Il tema del presente contributo è il turbamento o la modificazione che la guerra iniziata lo scorso 24 febbraio (con le reazioni che ne sono seguite da parte della Unione Europea in termini di provvedimenti di divieti di vendite e/o acquisti, di esportazioni ed importazioni di determinati beni e/o servizi) abbia prodotto e produrrà anche in fatto di trasferimenti di dati personali, sotto il profilo giuridico e con riguardo ai rischi concreti che possono/potrebbero correre i dati personali oggetto di trasferimento (e i diritti degli interessati, naturalmente).

Cloud computing è espressione che corrisponde ad un fenomeno esteso, un universo da anni in costante crescita e che investe ormai ogni ambito o settore di attività: una varietà di tecnologie e di tipologie di servizio imperniate sull’uso/fornitura di applicazioni informatiche, sulla capacità di gestione, elaborazione, condivisione e conservazione di dati in un contesto immateriale, altro rispetto a strumenti e infrastrutture di tipo tradizionale.In questo articolo si prendono in esame 10 domande e 10 rispettive rispettive risposte da porsi prima di scegliere un cloud provider.

Nella prima relazione redatta e comunicata ai sensi dell'art. 97 del Regolamento UE 2016/679 (documento del 24 giugno 2020), la Commissione (oltre al resto) indirizzava una esortazione al Comitato europeo per la protezione dei dati nel senso di chiarire “l'interazione tra le norme sui trasferimenti internazionali di dati (capo V) e l'ambito di applicazione territoriale (articolo 3) del regolamento generale sulla protezione dei dati”. A distanza di oltre un anno, lo scorso 18 novembre il Board ha pubblicato sull'argomento le Linee Guida 05/2021 ed ha avviato una consultazione pubblica che si concluderà il 31 gennaio 2022.

Con decreto legge 21 settembre 2021, n. 127, pubblicato nella GU n. 226 del 21.09.2021, il governo italiano – il primo e ad oggi l'unico in tutta l'Unione Europea (primato non necessariamente invidiabile) - ha introdotto un obbligo generalizzato, valevole per tutti i lavoratori pubblici e privati, di possesso e di esibizione del certificato verde tra il 15 ottobre e il 31 dicembre 2021.  Il presente documento intende contribuire, per quanto al momento possibile, ad una elaborazione di indicazioni anche operative per l'attuazione delle disposizioni del decreto legge nel rispetto del Regolamento UE 2016/679, nella misura in cui tale attuazione comporta un trattamento di dati personali.

Se si dovessero riassumere ad un non addetto ai lavori i criteri con e per i quali i controlli difensivi possano essere lecitamente disposti, si potrebbe concentrare l'attenzione sulla pronuncia della Grande Camera della Corte di Strasburgo (Corte Europea dei Diritti dell'Uomo, in breve CEDU) del 17 ottobre 2019, per la chiarezza della sintesi che essa consente sull'argomento (a dire il vero, in generale non di agevole inquadramento).

Certificazioni: un angolo del Regolamento UE 2016/679 (d'ora in poi anche solo 'Gdpr') rimasto un po' in penombra, defilato (per quanto si tratti di una significativa novità della nuova disciplina sulla protezione dei dati) su cui il Garante ha sentito il bisogno, mediante le Faq redatte in collaborazione con Accredia e pubblicate pochi giorni or sono (cui si riferiranno i virgolettati, ove non diversamente specificato), di comunicare alcuni concetti basilari sia ai cittadini che agli addetti ai lavori.

Con questo contributo si entra pur schematicamente nella vicenda del Responsabile del Responsabile (d'ora in poi anche 'Subresponsabile') nel momento in cui debba affrontare tre importanti adempimenti in base al Regolamento 2016/679, nell'ordine: la redazione e la tenuta del registro, la valutazione di impatto, la gestione delle violazioni di dati, tutti ovviamente nella misura in cui concernenti i dati o i trattamenti di dati nello svolgimento dell'attività e/o servizio affidatigli, con l'autorizzazione del Titolare, dal Responsabile.

Nel linguaggio degli addetti ai lavori sono denominati correntemente 'sub-responsabili', mentre l'art. 28 del Regolamento UE 2016/679 li chiama “altri responsabili”, la sostanza è comunque la stessa: si intendono per costoro quei soggetti cui si rivolge il responsabile quando intenda sub-affidare in tutto o in parte il servizio (con il connesso trattamento dei dati) del cui svolgimento ha ricevuto incarico dal titolare. Si tratta di una opportunità denegata, in Italia, dal pre-vigente art. 29 del Codice privacy, che contemplava unicamente nomine dirette da parte del titolare, nella formale indifferenza rispetto ad un fenomeno che nella realtà del mercato era ed è, invece, assai diffuso ed importante.

Vogliamo affrontare il tema dell'accountability del titolare - come impostata dal Regolamento UE 2016/679 (a partire dall'art. 24, per poi essere rinvenuta, ancora in termini generali, negli artt. 5, 25, 32) - sapendo per esperienza che, in particolare nelle PMI e nelle piccole organizzazioni, permane un problema di attenzione continuativa ed effettiva alle esigenze/misure della protezione dei dati personali.  Ecco allora emergere la necessità di un appuntamento periodico e, per così dire, 'strategico', nel quale il titolare possa applicare/esercitare consapevolezza della responsabilità, coscienza (auto)critica, aderenza a fatti/evidenze oggettive, ascolto dei più stretti collaboratori, generalità ovvero integralità dell'approccio, tensione verso il miglioramento continuo e capacità di pianificazione.  Questo appuntamento è, inevitabilmente, quello del riesame di direzione.

Qual è la corretta qualificazione soggettiva, dal punto di vista della normativa 'data protection', di un cloud provider? E' un responsabile o piuttosto un titolare del trattamento? L'argomento è stato oggetto di numerose riflessioni e dibattiti nel corso del tempo e, alla luce delle disposizioni del Regolamento UE 2016/679, merita di essere ulteriormente sviscerato e, per quanto possibile, definito.