L’utilizzo di servizi cloud da parte di una PA non può essere considerato in senso astratto e generico ma va attentamente studiato e calibrato sull’esigenza specifica di trattamento e sulle caratteristiche di quest’ultimo, il che 29 comporta necessariamente una valutazione preliminare di conformità e una minuziosa predisposizione della stipulazione contrattuale. A tal proposito, nei rapporti contrattuali fra cloud provider e buyer si propone l’impiego di Privacy Level Agreement (di seguito: “PLA”), una sorta di Service Level Agreement (di seguito: “SLA”) con riferimento ai livelli/accordi/garanzie di tutela e sicurezza dei dati personali che il cloud provider si impegna a mantenere verso il cliente. Oggetto di tali PLA potranno essere per es:
- specifiche misure di sicurezza sui dati (es. utilizzo di cifratura sia in fase di storage che in fase di comunicazione), comprovate anche da eventuali certificazioni (es. ISO), nonché possibilità e modalità di controllo da parte della PA (es. audit diretto, attraverso terze parti, o report periodica del cloud provider);
- limiti nella circolazione/trasferimento dei dati, sia territoriali (es. che i dati non vengano trasferiti verso paesi fuori dallo SEE nei quali non sia garantito un livello di protezione ‘adeguato’ agli standard comunitari) che con riferimento ai soggetti coinvolti (es. sub-fornitori del cloud provider principale);
- esplicite garanzie con riferimento al mantenimento di un adeguato livello di tutela dei dati personali non solo da parte degli incaricati e responsabili interni alla struttura del cloud provider ma anche degli eventuali subfornitori utilizzati; e tracciabilità delle azioni svolte dai vari soggetti sui dati, al fine di poter ricostruire le relative responsabilità; garanzia di data portability e di assistenza in un eventuale procedura di transfer back (in termini di giorni/uomo);
- indicazione delle politiche di persistenza dei dati con riferimento alla loro conservazione (data retention).
Il PLA è da intendersi di fatto come un allegato al contratto di fornitura di servizi cloud (proprio come lo SLA). L’eventuale violazione di quanto riportato nel PLA costituirebbe un inadempimento da parte del cloud provider dal quale deriverebbero i relativi effetti contrattuali (es. risoluzione, attivazione penali, risarcimento, ecc.). Inoltre, con riferimento alla regolamentazione e gestione dell’utilizzo del cloud da parte della PA si raccomanda:
- lo studio di eventuali linee guida di settore che traccino le garanzie minime in presenza delle quali la PA possa aderire al cloud; ciò avrebbe effetti positivi non solo per entrambe le parti coinvolte, ma stimolerebbe lo sviluppo di best practice cloud per la PA, infatti: (i) chiarirebbe i requisiti minimi che devono essere tenuti in considerazione dai provider nel proporre un’offerta cloud per la PA; (ii) potenzierebbe la forza negoziale della PA al fine di ottenere servizi sempre più rispondenti alle proprie esigenze; e (iii) stimolerebbe la concorrenza dei provider al fine di fornire soluzioni volte alla massima soddisfazione anche dei requisiti legali necessari al fine di erogare i propri servizi alla PA;
- che i prossimi interventi sia a livello europeo che a livello nazionale chiariscano gli obblighi e le responsabilità delle parti coinvolte, possibilmente superando anche formalismi legati a definizioni o ruoli; in attesa di tali riforme o indicazioni, sarà necessario precisare chiaramente nel contratto di fornitura cloud i rispettivi obblighi e responsabilità delle parti, anche con specifico riferimento alla disciplina sulla tutela dei dati personali;
- la definizione di nuove soluzioni per abilitare i trasferimenti di dati in contesti extra-europei, che assicurino una tutela concreta dei dati dei soggetti interessati; stanti i limiti della disciplina attualmente in vigore, pare consigliabile esigere e richiedere garanzie che i dati non vengano trasferiti verso paesi fuori dallo SEE nei quali non sia garantito un livello di protezione adeguato agli standard comunitari.