L’allocazione dei ruoli rappresenta uno degli aspetti più delicati, non solo in materia di cloud ma nella complessiva applicazione della disciplina sulla tutela dei dati personali. Posto che la PA che acquista servizi di cloud va senz’altro considerata titolare di trattamento, il problema si pone dal lato del cloud provider che potrebbe, a seconda dei casi, essere considerato quale titolare autonomo di trattamento o quale responsabile. Va evidenziato che, stante la vigente normativa sulla tutela dei dati personali, parrebbe ragionevole orientarsi per la soluzione della titolarità autonoma in base a tutta una serie di ragioni che qui potremo solo accennare ma che sono state analizzate nel dettaglio recentemente in [IIPP11]. Tuttavia, la prassi che si riscontra negli accordi per la fornitura di servizi cloud è di definire il cloud provider un responsabile esterno del trattamento. Anche la soluzione del cloud provider come responsabile esterno del trattamento appare di fatto prospettabile, dipendendo in definitiva il concreto inquadramento nell’una o nell’altra dalle caratteristiche dell’effettivo rapporto che si instaura tra buyer e provider. In estrema sintesi, il “titolare del trattamento è sostanzialmente colui che prende le decisioni quanto alle finalità del trattamento (ossia il perché del trattamento), alle modalità essenziali e al profilo della sicurezza. (…) Si può da subito evidenziare che il cloud provider ha un ruolo esclusivo, rispetto al buyer, sulla decisione del profilo della sicurezza e sulla modalità di erogazione del proprio servizio, incluse le scelte relative alla circolazione dei dati nei diversi luoghi e tra distinti soggetti”, come suoi subfornitori. Il responsabile è “individuato dalla caratteristica essenziale di agire sempre nel perimetro delle decisioni del titolare e sotto la direzione e vigilanza di costui. Sul punto è bene evidenziare che vi è un preciso obbligo giuridico del titolare di impartire disposizioni scritte analitiche al responsabile (art. 29, c. 4 Codice), che potranno essere modificate e aggiornate nel tempo a discrezione del primo: ciò comporta, implicitamente, un dovere del responsabile di rispettare ed attenersi precisamente alle istruzioni del titolare, caso, quest’ultimo decisamente inverosimile quando si parla di un grande cloud provider, da un lato, e di una piccola e media impresa-buyer, dall’altro.” Tuttavia, ad oggi risulta verosimile asserire che, nella maggior parte dei casi, nemmeno buyer come una grande impresa o una PA riescano di fatto ad impartire istruzioni dettagliate al cloud provider e ad esercitare quel controllo tipico del rapporto titolareresponsabile. Quindi, la soluzione di fatto più aderente alla normativa privacy odierna è quella di una titolarità autonoma del cloud provider.
Le conseguenze dell’allocazione dei ruoli sono notevoli e si riflettono su tre ordini di questioni: (i) individuazione della legge nazionale applicabile; (ii) definizione della responsabilità giuridica e dei poteri di accesso e controllo tra le parti; (iii) individuazione della disciplina specifica applicabile al trattamento. Quanto al primo profilo va ricordato che, a norma dell’art. 5 del Codice Privacy letto alla luce dell’art. 4 della Direttiva 95/46/CE, è innanzitutto lo stabilimento del titolare a determinare l’individuazione della legge nazionale applicabile. Quindi, individuare se un cloud provider è titolare o responsabile ha conseguenze evidentemente decisive sulle norme applicabili in concreto. 33 Quanto al secondo profilo, va ricordato che alla posizione apicale del titolare è associata una corrispondente responsabilità giuridica e che, per necessaria conseguenza, proprio a fronte di questa posizione di vertice e della connessa responsabilità, il titolare esercita e deve esercitare penetranti poteri di controllo e di pretesa di rendiconto sul responsabile (ex art. 29 Codice Privacy). Infine, quanto al terzo profilo, deve evidenziarsi che la trasmissione di dati ad altro titolare integra un’operazione di comunicazione: ove il destinatario sia un soggetto privato e i dati siano dati comuni, è necessario ai sensi dell’art. 19, c. 3 Codice privacy il supporto di apposita norma di legge o di regolamento.
La presente incertezza di fatto sull’individuazione dei ruoli privacy impedisce di operare un’accurata valutazione del rischio legale e quindi di prendere una decisione informata circa la migrazione verso il cloud. Se tale situazione può essere gestita nel settore privato, dove esiste una maggiore propensione al rischio, nel settore pubblico – si pensi ad esempio a servizi sanitari – tale rischio non è sostenibile. Esistono infatti procedure di controllo e governo dei dati molto dettagliate e stringenti, soprattutto con riferimento a quelli idonei a rivelare lo stato di salute. Occorre quindi che i prossimi interventi sia a livello europeo che a livello nazionale chiariscano gli obblighi e le responsabilità delle parti coinvolte, magari superando l’attuale approccio fondato su formalismi legati a definizioni astratte. Nelle more di nuove indicazioni, che si auspica possano precisare le diverse fattispecie di ruoli preordinati, andrà dedicata in ciascun caso specifico nel contratto di fornitura cloud particolare attenzione alla specifica dei rispettivi obblighi e responsabilità delle parti, anche con specifico riferimento alla disciplina sulla tutela dei dati personali.