Qual è la corretta qualificazione soggettiva, dal punto di vista della normativa ‘data protection’, di un cloud provider? E’ un responsabile o piuttosto un titolare del trattamento? L’argomento è stato oggetto di numerose riflessioni e dibattiti nel corso del tempo e, alla luce delle disposizioni del Regolamento UE 2016/679, merita di essere ulteriormente sviscerato e, per quanto possibile, definito.
(Nella foto: Paolo Marini, Avvocato in Firenze, consulente di imprese e autore in materia di protezione dati)
Nel vademecum del 2012 (“Cloud computing, proteggere i dati per non cadere dalle nuvole”), l’indicazione del Garante italiano era nel senso che “la pubblica amministrazione o l’azienda, ‘titolare del trattamento’ dei dati personali, che trasferisce del tutto o in parte il trattamento sulle ‘nuvole’, deve procedere a designare il fornitore dei servizi cloud ‘responsabile del trattamento’.”
Allora il responsabile, in base all’art. 4, comma 1, lett g.) del Codice privacy, era “la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali”. In base a tale definizione, la prassi aveva peraltro scisso questa figura in due – responsabile interno e responsabile esterno – a seconda che operasse nell’organizzazione del titolare o al di fuori del suo perimetro.
L’art. 29 conteneva una disciplina assai scarna (l’aggettivo è usato in senso tutt’altro che negativo): si limitava a stabilire i requisiti soggettivi del responsabile (esperienza, capacità e affidabilità (comma 2), ad esigere che i compiti ad esso affidati fossero specificati per iscritto dal titolare (comma 4) e che questi vigilasse, anche tramite verifiche periodiche, sulla sua attività (comma 5).
Successivamente, in tempi ormai prossimi all’avvento del Regolamento UE 2016/679, l’art. 28, comma 1, lett. a), della legge n. 167 del 20 novembre 2017, interveniva a novellare l’art. 29 introducendo il comma 4-bis e modificando il comma 5. Con il comma 4-bis, in particolare, il legislatore stabiliva quali contenuti avrebbero dovuto includere gli atti di nomina: le finalità perseguite, le tipologie dei dati, la durata del trattamento, gli obblighi e i diritti dei responsabili e le modalità di trattamento, in conformità a schemi tipo predisposti dal Garante (che in realtà non ha fatto in tempo a provvedervi, anche perché poco dopo è sopraggiunta la normativa europea ).
Oggi è l’art. 28 a disciplinare la funzione del responsabile – ormai (per inciso) senza più possibilità di potervi includere soggetti od organismi interni alla organizzazione del titolare – e lo fa con una disposizione di inedito dettaglio dettata al paragrafo 3.
Perché questa rassegna storica? Perché, se all’origine della vicenda il responsabile era soprattutto un soggetto (persona fisica o giuridica, ente od organismo che fosse) ‘preposto al trattamento’ dal titolare, in quel contesto appariva ancora plausibile l’inquadramento di un cloud provider come responsabile del trattamento, pur nell’impossibilità per il titolare di negoziare con esso le clausole/condizioni di un contratto/servizio già in tutto e per tutto strutturato e definito e pur competendo al medesimo un potere del tutto improbabile di impartire istruzioni al responsabile e di vigilare sul suo rispetto delle norme di legge e di istruzioni mai indirizzategli. Perché potere ‘improbabile’? E’ evidente: perché in realtà il potere di controllo del titolare nei confronti di questo genere di imprese fornitrici di servizi cloud è quasi sempre rimasto teorico, etereo, senza un concreto aggancio all’effettivo potere contrattuale delle parti e allo svolgimento del reciproco rapporto.
Oggi, con l’art. 28, le cose sono cambiate, andando ben oltre la direzione abbozzata dal legislatore italiano con la citata novella del 2017.
In base all’art. 28.1 il responsabile è quel soggetto che tratta i dati per conto del titolare: c’è un evidente rapporto di strumentalità tra l’attività di trattamento svolta dal responsabile e quella eseguita dal titolare. Questa è la prima rilevante caratteristica del rapporto.
C’è, tuttavia, un ulteriore e fondamentale elemento a caratterizzarlo: una più o meno marcata sotto-ordinazione o soggezione del responsabile rispetto al titolare, come si evince dalle clausole (dettate direttamente dal legislatore, elemento – come si è visto – assente nell’art. 29 che semmai – dopo la riforma del 2017 – affidava il relativo compito all’autorità di controllo) dell’art. 28.3, segnatamente quelle di cui alle lettere a), d), e), f) e h). Quest’ultima, se paragonata al pre-vigente obbligo di vigilanza del titolare sul responsabile, può assurgere a simbolo dell’enfasi (termine che è quasi un eufemismo) con cui il legislatore ha inteso impostare il loro rapporto: il responsabile essendo tenuto a mettere a disposizione del titolare “tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui al presente articolo” e a consentire e a contribuire “alle attività di revisione, comprese le ispezioni, realizzati dal titolare del trattamento o da un altro soggetto da questi incaricato”.
Nulla che in base all’abrogato art. 29 l’autonomia negoziale non potesse partorire e tradurre in clausole contrattuali; senonché oggi non v’è più da scegliere, si tratta di contenuto obbligatorio del contratto.
Il regime instaurato dall’art. 28, in poche parole, rende definitivamente improponibile la qualificazione come responsabile del cloud provider, quando si tratti di un interlocutore con cui sia impossibile instaurare una qualsiasi trattativa e a cui sia irrealistico pensare di dettare istruzioni e di ricevere risposte quando sia interpellato.
Se i due ingredienti del rapporto sono la strumentalità del trattamento per conto del titolare e la sotto-ordinazione del responsabile, ebbene, il primo è buono a fuorviare l’interprete, il secondo è decisivo per fargli cambiare idea. In quale direzione? L’unico modo per uscire dall’imbuto è accettare la resa: limitarsi a qualificare il cloud provider come un autonomo titolare, così come accade per tutti i soggetti quando, pur trattando obiettivamente dati per conto del titolare, lo facciano con quella accentuata (quando non totale) autonomia che è logicamente e giuridicamente incompatibile con le clausole dell’art. 28.3 e, più in generale, con la posizione di responsabile.
Tutto questo non toglie le castagne dal fuoco al nostro titolare. Il fatto di affidare i dati ad un autonomo titolare, piuttosto che ad un responsabile, non fa venir meno la sua responsabilità di scegliere un soggetto idoneo, che fornisca adeguate garanzie, che soddisfi i requisiti richiesti dalle disposizioni. E non lo esonera dal monitorare le attività in fase di svolgimento, dal ritornare – ogni volta che sia necessario – a compiere delle verifiche. Sapendo tuttavia che la gran parte di queste ultime non avverrà nel contraddittorio con il fornitore del servizio, dovrà essere eseguita dal titolare in solitudine e dunque con dosi anche superiori di rigore.
Sotto questo profilo mantengono freschezza le cautele consigliate dal Garante nel citato vademecum per l’ipotesi in cui “il cliente di ridotte dimensioni, come una piccola impresa o un ente locale”, dovesse “incontrare difficoltà nel contrattare adeguate condizioni per la gestione dei dati spostati ‘sulla nuvola’”. Ebbene, “anche in questo caso, non sarà (…) sufficiente, per giustificare una eventuale violazione, affermare di non avere avuto possibilità di negoziare clausole contrattuali o modalità di controllo più stringenti. Il cliente di servizi cloud, infatti, può sempre rivolgersi ad altri fornitori che offrono maggiori garanzie, in particolare per il rispetto della normativa sulla protezione dei dati.”
