GDPR e servizi in Cloud

Lascia un commento / GDPR / Da

Cosa prevede il GDPR quando affidiamo i dati personali dei nostri clienti ad un servizio in Cloud?

Una questione sempre più rilevante per la sicurezza dei dati è la diffusione dei servizi Cloud, sicuramente vantaggiosi per le PMI e non solo, ma che richiedono un’elevata attenzione da parte del Titolare del Trattamento nella scelta del Cloud Provider e nella successiva sottoscrizione del contratto di servizio.

L’art. 28 del GDPR UE (2016/679) prevede che:

1. Qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest’ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato.
3. I trattamenti da parte di un responsabile del trattamento sono disciplinati da un contratto o da altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, che vincoli il responsabile del trattamento al titolare del trattamento e che stipuli la materia disciplinatae la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento (…).

Quando un Titolare del Trattamento si avvale di servizi Cloud il fornitore diventa un responsabile del Trattamento, poiché esegue dei trattamenti per conto del titolare

Il GDPR richiede al Cloud Provider una più precisa chiarezza e trasparenza per i contratti di servizio, basti pensare alla corresponsabilità, all’aumentata attenzione per la sicurezza e gli obblighi correlati al trattamento dati, con il GDPR non solo il Titolare del trattamento, ma anche il Cloud Provider che agisce in qualità di responsabile potrà essere chiamato a rispondere direttamente e per l’intero ammontare del danno cagionato nei confronti degli interessati.

Per chi utilizza già servizi Cloud è quindi necessario rivedere i contratti di servizio e adeguarli alla nuova normativa del GDPR.

Riteniamo utile questo estratto dell’articolo apparso il 20/07/2018 su Agenda Digitale:
https://www.agendadigitale.eu/

L’articolo è di Franco Pizzetti professore ordinario di Diritto Costituzionale – Facoltà di Giurisprudenza Università di Torino – già Garante della Privacy

Inoltre, considerando che il fornitore del servizio Cloud ha, rispetto al Titolare (Controller), la posizione di Responsabile (Processor) ex art. 28 GDPR, prima di stipulare il contratto è indispensabile che accertarsi che il fornitore del sistema, e il sistema stesso, siano perfettamente compliant col GDPR.

Gli obblighi del controller
… è l’art. 28 del GDPR che pone a carico del Titolare l’obbligo di verificare che il responsabile (Processor) presenti garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo che il Trattamento soddisfi i requisiti del Regolamento e garantisca la tutela dei diritti degli interessati. Questo impone che il Controller non possa limitarsi a firmare contratti per adesione rispetto a servizi offerti sulla base di clausole standard. Egli deve sempre verificare che il contenuto del contratto sia tale da garantire prestazioni adeguate alla normativa GDPR, anche tenendo conto del tipo di trattamenti che vengono richiesti al Processor.

Su questo punto l’EDPS (European Data Protection Supervisor) assume una posizione molto rigida, che è pienamente condivisibile. Sotto l’impero del GDPR, il titolare che sottoscriva contratti Cloud senza verificare che le clausole contrattuali siano compliant col GDPR si assume responsabilità potenzialmente anche molto rilevanti.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *