Il processo innovativo che può essere avviato attraverso l’utilizzo del Cloud computing risulta particolarmente significativo sia per la Pubblica amministrazione sia per le aziende. Dei vantaggi e dei rischi legati alla privacy e alla sicurezza dei dati trattati e affidati ai cloud provider ne abbiamo parlato con Andrea Lisi, avvocato esperto di diritto dell’informatica e Internet Governance e presidente di Anorc Professioni.
Key4biz. Come sta evolvendo il mercato Cloud in particolare nel rispetto delle norme relative alla trasparenza e alla privacy? E le soluzioni che non rispetteranno i requisiti europei come dovranno essere valutate dai clienti?
Andrea Lisi. Indipendentemente dal contesto di riferimento, pubblico o privato, occorre inquadrare in maniera puntuale il ricorso a servizi cloud, specie per quanto concerne gli aspetti legati alla trasparenza e alla privacy, mentre purtroppo e molto spesso anche le pubbliche amministrazioni o le grandi aziende affrontano l’approvvigionamento di tali servizi da fornitori esterni basandosi unicamente su un criterio di risparmio di spesa, senza valutare con attenzione i profili contrattuali e di sicurezza, e quindi di responsabilità per i dati trattati e affidati al cloud provider.
In effetti, la scelta verso il cloud provider va fatta non solo con criteri di economicità (o peggio gratuità), ma con massima attenzione alla qualità. Tale principio vale anche per gli enti pubblici e va rispettato anche in caso di affidamento gratuito del servizio che comporta sempre e comunque un processo di trasparente selezione del fornitore. Del resto, già dal diritto romano un’esternalizzazione dei servizi comporta la cosiddetta culpa in eligendo e la cd. culpa in vigilando.
Key4biz. Chi sceglie un cloud provider quali aspetti deve valutare con attenzione?
Andrea Lisi. Ovvio che il contratto di outsourcing in cloud deve garantire il rispetto di misure di sicurezza adeguate alla tipologia dei dati trattati (e ovviamente per i dati sanitari una trasmissione crittografica degli stessi e la loro separazione nei database, come previsto dal Codice per la protezione dei dati e dal relativo disciplinare tecnico).
Non occorre trascurare neppure la verifica del perimetro territoriale del cloud, perché se in Europa secondo il GDPR vale la libera circolazione dei dati (salvo particolari eccezioni per il patrimonio pubblico), nel resto del mondo non è consentito il trasferimento di dati personali, se non previa verifica di particolari presupposti.
Anche il rispetto delle misure di sicurezza deve permettere sempre il controllo del titolare del dato (ente pubblico o privato) sul responsabile esterno (cloud provider). Il contratto deve stabilire come esso venga esercitato anche in caso di catene di servizi affidate a subresponsabili/subappaltatori dei servizi sviluppati dal fornitore principale. E non è cosa affatto ovvia.
Infine, occorre considerare che il passaggio verso il cloud di un’organizzazione comporta in ogni caso un preventivo e necessario processo di trasparenza verso gli interessati del trattamento. Occorre chiedersi ad esempio se i cittadini/destinatari dei servizi sono stati previamente informati di questo nuovo trattamento e della comunicazione dei loro dati ad un soggetto terzo e se (in caso di soggetto privato) vi hanno acconsentito.
Key4biz. Cosa prevedono le linee guida di AgID sul Cloud Computing nella PA?
Andrea Lisi. Partiamo da una considerazione: la nuvola di dati è uno degli strumenti fondamentali dell’innovazione tecnologica. Le Raccomandazioni emanate dall’Agenzia, che allora si chiamava ancora DigitPA, sono state emanate proprio con l’intento di fornire strumenti utili ai fini dell’adozione dei sistemi cloud nelle PA, “privilegiando un approccio che oltre a proporsi con finalità di razionalizzazione e di risparmio miri anche a promuovere un’organizzazione innovativa dei servizi pubblici online che le soluzioni tecnologiche e operative del cloud rendono possibile”.
In particolare per le pubbliche amministrazioni, l’utilizzo delle infrastrutture cloud permette di utilizzare applicativi, aggregare e condividere informazioni che impegnano ingenti risorse tecnologiche e dunque, anche attraverso l’interoperabilità dei dati, consente di ottenere enormi vantaggi per l’efficienza dei processi amministrativi.
L’introduzione della nuvola di dati rientra inoltre nelle misure principali del programma da adottare per il perseguimento degli obiettivi dell’Agenda digitale italiana. Con specifico riferimento ai servizi cloud, le menzionate Raccomandazioni di DigitPA evidenziano i diversi profili rilevanti nella regolamentazione giuridica e nella gestione dei rapporti tra i vari soggetti coinvolti nella fornitura del servizio, in quanto il cloud provider ha solitamente un ruolo esclusivo, rispetto al soggetto privato o alla PA che richiede il servizio, nel predisporre le misure di sicurezza e le modalità di erogazione dello stesso, incluse le scelte relative alla circolazione dei dati nei diversi luoghi e tra distinti soggetti (come, ad esempio, i suoi subfornitori).
Key4biz. Quindi?
Andrea Lisi. Occorre, tuttavia, contestualizzare opportunamente la lettura delle Raccomandazioni, datate al 2012, in relazione al rinnovato scenario attuale. Siamo infatti giunti alle soglie della sesta modifica del testo del CAD, il Codice dell’Amministrazione Digitale, o meglio, di un testo normativo che si definisce Codice, ma che ormai non merita neanche più questa definizione. Credo che sia giusto sottolinearlo. Dall’altro lato invece stiamo attendendo la piena esecutività del GDPR, ossia il Regolamento con cui la Commissione europea ha voluto armonizzare il trattamento dei dati personali dei cittadini dell’Unione europea, ovviamente anche qualora tali dati siano gestiti in sistemi cloud, i cui server siano ubicati all’interno o all’esterno dei confini dell’Ue (con specifiche disposizioni che disciplinano proprio i trasferimenti di dati personali).
Key4biz. Le Raccomandazioni sono sufficienti oppure c’è la necessità di una legge ad hoc?
Andrea Lisi. Più che di una nuova legge, in Italia si avverte la necessita di stabilità normativa, di maggiore sintesi e di coordinamento sistematico tra le disposizioni dettate in tema di digitale nel nostro ordinamento. Come anticipavo, i cambiamenti ai quali abbiamo assistito in questi ultimi anni sono stati molteplici e hanno determinato spesso importanti variazioni al quadro normativo di riferimento, comportando anche una situazione di ipertrofia normativa. Già l’attuale Codice dell’amministrazione digitale meriterebbe di essere piuttosto semplificato, dato che ormai è da considerarsi un prolisso coacervo di buoni principi, regole tecniche e disquisizioni metafisiche su strategie che cambiano ogni anno.
In tema di cloud e gestione dei dati pubblici non dimentichiamoci delle novità recentemente introdotte dal «Piano Triennale per l’Informatica della Pubblica Amministrazione». Il termine cloud è usato, nel documento di 133 pagine, quasi 100 volte. A differenza ad esempio della parola archivio (solo 16 volte e solo perché indispensabile in alcune definizioni) e conservazione di documenti informatici (33 volte). Le tecnologie sono indicate quale parte strutturale e imprescindibile del Piano.
Key4biz. Allora cosa dobbiamo aspettarci?
Andrea Lisi. Per rispondere alla sua domanda, dobbiamo immaginare per assurdo un futuro dove, perdonando il gioco di parole, neppure la legge “detterà legge”, ma lo faranno le tecnologie imperanti, alleate alle logiche del mercato. Nei prossimi tre anni le infrastrutture fisiche nazionali previste dal Piano per la salvaguardia del patrimonio informativo delle PPAA coincideranno con degli “asset hardware” appartenenti a due macro-gruppi, i data center e i cloud, ai quali se ne aggiungerà un terzo dedicato alla connettività. Il Piano è scandito da un cronoprogramma che, se rispettato (…), porterà all’evoluzione dei sistemi informativi, partendo da un censimento dei data center fino ad arrivare alla loro razionalizzazione in una prospettiva di accentramento, verso la costituzione di poli strategici nazionali, all’interno dei quali i processi da attuare e le professionalità richieste restano ancora tutte da definire da parte della stessa AgID. In buona sostanza – secondo quelle che sembrano essere le intenzioni del nostro legislatore – nel 2019 le pubbliche amministrazioni dovranno già essere in grado di dedicarsi semplicemente alle operazioni di migrazione verso i poli nazionali o verso il cloud nei tempi specificati proprio nella sezione del Piano dedicata alla razionalizzazione delle risorse ICT. Ma interroghiamoci sulle conseguenze di questo scenario: nel prossimo futuro parleremo ancora il linguaggio dei documenti e degli archivi? Oppure la nostra memoria, per intenderci, convergerà, scomposta e parcellizzata in singole, molecole di dati su piattaforme cloud, magari di proprietà delle grandi multinazionali tecnologiche che hanno sede legale e server ubicati al di fuori del confine nazionale e di quelli dell’Unione?
Key4biz. Sono al sicuro i dati di cittadini e imprese italiani presenti su cloud con data center non sul territorio italiano? Quali leggi, nazionali o estere, devono rispettare?
Andrea Lisi. Per la sicurezza in ambito pubblico ovviamente, accanto a quanto già detto sopra, vanno considerate altre importanti questioni. Prima di tutto, non è così ovvio che sia consentita la comunicazione da ente pubblico a ente privato di dati pubblici. Occorre ricordare quanto attualmente previsto dall’art. 19 del Codice di protezione dei dati personali dedicato ai soggetti pubblici[1].
Inoltre, dobbiamo tener presente che i dati personali per un ente pubblico sono contenuti non solo in database anagrafici, ma in documenti informatici (quali rappresentazione informatica di atti, fatti, dati giuridicamente rilevanti) e quindi vanno considerati come componente del patrimonio informativo pubblico dell’ente e contenuti in un archivio (che deve garantire la pubblica fede).
Per tali motivi sono sottoposti alle specifiche normative generali contenute nel Codice dell’Amministrazione Digitale (D. Lgs. 82/2005) e relative regole tecniche sul sistema di gestione documentale e di conservazione (regole contenute nei DPCM del 3 dicembre 2013). Inoltre, l’archivio di un ente deve rispettare sempre e comunque le disposizioni del Codice dei beni culturali (D. Lgs. 22/01/2004 n. 42), il quale è espressamente richiamato dallo stesso CAD nell’art. 43, ultimo comma, il quale prevede che, in caso di outsourcing informatico di un sistema di gestione documentale, “sono fatti salvi i poteri di controllo del Ministero per i beni e le attività culturali sugli archivi delle pubbliche amministrazioni e sugli archivi privati dichiarati di notevole interesse storico ai sensi delle disposizioni del decreto legislativo 22 gennaio 2004, n. 42”.
Tali controlli prevedono che per spostare un archivio occorre comunicarne le finalità e i processi, far visionare i relativi manuali e procedure e attendere l’autorizzazione degli enti preposti competenti (salvo rischiare di commettere specifici reati previsti nello stesso Codice dei beni culturali). Le stesse regole tecniche sulla conservazione dei documenti informatici (art. 6, ultimo comma) prevedono che in caso di affidamento a conservatori (che devono essere sempre e comunque accreditati) di archivi pubblici digitali “resta ferma la competenza del Ministero dei beni e delle attività culturali e del turismo in materia di tutela dei sistemi di conservazione degli archivi pubblici o degli archivi privati che rivestono interesse storico particolarmente importante”.
Secondo queste disposizioni normative, quindi, l’archivio pubblico può essere “spostato” o fisicamente o digitalmente solo previa autorizzazione degli enti competenti e comunque il sistema di conservazione deve risiedere solo e soltanto sul territorio italiano. Si vedano in proposito le Regole tecniche sulla conservazione che all’art. 9 comma 2 prevedono espressamente che “fatto salvo quanto previsto dal decreto legislativo 22 gennaio 2004, n. 42, in ordine alla tutela, da parte del Ministero dei beni e delle attività culturali e del turismo, sugli archivi e sui singoli documenti dello Stato, delle regioni, degli altri enti pubblici territoriali, nonché di ogni altro ente ed istituto pubblico, i sistemi di conservazione delle pubbliche amministrazioni e i sistemi di conservazione dei conservatori accreditati, ai fini della vigilanza da parte dell’Agenzia per l’Italia digitale su questi ultimi, prevedono la materiale conservazione dei dati e delle copie di sicurezza sul territorio nazionale e garantiscono un accesso ai dati presso la sede del produttore e misure di sicurezza conformi a quelle stabilite dal presente decreto”.
Sotto il profilo del corretto trattamento dei dati personali, poi, proprio il nuovo GDPR (agli artt. 44 e ss.) impone condizioni precise per il trasferimento dei dati personali oggetto di trattamento o destinati ad essere oggetto di trattamento verso paesi terzi (al di fuori dei confini dell’Unione) o organizzazioni internazionali, quindi qualsiasi Titolare o Responsabile del trattamento, sia esso soggetto pubblico o privato, che intenda avvalersi di servizi cloud dovrà scrupolosamente vagliare le condizioni contrattuali offerte dal fornitore per l’erogazione del servizio e valutare che sussistano le condizioni di liceità per ritenere tale trasferimento in linea con il GDPR.
Gli enti pubblici che in modo sconsiderato comunicano i loro patrimoni informativi pubblici ai cloud provider e spesso affidano agli stessi la materiale gestione informatica di interi procedimenti amministrativi conoscono queste regole? Secondo me nella maggior parte dei casi le ignorano completamente…
Key4biz. Il Gdpr pienamente esecutivo dal 25 maggio 2018 introduce il concetto di Data protection by design and by default?
Andrea Lisi. La fatidica data del 25 maggio 2018 segna in realtà il traguardo di un percorso tracciato negli ultimi due anni dal Legislatore europeo, che è a un tempo presupposto e risultato di un radicale cambiamento di prospettiva nei confronti della tutela di uno dei diritti fondamentali dell’Unione. Il rinnovamento dello scenario normativo, infatti, ruota attorno al perno dell’approccio basato sull’accountability (ovvero “responsabilizzazione”) che comporta per il Titolare del trattamento l’attuazione di tutte le misure di sicurezza in termini sì tecnologici, ma soprattutto organizzativi, per dimostrare (tramite la produzione di una costante documentazione) di aver strutturato i trattamenti di dati personali conformemente ai principi, appunto, della Privacy by design e della Privacy by default. Ciò significa che ogni aspetto del sistema deve essere incluso in un percorso di auto-analisi, strutturato preferibilmente su un piano di assessment da estendere a tutti i trattamenti, le basi di dati, i sistemi documentali (compresi quelli in cloud), supportato da una corretta formazione e informazione: solo queste premesse possono garantire lo sviluppo delle necessarie misure, appropriate per il contesto di riferimento, nel concreto. Occorre leggere con molta attenzione il testo del Regolamento, al fine di calibrare in maniera opportuna l’approccio alla sicurezza in ambito privacy e collocarlo appropriatamente nel percorso di adeguamento richiesto dal Legislatore.
Particolare attenzione, infatti, dovrà essere rivolta dal cliente (PA o privato) alla garanzia di livelli di servizio e al rispetto della disciplina sulla tutela dei dati personali, stabilendo con precisione la responsabilità contrattuale del cloud provider e degli ulteriori eventuali soggetti coinvolti nell’erogazione dei servizi in modalità cloud, nel caso in cui si verifichino violazioni o danni alla stessa PA contraente o a soggetti terzi (ad esempio, cittadini interessati al trattamento dei dati o utenti e imprese destinatari dei servizi erogati in modalità cloud).
Soprattutto in riferimento alla protezione dei dati, sarebbe auspicabile l’adozione anche di esplicite clausole di Privacy Level Agreement “PLA”) nei contratti fra cliente e Cloud Provider, ossia di una sorta di Service Level Agreement (“SLA”) riferito ai livelli e alle garanzie di tutela e sicurezza dei dati personali che il cloud provider si impegna a mantenere verso la PA contraente. Non sempre purtroppo nei rapporti tra Titolare del dato (Pa, Professionista o Impresa che sia) e Cloud provider c’è la possibilità di garantire un equilibrio contrattuale e le clausole (spesso indigeste e squilibrate e alcune volte non allineate a quanto richiesto nel GDPR) vengono semplicemente imposte nelle condizioni del servizio.
Key4biz. Cosa è successo con le recenti novità normative in materia di protezione dei dati personali (e quindi modificative di alcuni articoli del Codice) appena introdotte dalla legge 20 novembre 2017, n. 167 (in vigore dal 12 dicembre prossimo)?
Andrea Lisi. Beh, la situazione non è per niente rosea nel nostro Paese a livello di privacy nel mondo sanitario. In particolare, è stata prevista la possibilità, per scopi statistici e di ricerca scientifica, di “riutilizzo” (non riuso quindi…) dei dati personali, anche sensibili, (ad esclusione di quelli genetici), a condizione che siano adottate forme preventive di minimizzazione e di anonimizzazione dei dati ritenute idonee a tutela degli interessati, previa autorizzazione del Garante. Sinceramente la genericità di questa disposizione[2] lascia sconcertati poiché gli scenari che essa sembra prefigurare appaiono piuttosto inquietanti.
Il vero problema è che nel momento in cui si inseriscono nuovi articoli piuttosto generici finalizzati a garantire un coordinamento con una normativa europea, il rischio è di autorizzare nei fatti qualcosa di pericoloso senza tenere conto dell’interezza e della complessità del Regolamento europeo. Il GDPR, infatti, modifica sicuramente in modo radicale l’approccio alla protezione dei dati personali (a maggior ragione quelli sensibili) degli utenti, ma tale approccio va “tradotto” nel nostro sistema normativo con un certo equilibrio, va quindi interpretato di volta in volta, e nel processo di transizione devono essere preservate e garantite le libertà fondamentali dell’individuo.
Vogliamo davvero consentire massicce cessioni di dati anche sanitari senza consenso a multinazionali IT? È questo il futuro che vogliamo consegnare a briglie sostanzialmente sciolte ai giganti del mondo digitale? E siamo sicuri che tutto questo sia in linea con lo spirito del GDPR che dovremmo attuare?
In questa fase storica e politica così delicata, in cui il nostro Stato — come tutti gli stati nazionali — sta subendo delle aggressioni da coloro che gestiscono i big data, dovremmo cominciare a preoccuparci perché le ragioni di uno stato nazionale, in questo caso, coincidono proprio con quelle della stessa democrazia.
Note
[1] “1. Il trattamento da parte di un soggetto pubblico riguardante dati diversi da quelli sensibili e giudiziari è consentito, fermo restando quanto previsto dall’articolo 18, comma 2, anche in mancanza di una norma di legge o di regolamento che lo preveda espressamente. 2. La comunicazione da parte di un soggetto pubblico ad altri soggetti pubblici è ammessa quando è prevista da una norma di legge o di regolamento. In mancanza di tale norma la comunicazione è ammessa quando è comunque necessaria per lo svolgimento di funzioni istituzionali e può essere iniziata se è decorso il termine di cui all’articolo 39, comma 2, e non è stata adottata la diversa determinazione ivi indicata. 3. La comunicazione da parte di un soggetto pubblico a privati o a enti pubblici economici e la diffusione da parte di un soggetto pubblico sono ammesse unicamente quando sono previste da una norma di legge o di regolamento”.
[2] Al capo III del titolo VII della parte II, dopo l’articolo 110 è stato aggiunto il seguente:
«Art. 110-bis. (Riutilizzo dei dati per finalità di ricerca scientifica o per scopi statistici).
1. Nell’ambito delle finalità di ricerca scientifica ovvero per scopi statistici può essere autorizzato dal Garante il riutilizzo dei dati, anche sensibili, ad esclusione di quelli genetici, a condizione che siano adottate forme preventive di minimizzazione e di anonimizzazione dei dati ritenute idonee a tutela degli interessati.
2. Il Garante comunica la decisione adottata sulla richiesta di autorizzazione entro quarantacinque giorni, decorsi i quali la mancata pronuncia equivale a rigetto. Con il provvedimento di autorizzazione o anche successivamente, sulla base di eventuali verifiche, il Garante stabilisce le condizioni e le misure necessarie ad assicurare adeguate garanzie a tutela degli interessati nell’ambito del riutilizzo dei dati, anche sotto il profilo della loro sicurezza».
Per approfondire: