Da PRIVACY e SICUREZZA a CONTROLLO e LIBERTA’
15 Giugno 2020DIFENDERSI DALLE TELEFONATE MOLESTE
18 Gennaio 2021
Articolo su Linkedin: https://www.linkedin.com/pulse/e-se-i-giganti-del-cloud-fossero-titolari-autonomi-ovvero-cucci
Avv. Francesco Cucci
Sommario: 1. Premessa. – 2. I “giganti del cloud” recalcitranti “Responsabili del trattamento”. – 3. Linee Guida EDPB 07/2020: una soluzione solo apparente. – 4. Tesi: i giganti del Cloud sono Titolari e non Responsabili: dimostrazione tramite la confutazione preventiva delle obiezioni alla luce delle Linee Guida EDPB 07/2020. – 5. Gestione e vantaggi di un ribaltamento.
1. Premessa
In questo articoletto, che mi rendo conto essere anche un po’ provocatorio, mi permetto di azzardare la tesi per cui i gestori di servizi cloud (come Google, Microsoft, Amazon, ecc.) non siano da considerare come responsabili del trattamento, ai sensi dell’art. 28 del Regolamento UE 2016/679 (GDPR), ma titolari autonomi.
La qualifica che fino ad oggi hanno ricevuto non mi convince. Più ci penso e più concludo che qualcosa stride.
Prendiamo le mosse dal caso dei servizi cloud offerti dalla suite di Microsoft 365.
Molte aziende si stanno rivolgendo a questa soluzione, come anche a quella offerta dai prodotti Google, per arrivare in modo semplice e organico ad un coordinamento unitario dei loro processi aziendali, potendo unificare tutta l’attività informativa in un unico ambiente virtuale, scalabile, accentrato e distribuito, spendendo il giusto ed avendo da quel momento in poi tutto sotto controllo.
I dati delle aziende, a quel punto, transitano inevitabilmente dai server fisici aziendali – che vengono quindi abbandonati – ai server dei provider dei servizi cloud.
I gestori dei servizi cloud, solitamente annoverabili tra i Grandi di internet (Microsoft, Google, Amazon, ecc.) vengono, quindi, ad introitare all’interno dei loro apparati i dati di migliaia, milioni, forse miliardi, di utenti.
Nei confronti delle Aziende, cioè di quegli utenti professionali che salvano i loro dati sui server cloud nell’ambito della loro attività, i gestori dei servizi Cloud si trovano a ricoprire, ad un primo esame, il ruolo GDPR di “Responsabili del Trattamento”, ai sensi dell’art. 28 del Regolamento, perché, di fatto, nell’offrire “servizi” all’azienda Titolare del Trattamento, gestiscono dati con mezzi da loro stessi autonomamente stabiliti ma per finalità determinate dall’azienda Titolare (un’azienda sanitaria tratterà dati sanitari per finalità di cura; un’azienda metalmeccanica, tratterà dati dei propri dipendenti per gestire il rapporto di lavoro; una compagnia aerea tratterà i dati dei propri passeggeri per meglio gestire il servizio di trasporto, e così via).
Questa configurazione dei rapporti (azienda fruitrice = Titolare del Trattamento >> Gestore del Cloud = Responsabile del trattamento) ha portato, a mio avviso, ad una serie di aporie che rendono oggi la situazione veramente farsesca.
Alludo ai minuscoli tentativi di far accettare ai giganti del web delle nominucce a responsabili del trattamento, ma, ancor più – e ancor peggio – all’appiattimento di gran parte della “dottrina” (a parte la posizione espressa in un interessante articolo di Simone Cedrola, in lingua inglese, sulla rivista giuridica semestrale online iusinitinere.it[1]) sull’interpretazione delle endo-nomine che i giganti hanno inserito nelle loro condizioni generali di contratto, quasi ciò costituisse la panacea di tutti i mali.
All’obiezione che Microsoft non è Responsabile perché non firma nomine, ti senti rispondere: “Però nelle condizioni generali di contratto c’è da parte di Microsoft l’assunzione di tutte le responsabilità previste dall’art. 28 GDPR!”.
Peccato che l’art. 28 del GDPR preveda, un contenuto minimo che non risulta affatto sufficiente ad ottemperare all’obbligo di controllo, come ci ha recentemente chiarito l’EDPB (European Data Protection Board) con le proprie Linee Guida sui concetti di Titolare, Contitolare e Responsabile.
La auto-nomine preconfezionate dai giganti del cloud sono mere foglie di fico a coprire una situazione di illiceità, a mio avviso, chiara anche ad un bambino.
E se uscissimo da questa ipocrisia e risolvessimo la questione nel modo che prospetto in questo scritto?
2. I “giganti del cloud”: recalcitranti “Responsabili del trattamento”
Fino ad oggi si è sempre attribuito ai cloud provider, in via generale e senza molte voci fuori dal coro, il ruolo di responsabili del trattamento, ai sensi e per gli effetti dell’art. 28 del Regolamento europeo 2016/679.
Fin da subito ci si è resi conto che un’applicazione de plano dell’art. 28 GDPR non sarebbe stata neppure ipotizzabile, a fronte dell’assoluta sproporzione di potere contrattuale tra uno qualunque degli utenti di questi servizi ed i cloud provider.
Si pensi a giganti come Microsoft, Google, Amazon ed alla concreta possibilità che gli stessi accettino una nomina ex art. 28, predisposta da uno qualunque dei loro utenti business.
È evidente fin da subito che i cloud provider hanno trovato opportuno apparire GDPR compliant correndo subito ad inserire nelle loro condizioni generali di contratto una sorta di auto-assunzione di responsabilità, il più possibile in linea con quanto richiesto dalla norma europea.
Tra questa soluzione, però, ed il reale sottomettersi alle condizioni imposte dall’art. 28, a mio avviso, ne passa.
Pensiamo se Microsoft potrebbe mai accettare di procedere al trattamento di dati personali, solo “su istruzione documentata del titolare del trattamento”.
Sottolineo il fatto che il GDPR, all’art. 28, utilizza il termine “istruzione”, attività che, quindi, non potrà certo ritenersi integrata dalla mera sottoscrizione da parte del Titolare delle condizioni generali standard di servizio, preconfezionate dallo stesso cloud provider, perché il concetto di “istruzione” implica un significato di imput operativo deciso dal Titolare, imput totalmente assente nelle CGU provenienti aliunde.
È evidente che ciò non accadrà mai.
È evidente che Microsoft, Google, Amazon, Dropbox, ecc. non accetteranno mai istruzioni particolari dai singoli clienti business.
Insisto nel riferirmi sempre ai soli clienti business, perché nei confronti dei clienti home la titolarità del trattamento da parte di questi big è pacifica.
Microsoft, infatti, fa dichiarare al cliente business – mediante l’accettazione delle condizioni generali – che tutto quanto contenuto nelle stesse condizioni costituisce il “corpo” delle istruzioni che il cliente intende impartire a Microsoft.
Altrettanto dicasi per il divieto di trasferire i dati personali al di fuori dell’UE o per quello di nominare nuovi e diversi sub-responsabili senza preventiva autorizzazione del Titolare o sua mancata opposizione.
È chiaro che tutti i giganti del cloud si serviranno di sub-responsabili a loro esclusivo ed insindacabile arbitrio.
È altresì chiaro che costoro trasferiranno i dati come e dove vorranno, anche nella più remota isola del Pacifico, senza dare ai propri clienti alcun reale preavviso.
I dubbi, quindi, sull’effettività di questi accordi Titolare-Responsabile hanno da subito interrogato molti di coloro che si occupano di privacy e data protection.
Nelle recenti linee guida, emesse per la consultazione pubblica dall’EDPB il 2 settembre 2020, relative ai concetti di Titolare e Responsabile del trattamento ai sensi del GDPR, molti di noi speravano di trovare indicazioni che conducessero sulla vera strada dell’accountability.
3. Linee Guida EDPB 07/2020: una soluzione solo apparente.
Nelle linee guida 7/2020 l’EDPB sviscera i concetti di Titolare, Contitolare e Responsabile del trattamento.
Quando affronta lo strumento giuridico indicato dal GDRP all’art. 28 (cioè il “contratto” o “altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, che vincoli il responsabile del trattamento al titolare del trattamento”), troviamo questa affermazione[2]:
«Il fatto che il contratto e le sue specifiche condizioni commerciali siano predisposte dal fornitore del servizio anziché dal titolare del trattamento, non è di per sé problematico e non è per ciò stesso una base sufficiente per concludere che il fornitore del servizio debba essere considerato come titolare del trattamento. In aggiunta, lo sbilanciamento presente nel potere contrattuale di un piccolo titolare nei confronti di un grande fornitore di servizi, non dovrebbe valere a giustificare il fatto che il Titolare accetti clausole e termini di contratto che non siano conformi alla normativa sulla protezione dei dati personali, né a scaricare il Titolare stesso dai propri obblighi in materia di protezione dei dati personali.
Il Titolare deve valutare i termini contrattuali e nella misura in cui li accetti liberamente e faccia uso dei servizi, avrà accettato anche la piena responsabilità di conformarsi al GDPR.»
Questo paragrafetto sembrerebbe offrire, finalmente, la soluzione definitiva della questione relativa alla corretta collocazione nei ruoli di responsabilità previsti dal GDPR dei provider di servizi internet, con particolare riferimento ai provider dei c.d. servizi cloud.
Ma è proprio così?
A mio parere no, perché il reale senso di questo paragrafetto parrebbe riassumibile nel detto popolare: “mangia questa minestra o salta dalla finestra”.
Affermare, infatti, che:
«…lo sbilanciamento presente nel potere contrattuale di un piccolo titolare nei confronti di un grande fornitore di servizi, non dovrebbe valere a giustificare il fatto che il Titolare accetti clausole e termini di contratto che non siano conformi alla normativa sulla protezione dei dati personali…»
vale a dire, appunto, che se accetti clausole non conformi al GDPR ne rispondi. Se non vuoi risponderne, non devi accettarle. Cioè non devi acquistare i servizi!
La filosofia sottesa al rapporto Titolare–Responsabile, invece, così come costruito dal GDPR, è ben diversa, come sappiamo.
Il fatto che il rapporto Titolare–Responsabile sia un rapporto diretto, “personale” ed effettivo e non già astratto e formale, lo si ricava da un’onesta lettura della norma.
Se poi si volesse sostenere che il legislatore europeo nel 2016 ha scritto l’art. 28 in modo già obsoleto, perché non ha pensato al cloud, sicché oggi abbiamo un problema, potrei anche essere d’accordo; invece, se si volesse affermare che si può stiracchiare l’interpretazione dell’art. 28 fino a fargli ricoprire anche la relazione con i cloud provider, ne prendo atto, ma è pura ipocrisia.
Leggiamo insieme l’art. 28.
Questi sono, a mio avviso, i passaggi che non ci permettono di applicare questa norma ai rapporti massivi tra i cloud provider e i loro utenti business.
I)
Al paragrafo 2 si afferma che, in caso di previa autorizzazione scritta generale ad avvalersi di sub-responsabili,
«il responsabile del trattamento informa il titolare del trattamento di eventuali modifiche previste riguardanti l’aggiunta o la sostituzione di altri responsabili del trattamento, dando così al titolare del trattamento l’opportunità di opporsi a tali modifiche».
Un’onesta interpretazione di questa norma ci porterebbe a concludere che, nel caso il Titolare decidesse effettivamente di esercitare il potere qui previsto di opporsi a tali modifiche, la conseguenza prefigurata dal legislatore europeo dovrebbe essere quella che il Responsabile non dovrebbe affatto procedere all’aggiunta o alla sostituzione di altri responsabili del trattamento.
Facile comprendere, invece, come ciò non avverrà mai nei confronti dei cloud provider, i quali, se mai anche ci comunicheranno la loro intenzione di aggiungere o sostituire qualche responsabile del trattamento, sicuramente mai asseconderanno la nostra eventuale opposizione, astenendosi dal farlo.
Altrettanto dicasi per la previa autorizzazione al trasferimento extra UE, contenuta in quasi tutte le CGU da me esaminate (in primis quelle di Microsoft).
Troviamo, invece, l’EDPB, appiattito sulla posizione dei big, che se ne esce con quanto appena letto più sopra.
Sappiamo, quindi, che, per l’EDPB, se Microsoft ci comunicherà una variazione nella composizione dell’elenco dei suoi sub-responsabili e ciò non ci aggradi, non ci resterà che levare le tende.
Ne prendo atto, ma credo che ciò non sia affatto conforme a quanto previsto dall’art. 28, paragrafo 2 e dalla sua ratio. Con buona pace dell’EDPB.
II)
Il terzo paragrafo dell’art. 28 afferma che
«I trattamenti da parte di un responsabile del trattamento sono disciplinati da un contratto che vincoli il responsabile del trattamento al titolare del trattamento e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati».
Nelle sue linee guida l’EDPB afferma, quanto all’indicazione del tipo di dati personali trattati:
«The type of personal data: this should be specified in the most detailed manner as possible (for instance: video images of individuals as they enter and leave the facility»
e, cioè:
«Tipo di dati personali: questo dovrebbe essere specificato nella maniera più dettagliata possibile (per esempio: immagini video di persone fisiche che entrano ed escono dalla struttura)».
Nella maniera più dettagliata possibile.
L’esempio ci aiuta a comprendere quanto dettagliata e pregnante debba essere la descrizione del “Type of personal data”.
Cosa troviamo scritto, invece, nelle clausole contenute nei contratti predisposti dai cloud provider?
Senza voler dare l’impressione di avercela con Microsoft, di cui sono affezionato cliente, ma solo per il fatto che è uno dei più grandi colossi mondiali del settore e anche considerando che non è “cattivo”, ma lo costringono a disegnarsi così le stesse linee guida dell’EDPB, esaminiamo come il colosso di Redmond risolve questo particolare nodo.
Nell’ Addendum relativo alla Protezione dei Dati Personali dei Servizi Online[3] , in cui Microsoft ha inserito le clausole che dovrebbero regolare il suo ruolo di “Responsabile” nei confronti dei dati personali dei propri clienti business, indicati come “Titolari”, al punto “Categorie di dati” (a pag. 8, nel paragrafo “Dettagli del Trattamento) leggiamo:
«(i) Dati Personali che la Società sceglie di includere nei Dati della Società e (ii) dati espressamente identificati all’Articolo 4 del GDPR che potrebbero essere contenuti nei Dati di Diagnostica o nei Dati Generati dai Servizi. I tipi di Dati Personali che la Società sceglie di includere nei Dati della Società potranno rientrare in qualsiasi categoria di Dati Personali identificati nei registri gestiti dalla Società che agisce come titolare del trattamento ai sensi dell’Articolo 30 del GDPR, incluse le categorie di Dati Personali definite nell’Appendice 1 all’Allegato 2: Clausole Contrattuali Tipo (Responsabili del Trattamento) dell’Addendum.»
Non mi pare che una descrizione come quella appena letta possa qualificarsi come “la più dettagliata possibile”, nell’accezione intesa dall’EDPB come da esemplificazione che lo stesso Comitato ne fa.
III)
Altrettando dicasi per le “categorie di interessati”, che il paragrafo 3 dell’art. 28 impone di descrivere nel contratto.
Nelle linee guida qui esaminate, l’EDPB afferma:
«the categories of data subjects: this, too, should be indicated in a quite specific way (for instance: “visitors”, “empolyees”, delivery services ect.)»
Nell’addendum di Microsoft, invece, troviamo:
“Interessati. Le categorie di interessati sono i rappresentanti e gli utenti finali della Società, ad esempio dipendenti, appaltatori, collaboratori e clienti. Possono essere incluse altre categorie di interessati identificate nei registri gestiti dalla Società che agisce come titolare del trattamento ai sensi dell’Articolo 30 del GDPR”
In ipotesi, quindi, l’accordo Microsoft–Cliente business, ammette la possibilità che i dati personali affidati a Microsoft quale responsabile del trattamento, possano riguardare tutte le possibili “categorie di interessati identificate nei registri gestiti dalla Società”.
Lasciamo giudicare al lettore la rispondenza di questa formula all’obbligo di indicare le categorie di interessati “in a quite specific way”.
4. Tesi: i giganti del Cloud sono Titolari e non Responsabili: dimostrazione tramite la confutazione preventiva delle obiezioni alla luce delle Linee Guida EDPB 07/2020.
Avendo io la pretesa dei costruire il ruolo dei cloud provider come Titolari del Trattamento, ai sensi degli artt. 4, par. 1 n. 7), 24 e 25 del Regolamento UE 2016/679, provo qui a verificarne la tenuta giuridica, rispondendo idealmente alle obiezioni che potrebbero farsi a questa tesi, alla luce anche dei chiarimenti recentemente forniti dall’EDPB proprio nelle Linee Guida 07/2020 qui in esame.
L’art. 4, par. 1, n. 7) afferma che è da ritenersi “Titolare del Trattamento”
«la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali»
Si potrebbe obiettare che i cloud provider non conoscono per quali finalità vengano trattati i dati che i loro clienti “storano” sui loro server.
Rispondo dicendo che l’oggetto del Trattamento imputabile alla diretta titolarità del cloud provider è, appunto, quello di “conservare” dati personali di chicchessia, consumer o business client che dir si voglia, per (ed è questa la finalità) fornire a chicchessia spazio di archiviazione e/o servizi applicativi nella “nuvola”.
Mi si potrebbe obiettare che i cloud provider non hanno accesso ai dati dei loro clienti, ma si limitano esclusivamente a “conservarli” in loro nome e conto.
Rispondo dicendo che all’art. 4 del Regolamento europeo, al par. 1, numero 2), la definizione di “Trattamento” contempla anche l’attività di mera “conservazione”.
A ciò aggiungo che l’EDPB (a pag. 9 delle linee guida, par. 12) afferma chiaramente che quelli di “Titolare” e “Responsabile” sono concetti determinati dalla effettiva funzione.
Chiarisce, inoltre, (pag. 15, par. 40) che il “controllo” (che rende Titolare – cioè “controller” – un operatore) esercitato su un determinato trattamento, può essere visto sia come controllo esercitato sull’interezza del trattamento, sia il controllo esercitato solo su sola particolare fase dello stesso.
Ben potrebbe, quindi, essere considerato Titolare del trattamento il cloud provider o, mi viene da aggiungere, anche l’hosting provider, che si limiti a predisporre tutti i mezzi necessari per “conservare” sui suoi server dati altrui, tra cui potrebbero esserci anche dati personali.
Si potrebbe obiettare che se non so di trattare dati personali, perché sui miei server i dati vengono caricati dai miei clienti, non posso essere considerato titolare.
Rispondo, rilevando che le linee guida pag. 16, par. 41) ancora affermano:
«An actor will be considered a “controller” even if it does not deliberately target personal data as such or has wrongfully assessed that id toes not process persona data»
«Un attore sarà considerato “titolare del trattamento” anche se non prende deliberatamente di mira i dati personali in quanto talo o ha valutato erroneamente che non tratta dati personali».
E, infine (linee guida, pag. 16, par. 42):
«It is not necessary that the controller actually has access to the data that is being processed»
«Non è necessario che il Titolare abbia effettivamente accesso ai dati che sono oggetto di trattamento»
5. Gestione e vantaggi di un ribaltamento
Ma come sarebbe possibile gestire un ribaltamento di tal fatta?
All’obiezione, ad esempio, secondo la quale, così pensando, risulterebbe impossibile per i cloud provider adempiere all’obbligo di comunicare l’informativa agli interessati di cui nulla conoscono ai sensi dell’art. 14 GDPR, si può rispondere che, stante la particolare notorietà e diffusione dei servizi dei giganti del cloud, si possono loro applicare le esenzioni previste dall’art. 14, par. 5, lettere a) e b), essendo, da un lato, le informative rese disponibili a chiunque su internet ed essendo certamente impossibile o implicante uno sforzo davvero sproporzionato ottemperarvi.
Si potrebbe, altresì, obiettare che resterebbe sempre a carico degli utenti business dei servizi cloud la responsabilità verso gli interessati, di cui trattano dati personali in qualità di Titolare, di scegliere come servizi quelli che, ad esempio, trasferiscono dati fuori dall’UE.
Si può rispondere che, in presenza di servizi erogati in regime di monopolio o oligopolio (finché non diverrà attiva – e competitiva – la piattaforma europea Gaia-X), non può configurarsi alcuna responsabilità in capo al cliente business dei cloud provider, perché sarebbe come contestare ad un Titolare di avvalersi, in ipotesi, del servizio postale di uno stato membro erogato da un ente o da una società che non risulta compliant con il GDPR.
Quella Posta c’è e quella Posta tocca utilizzare.
Posta e cloud provider sono Titolari autonomi e destinatari della comunicazione dei dati personali da parte dei Titolari.
Il problema, dunque, deve trasferirsi in capo al cloud provider, che dovrà mettersi a norma, in quanto Titolare del Trattamento. E lo dovrà fare anche se ha sede a Redmond o a Mountain View, perché sta fornendo servizi a interessati nell’Unione.
Ciò consentirebbe l’indubbio vantaggio per tutte le aziende europee di smettere di preoccuparsi di Schrems I, Schrems II, Schrems “n”, e di continuare a lavorare, perché ai cloud provider dovrebbero pensare direttamente le Autorità di Controllo o la giustizia amministrativa.
Finché sono preseti ed operano in Europa, vorrebbe dire che le Autorità di Controllo e i giudici europei glielo stanno consentono.
Non si può scaricare il fardello sulle imprese e sugli enti.
Diteci, invece, che è vietato utilizzarli,
chiudendo le rappresentanze Google, Microsoft, Amazon, ecc. ecc. in tutta
l’Unione Europea, e noi ci adegueremo (tornando al pallottoliere).
Fino
ad allora, però, lasciamo lavorare le aziende e scateniamo le Autorità di
Controllo (cioè gli Stati Membri e l’Unione)!
[1] Cfr. S. CEDROLA, GDPR in the Cloud: who is who?, su Ius in Itinere, in Internet, all’indirizzo web https://www.iusinitinere.it/gdpr-in-the-cloud-who-is-who-14322, verificato il 17/11/2020
[2] Crf. EDPB, Guidelines 07/2020 on the concepts of controller and processor in the GDPR, document pdf scaricabile dal sito internet dell’EDPB, sezione «GDPR: Guidelines, Recommendations, Best Practices», all’indirizzo web https://edpb.europa.eu/our-work-tools/general-guidance/gdpr-guidelines-recommendations-best-practices_en, p. 32, sito consultato il 14.11.2020
[3] Cfr. Microsoft, Addendum scaricabile all’indirizzo web: https://www.microsoftvolumelicensing.com/Downloader.aspx?DocumentId=18007
