Opinion 05/2012 on Cloud ComputingOpinion 05/2012 sul Cloud Computing

Scorrendo la recente Opinion di cui al titolo (Opinion n° 5 del 2012), mi sono balzati agli occhi alcuni punti di particolare rilievo, eccoli di seguito:

  • tra i principi di protezione del dato (availability, integrity, …) emerge l’attenzione del gruppo ex art. 29 per la isolation / unlinkability e per la intervenability, principio collegato alla complessità e dinamicità della catena dell’outsourcing;
  • viene più volte citato il wp29 del gennaio 2010 sui concetti di “controller” e “processor” e viene sottolineato il duplice criterio da tenere in primaria considerazione al momento di individuare i diversi “ruoli” privacy: chi ha la responsabilità per la compliance e chi è nella posizione di attribuire i diversi livelli di responsabilità;
  • il Gruppo fornisce un’indicazione forte, sostenendo che nella maggior parte dei casi il Cloud provider sarà individuabile come

    data processor e non come controller, ed afferma che:

In the current cloud computing scenario, clients of cloud computing services may not have room for manoeuvre in negotiating the contractual terms of use of the cloud services as standardised offers are a feature of many cloud computing services. Nevertheless, it is ultimately the client who decides on the allocation of part or the totality of processing operations to cloud services for specific purposes
e
the imbalance in the contractual power of a small controller with respect to large service providers should not be considered as a justification for the controller to accept clauses and terms of contracts which are not in compliance with data protection law

  • L’Opinion, a proposito dei sub-contractors, sostiene che se un “processor” cede in subappalto alcuni servizi, è obbligato a renderlo noto al cliente dettagliando il tipo di servizio affidato, le caratteristiche dell’attuale o del potenziale sub-contraente e le garanzie che questo soggetto offre al provider di servizi, per adeguarsi alla direttiva 95/46/CE;
  • secondo il modello delle c.d. clausole standard, il “sub-processing” è consentito solo con il previo consenso scritto del titolare e con un contratto che imponga al subappaltatore (inteso come “sub-processor”) gli stessi obblighi imposti al “processor” (che subappalta il servizio). Inoltre, nel caso in cui il sub-processor ometta di rispettare le misure imposte, il “processor” rimarrà pienamente responsabile dinnanzi al titolare del trattamento, per le attività (e le carenze di sicurezza) operate dal sub-processor;
  • Infine, il gruppo sottolinea che le “esenzioni di cui all’art. 26 della direttiva” sono per trasferimenti dotati di determinate caratteristiche (così come già stabilito dallo stesso Gruppo nel WP 12/1998), precisamente: queste esenzioni possono essere applicate solamente se i trasferimenti non sono: “ricorrenti, massivi o sistematici”. Questi limiti sono esplicitati nella seguente affermazione: “The exemptions provided by article 26 of the EU Directive 95/46 enable data exporters to transfer data out of the EU without providing additional guarantees. However, WP29 has adopted an opinion in which it considered that exemptions shall apply only where transfers are neither recurrent, nor massive or structural”.

Nota (1):

l’art. 26 della direttiva 95/46/CE, afferma che:

1. In deroga all’articolo 25 e fatte salve eventuali disposizioni contrarie della legislazione nazionale per casi specifici, gli Stati membri dispongono che un trasferimento di dati personali verso un paese terzo che non garantisce una tutela adeguata ai sensi del’articolo 25, paragrafo 2 può avvenire a condizione che:

a) la persona interessata abbia manifestato il proprio consenso in maniera inequivocabile al trasferimento previsto, oppure

b) il trasferimento sia necessario per l’esecuzione di un contratto tra la persona interessata ed il responsabile del trattamento o per l’esecuzione di misure precontrattuali prese a richiesta di questa, oppure

c) il trasferimento sia necessario per la conclusione o l’esecuzione di un contratto, concluso o da concludere nell’interesse della persona interessata, tra il responsabile del trattamento e un terzo, oppure

d) il trasferimento sia necessario o prescritto dalla legge per la salvaguardia di un interesse pubblico rilevante, oppure per costatare, esercitare o difendere un diritto per via giudiziaria, oppure

e) il trasferimento sia necessario per la salvaguardia dell’interesse vitale della persona interessata, oppure

f) il trasferimento avvenga a partire da un registro pubblico il quale, in forza di disposizioni legislative o regolamentari, sia predisposto per l’informazione del pubblico e sia aperto alla consultazione del pubblico o di chiunque possa dimostrare un interesse legittimo, nella misura in cui nel caso specifico siano rispettate le condizioni che la legge prevede per la consultazione.

One thought on “Opinion 05/2012 on Cloud ComputingOpinion 05/2012 sul Cloud Computing

Leave a Reply

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>