dati personali in paesi UE o in paesi GDPR compliant;

- Memorizzare i dati in paesi non GDPR compliant, ma avendo l’accortezza di

criptare i dati sia in scrittura che in lettura, memorizzando le encryption key

(necessarie per decriptare i dati e leggerli in chiaro) in paesi UE o in paesi GDPR

compliant.
 Conclusioni

Parlando di piattaforme on cloud, la questione riguarda, come è facile immaginare,

principalmente gli USA.

Data la complessità e la criticità della problematica, è immaginabile (ed auspicabile) che

UE e USA raggiungano un nuovo accordo per gestire la questione della privacy.

Fino a quel momento, tutti i professionisti IT che si trovino a lavorare su piattaforme cloud

devono tenere presente la problematica e adottare i necessari passaggi (legali e tecnici) per

assicurare la legittimità del trasferimento, pena il rischio di sanzioni da parte del DPA.

Dall’altra parte, non è immaginabile che le aziende americane possano autonomamente

risolvere la questione, dato che devono sottostare a leggi che permettono alle autorità

governative un accesso ai dati proibito dal GDPR (ad es: 50 USC § 1881° [9]).

È quindi necessaria grande attenzione da parte dei professionisti IT europei ed è

assolutamente necessaria una collaborazione tra aziende per continuare a sviluppare e mantenere

i dati on cloud, in attesa di un nuovo trattato che chiarisca la situazione.

 Riferimenti

[1] "Data volume of global consumer IP traffic from 2017 to 2022":

https://www.statista.com/statistics/267202/global-data-volume-of-consumer-ip-traffic/

[2] "GDPR testo completo in italiano": https://www.itgovernance.eu/it-it/gdpr-testo-

completo

[3] "Meta potrebbe chiudere Facebook e Instagram in Europa":

https://www.ansa.it/sito/notizie/tecnologia/internet_social/2022/02/07/meta-potrebbe-

chiudere-facebook-e-instagram-in-europa_413c54f6-aacf-4316-ad08-2aaf49589417.html

[4] "Sentenza Schrems": https://it.wikipedia.org/wiki/Sentenze_Schrems

[5] "Safe Harbor ": https://it.wikipedia.org/wiki/Safe_harbor_(diritto)

[6] "Recommendations 01/2020 on measures that supplement transfer tools to ensure

compliance with the EU level of protection of personal data": https://edpb.europa.eu/our-

work-tools/our-documents/recommendations/recommendations-012020-measures-

supplement-transfer_en

[7] "european essential guarantees EDPB guideline": https://edpb.europa.eu/our-work-

tools/our-documents/recommendations/recommendations-022020-european-essential-

guarantees_en

[8] "DPA: Data Protection Authority": https://ec.europa.eu/info/law/law-topic/data-

protection/reform/what-are-data-protection-authorities-

dpas_en#:~:text=DPAs%20are%20independent%20public%20authorities,and%20the%20r

elevant%20national%20laws

[9] "Procedures for targeting certain persons outside the United States other than United

States persons": https://www.law.cornell.edu/uscode/text/50/1881a

 Sitografia

"Lista dei paesi extra UE GDPR-compliant": https://ec.europa.eu/info/law/law-topic/data-

protection/international-dimension-data-protection/adequacy-decisions_en

"EPDB: European Data Protection Board": https://edpb.europa.eu/edpb_en

"Italian DPA": https://www.garanteprivacy.it/