Come interpretare le nuove regole europee per i servizi cloud

Come interpretare le nuove regole europee per i servizi cloud

Il cloud (Getty Images)
Il cloud (Getty Images)

*A cura di Fabia Cairoli, associate di Dentons; Cecilia Canova, trainee di Dentons; Marco Propato, trainee di Dentons

L’uso di soluzioni sempre più avanzate comporta la necessità di adeguarsi a molteplici disposizioni normative. Queste ultime sono interconnesse, a riprova di un ecosistema di governance che richiede sempre più interventi trasversali e, forse, il ripensamento di un’organizzazione aziendale che si basa spesso su una rigida ripartizione di competenze.

Questa è, quanto meno, la sensazione che si avverte nel valutare due tra le più recenti novità che insistono sul mercato delle cloud solutions. Da un lato, i nuovi modelli di Standard contractual clauses (Scc), che impongono alle aziende di ripensare la gestione dei dati che controllano. Nella revisione dei flussi di dati personali che caratterizzano tutte le aziende – quanto meno, quelle più virtuose che stanno procedendo secondo i dettami dello European data protection board (Edpb), recentemente riassunti nelle Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data (raccomandazioni) – è richiesta un’attiva interazione con i fornitori di cloud solutions, per “ripensare” anche i modelli contrattuali in essere.

Dall’altro lato, pare interessante quanto introdotto da parte dell’Esma (European securities and markets authority) con le recenti Guidelines on outsourcing to cloud service providers (orientamenti), pubblicate nel maggio scorso e la cui applicazione è prevista dal 31 luglio 2021. Per quanto gli orientamenti siano rivolti ad uno specifico settore di mercato, è rilevante osservarne le disposizioni, che ben possono risultare di interesse – e applicazione – per tutti gli operatori.

I trasferimenti di dati personali

Alla luce delle raccomandazioni, le aziende dovrebbero riconsiderare i rapporti contrattuali con i fornitori di cloud solutions. L’approccio deve essere però metodico: anzitutto, non esistono soluzioni che vanno sempre bene per ogni Paese di importazione dei dati e per ogni tipologia di trattamento. In parte, poiché giurisdizioni che presentano profili critici sotto un profilo privacy (per i vari aspetti a ciò connessi si rimanda all’epopea della c.d. Sentenza Schrems) potrebbero però non riguardare un determinato operatore. Ci si deve, quindi, domandare, sulla base della normativa in concreto applicabile, quali problematiche (normative, e non solo) siano riferibili, e pertinenti, rispetto alla propria area di business.

In altra parte, poiché soluzioni spesso invocate dalle aziende, potrebbero non essere in concreto utili o applicabili ad uno specifico trattamento: il ricorso alla c.d. encryption (at rest, in transit e chi più ne ha più ne metta) chiavi in mano – ovverosia, assicurando che l’esportatore mantenga il controllo degli accessi ai dati – non è sempre possibile e/o raccomandata. Vi sono svariati servizi che si appoggiano al cloud che risultano incompatibili con una simile soluzione tecnica, se non altro poiché costringono a rinunciare a funzionalità essenziali di tali servizi o a standard basilari di sicurezza, che non potrebbero operare in assenza di un “controllo” dei dati da parte del fornitore della cloud solution.

Il contenuto minimo dell’accordo di fornitura

Gli orientamenti ricordano alcuni adempimenti (tali, almeno, per gli effettivi destinatari della disposizione dell’Esma) che paiono significativi anche per gli altri operatori che si servono di servizi di cloud in outsourcing. Importante individuare, in un accordo scritto, i diritti e gli obblighi dei fornitori di servizi cloud, comprendendo anche:

  1. una descrizione chiara della funzione esternalizzata;

  2. se è consentita la sub-esternalizzazione e, in caso affermativo, a quali condizioni;

  3. precise disposizioni in merito alla gestione degli incidenti.

Gli accordi sul trattamento

I fornitori di servizi cloud in outsourcing, stando a quanto dispone il Gdpr, dovranno essere adeguatamente nominati responsabili del trattamento. Particolare attenzione dovrà essere posta a:

  1. la organizzazione della sicurezza delle informazioni;

  2. la possibilità o meno di sub-esternalizzare i servizi;

  3. l’effettivo esercizio dei diritti di accesso e audit;

  4. il luogo in cui saranno trattati i dati personali.

La gestione della sicurezza

Gestire la sicurezza delle informazioni significa anche gestire eventuali rischi associati al trattamento delle stesse informazioni. Per prevenire e fronteggiare tali rischi, è necessario, dunque, che le aziende procedano a implementare misure tecniche e organizzative di sicurezza che tengano conto dello stato dell’arte e dei principali standard internazionali di riferimento e che spazino, a titolo meramente esemplificativo, dalla gestione delle risorse materiali e delle risorse umane alla sicurezza fisica degli ambienti e dalla crittografia delle comunicazioni alla gestione degli incidenti. L’invito in tal senso si rintraccia in molteplici fonti: dal Gdpr agli orientamenti, passando per le Scc e per le raccomandazioni.

Le exit strategies

Nella negoziazione di contratti di cloud outsourcing è fondamentale assicurare condizioni che consentano di cessarne gli effetti, laddove necessario, senza arrecare danni agli utilizzatori dei propri servizi. Dagli orientamenti viene rimarcato, insomma, il principio di assicurare una business continuity, proteggendo confidenzialità delle informazioni ma anche la affidabilità dei dati utilizzati (in termini di integrità e disponibilità). L’Esma suggerisce un approccio concreto: assegnare ruoli e compiti per assicurare un’efficace exit strategy, testando anche i potenziali costi, impatto, tempistiche della sua realizzazione.

Conclusioni

Quello che appare sempre più evidente nel settore dei cloud services, è la tendenza del legislatore a stringere la morsa su alcuni profili chiave, intervenendo per il tramite di diversi strumenti normativi. Le disposizioni delle Scc sono richiamate in buona sostanza anche dagli orientamenti, dove viene evidenziata la necessità di valutare “la stabilità politica, la situazione della sicurezza e il sistema giuridico […] dei paesi […] nei quali saranno espletate le funzioni esternalizzate e dove saranno conservati i dati esternalizzati”.

E, ancora, la posizione dell’Esma circa il minimo contenuto di un accordo di fornitura evoca i dettami del Gdpr, in termini di gestione della filiera dei responsabili (e sub) ma anche della gestione di incidenti di sicurezza. Peraltro, vari operatori aderiscono a strumenti di autoregolamentazione, come nel caso dell’Eu Data Protection Code of Conduct for cloud service providers, che ha anche ricevuto approvazione formale dall’Autorità di controllo belga e dall’Edpb. Dunque, in un quadro sempre più stratificato, diventa complesso assicurare la conformità: non solo alle disposizioni normative ma anche a standard di mercato elevati, specie a fronte di un’idea di responsabilizzazione (c.d. accountability) che aggrava il peso di responsabilità delle aziende. Ed è per questo che i processi devono essere pensati in modo integrato e le soluzioni devono essere rivolte al servizio di più problematiche: solo così ci potrà essere efficacia delle misure adottate ma anche efficienza in termini di costi connessi e armonizzazione delle soluzioni.

The post Come interpretare le nuove regole europee per i servizi cloud appeared first on Wired.

Leggi l’articolo completo: Come interpretare le nuove regole europee per i servizi cloud