Testata iscritta al tribunale di Roma n. 129/2012 del 3/5/2012. ISSN: 2280-4188

Il Documento Digitale

IL TRASFERIMENTO DEI DATI PERSONALI NEGLI USA NEI SERVIZI DI CLOUD COMPUTING FRA SAFE HARBOR E PRIVACY SHIELD

di Michele Martoni e Michela Rossi

I servizi di cloud computing consentono di archiviare e gestire a distanza enormi quantità di dati. Tali servizi implicano il trasferimento dei dati nei server dei cloud provider che possono essere dislocati anche in paesi extraeuropei. Ciò comporta la conseguenza che l’utente potrebbe non conoscere l’esatta ubicazione dei propri dati. La problematica è di non poco conto tanto che già nel 2011 il Garante per la protezione dei dati personali ha ritenuto doveroso suggerire agli utenti di valutare con attenzione se utilizzare i servizi di cloud computing oppure mantenere in house il trattamento dei dati personali, soprattutto se questi per loro natura esigono l’adozione di partcolari misure di sicurezza.


I servizi di cloud computing consentono di archiviare e gestire a distanza enormi quantità di dati. Tali servizi implicano il trasferimento dei dati nei server dei cloud provider che possono essere dislocati anche in paesi extraeuropei. Ciò comporta la conseguenza che l’utente potrebbe non conoscere l’esatta ubicazione dei propri dati. La problematica è di non poco conto tanto che già nel 2011 il Garante per la protezione dei dati personali ha ritenuto doveroso suggerire agli utenti di valutare con attenzione se utilizzare i servizi di cloud computing oppure mantenere in house il trattamento dei dati personali, soprattutto se questi per loro natura esigono l’adozione di particolari misure di sicurezza (ad esempio i dati sanitari) [Cloud computing: indicazioni per l’uso consapevole dei servizi, 23 giugno 2011].
A livello europeo il Gruppo di lavoro ex art. 29 sul tema ha evidenziato come “Affidando dati personali a sistemi gestiti da un fornitore di servizi cloud, i clienti  rischiano di perdere il controllo esclusivo dei dati e di non poter prendere le misure  tecniche e organizzative necessarie per garantire la disponibilità, l’integrità, la riservatezza, la trasparenza, l’isolamento, la portabilità dei dati e la possibilità di intervento sugli stessi” [Parere n. 5/2012].

 

È fondamentale, pertanto, al fine di salvaguardare il diritto alla protezione dei dati personali, che i titolari del trattamento (ed i fornitori di servizi di cloud computing dagli stessi prescelti) rispettino la normativa europea in materia di trattamento dei dati personali e, in particolare, quella relativa al trasferimento dei dati al di fuori dello spazio europeo.
La direttiva 95/46/CE vieta, in linea di principio, il trasferimento dei dati personali in paesi extraeuropei che non garantiscano un “livello di protezione adeguato”. In carenza di tale requisito è consentito il trasferimento solamente in talune tassative circostanze, come ad esempio nel caso in cui l’interessato (cioè la persona alla quale i dati si riferiscono) abbia prestato in maniera inequivocabile il proprio consenso al trasferimento dei dati. La direttiva affida alla Commissione il compito di ponderare il livello di adeguatezza delle normative privacy dei paesi extraeuropei, verso i quali dovrebbero essere trasferiti i dati, attraverso un procedimento decisorio che prevede anche un parere del Gruppo ex Art. 29.
La Commissione, con decisione del 26 luglio 2000 n. 520 (recepita in Italia dal Garante per la protezione dei dati personali con deliberazione n. 36 del 10 ottobre 2001), ha ritenuto adeguato il livello di protezione dei dati personali garantito dal sistema Safe Harbor (“Approdo Sicuro”), adottato negli USA. Si trattava di un insieme di principi (quali obbligo di informativa, vincolo di finalità, correttezza, consenso, sicurezza dei dati, etc.) che le imprese statunitensi potevano, con una mera autocertificazione, dichiarare di rispettare.

Safe Harbor è stato nel tempo oggetto di numerose critiche. In particolare, è stato evidenziato come tale sistema si fondasse solo su una autocertificazione senza un sistema di controllo efficace e sanzioni effettive. La stessa Commissione, nel 2013, ha messo in evidenza come i dati personali dei cittadini europei inviati negli USA potessero “essere consultati e ulteriormente trattati dalle autorità americane in maniera incompatibile con i motivi per cui erano stati originariamente raccolti nell’UE e con le finalità del loro trasferimento agli Stati Uniti”. La Commissione ha rilevato, inoltre, una serie di carenze in ordine all’attuazione della decisione 2000/520 evidenziando come talune imprese statunitensi che avevano autocertificato l’adesione a Safe Harbor di fatto non ne rispettassero i principi e come tale sistema fungesse “da interfaccia per il trasferimento di dati personali di cittadini dell’EU dall’Unione europea agli Stati Uniti da parte di imprese che sono tenute a consegnare dati ai servizi di intelligence americani nell’ambito di programmi di raccolta statunitensi”. Di qui ne concludeva l’opportunità di intraprendere un dialogo con le autorità americane sulle criticità rilevate [Comunicazione COM(2013)846 final, punti 2 e 3.2].

 

…continua su EDICOLeA 

 


Altri articoli di Michele Martoni

 


Altri articoli di Michela Rossi

Translate »