Di recente il Codice di Condotta CISPE (Cloud Infrastructure Services Providers in Europe) è stato ufficialmente adottato da diversi operatori del settore quali Aruba, Elogic, AWS (Amazon Web Service), Outscale e OVH Cloud. Queste ed altre società di servizi cloud hanno dichiarato che i propri servizi sono compliant al Codice CISPE.
Il Codice CISPE, approvato dalla CNIL e convalidato dall’EDPB con l’Opinion 17/2021 del 19 maggio scorso, rappresenta il primo codice di condotta per i fornitori di servizi cloud IaaS. Lo scopo principale del Codice è quello di aiutare i titolari del trattamento ed imprese europee ad adottare servizi cloud che offrano standard di sicurezza più elevati per una maggiore tutela dei dati.
Cloud software: una Carta contro le pratiche sleali, per un mercato equo e competitivo
In particolare, grazie al Codice CISPE, i titolari del trattamento potranno usufruire di servizi che assicurino loro il controllo sui propri dati, escludendo che il cloud provider possa utilizzarli per proprie finalità di marketing, data profiling e data mining. Inoltre, il Codice CISPE garantisce che il trattamento dei dati avverrà esclusivamente all’interno dello Spazio Economico Europeo, senza trasferimenti di dati extra-UE. Considerate le notevoli novità introdotte dal Codice CISPE, è importante valutare quali possano essere i possibili impatti per i titolari del trattamento nella valutazione privacy dei cloud provider sottoscrittori al CISPE.
Cosa si intende per Codice di Condotta ex art. 40 GDPR
Il Codice di Condotta è uno strumento di autoregolamentazione previsto dal GDPR agli artt. 40 e 41, volto ad aiutare i professionisti di un determinato settore (in questo caso quello dei servizi cloud IaaS) a dimostrare la propria conformità al Regolamento.
Il codice di Condotta rappresenta infatti uno strumento di “autoresponsabilità volontaria” finalizzato a precisare l’applicazione del Regolamento in diversi ambiti, quali ad esempio:
- Il corretto e trasparente trattamento dei dati;
- La corretta raccolta dei dati personali;
- Le misure di sicurezza tecniche/organizzative da adottare ai sensi degli artt. 24-25 e 32 del GDPR
- Le modalità di notifica di un data breach;
- Il trasferimento extra UE dei dati.
Attraverso i Codici di Condotta si possono infatti stabilire nuovi standard di settore per la protezione dei dati, colmando eventuali divergenze tra le discipline applicabili nei vari Stati Membri. Per questo motivo i Codici rappresentano un’importante opportunità per definire criteri applicativi (e anche pratici) che tengano conto delle caratteristiche dello specifico settore di riferimento[1].
Al fine di raggiungere questo obbiettivo, l’art. 40, par. 1, GDPR prevede espressamente un obbligo a carico degli Stati membri, delle Autorità di controllo, del Comitato europeo (EDPB) e della Commissione, di incoraggiare le associazioni e le organizzazioni rappresentati le categorie di titolari e responsabili del trattamento, alla redazione ed elaborazione di codici di condotta che possano promuovere una corretta applicazione del GDPR all’interno di un determinato settore, attraverso un bilanciamento e una valutazione degli interessi in gioco tra le specifiche modalità di trattamento del settore di riferimento e le disposizioni previste dal GDPR.
Una volta che l’associazione di categoria elabora la proposta di codice, essa, ai sensi dell’art. 55 del GDPR, viene sottoposta al vaglio dell’Autorità di Controllo competente (nel caso del Codice CISPE, la CNIL) la quale si esprime con un proprio parere sulla conformità o meno al GDPR. Successivamente, se il codice riguarda un progetto con valenza comunitaria, l’autorità di controllo sottopone il progetto all’EDPB, il quale a sua volta formulerà un proprio parere sulla conformità del Codice rispetto alle disposizioni del Regolamento in ambito sovranazionale.
È importante chiarire che le disposizioni contenute nei Codici di condotta, salvo per i soggetti che vi aderiscono, non sono di per sé vincolanti e possono essere utilizzate solo come linee guida nella verifica della compliance privacy dei soggetti di un particolare settore di riferimento.
Da questo punto di vista, infatti, l’adesione ad un codice di condotta può agevolare la dimostrazione del rispetto degli obblighi che gravano sul titolare del trattamento ex art. 24 del GDPR o alla sussistenza delle garanzie di cui all’art. 28 del GDPR da parte del responsabile del trattamento.
Pertanto, l’adesione ai codici di condotta può essere utilizzata come elemento per dimostrare l’accountability di un titolare e/o responsabile rispetto ai suoi obblighi previsti dal GDPR, tema che risulta fondamentale nelle valutazioni privacy condotte durante un assessment di un fornitore di servizi cloud.
Il Codice CISPE: le principali novità
Come anticipato, il Codice CISPE rappresenta un importante passo avanti del tentativo di delineare con maggiore chiarezza le responsabilità e gli obblighi privacy per i cloud provider fornitori di servizi IaaS (Infrastructure as a Service) nei casi in cui essi agiscano in qualità di responsabili del trattamento. Lo scopo del Codice CISPE è infatti quello di aiutare i cloud provider a dimostrare la loro conformità agli obblighi previsti dall’articolo 28 GDPR, rendendo più semplice e trasparente per i titolari del trattamento analizzare e valutare se i servizi cloud offerti da tali provider siano adatti alla tipologia di trattamento di dati personali che intendano effettuare[2].
Da questo punto di vista, il Codice approvato potrebbe rappresentare un valido standard per la valutazione dei suddetti servizi, offrendo alle aziende uno strumento in più (e allo stesso tempo specifico per il settore di riferimento) nella valutazione dei cloud provider.
Il Codice CISPE è suddiviso in cinque parti principali:
- una prima parte, che specifica l’ambito geografico e materiale (quali servizi copre) di applicazione del codice di condotta. Come anticipato, il Codice CISPE è rivolto a tutti i cloud provider di servizi IaaS, solamente però nei casi in cui tali soggetti operino come responsabili o sub-responsabili del trattamento;
- una seconda parte, che sviluppa i requisiti richiesti dal GDPR per la protezione dei dati. Questa sezione descrive i diritti e gli obblighi dei cloud provider aderenti in base ai principi chiave del GDPR come la limitazione delle finalità, i diritti degli interessati, il tema dei trasferimenti, la sicurezza, l’audit, i profili di responsabilità etc.;
- una terza parte, che affronta i requisiti delle misure di sicurezza da adottare. Questa parte descrive i requisiti di trasparenza “c.d. Transparency Requirements”, volti a garantire una migliore conformità del servizio offerto sia agli obblighi previsti dal GDPR, che agli obblighi contrattuali conclusi con il titolare del trattamento;
- una quarta parte, che specifica le modalità di adesione al Codice stesso;
- e, infine, una quinta parte che stabilisce il modello di governance del Codice[3].
Il codice CISPE comprende inoltre diversi allegati, volti a definire in maniera concreta gli obblighi sopra elencati, tra cui: i) un allegato tecnico contenente le misure di sicurezza che devono essere implementate a livello tecnico ed organizzativo; ii) una compliance checklist che definisce i criteri di conformità che un CISP deve adottare al fine di essere compliant al Codice e; iii) un modello per la notifica dei data breach.
Le parti di maggiore interesse sono proprio la seconda e la terza attraverso le quali il Codice CISPE definisce una serie di requisiti che i cloud provider, in quanto responsabili del trattamento, devono adottare. In particolare, al fine di essere compliant al Codice CISPE, i cloud provider devono:
- Garantire che il trattamento dei dati avvenga esclusivamente in Europa: il CISPE ha lo scopo di offrire ai titolari del trattamento la scelta di poter utilizzare servizi che assicurino che l’elaborazione dei dati avvenga esclusivamente all’interno dello Spazio economico europeo (SEE);
- Garantire il non riutilizzo dei dati: il cloud provider assicura di utilizzare i dati condivisi dal titolare solo per fornire il servizio offerto, impegnandosi a non utilizzare quei dati per altri scopi quali il data mining, attività di marketing e profilazione o in generale per finalità estranee a quelle del servizio offerto;
- Garantire misure tecniche e organizzative appropriate: Il cloud provider deve implementare e mantiene misure tecniche e organizzative appropriate per la corretta gestione delle strutture fisiche “c.d. data center facilities”, per la corretta manutenzione dei server, delle apparecchiature di rete e dei sistemi di hosting utilizzati per fornire il servizio medesimo;
- Garantire una corretta procedura di nomina dei sub-responsabili: Il cloud provider deve ottenere l’autorizzazione del titolare prima di permettere a un terzo sub-responsabile di elaborare i suoi dati. Tuttavia, il Codice CISPE non stabilisce a priori quale debba essere la modalità di nomina dei sub-responsabili (autorizzazione generale o specifica) demandando tale aspetto all’accordo contrattuale con il titolare;
- Garantire il corretto esercizio dei diritti degli interessati: Il cloud provider deve poter fornire al titolare la possibilità di adempiere agli obblighi previsti dagli artt. 15 e ss. del GDPR (ad esempio rettificando, cancellando i dati relativi agli interessati del titolare), o comunque consentire ai titolari di progettare e implementare attraverso il servizio le proprie soluzioni per la gestione dei diritti degli interessati;
- Garantire adeguata nomina del personale autorizzato al trattamento: il cloud provider deve imporre ai propri dipendenti ed autorizzati, appropriati obblighi contrattuali di confidenzialità, prevedendo altresì dei sistemi di controllo di accesso ai sistemi e ai dati dei titolari;
- Infine, garantire una adeguata procedura di gestione dei data breach: Il cloud provider deve implementare apposita policy di security incident management per la corretta identificazione e gestione di eventuali data breach. Sempre su questo tema, come anticipato, il CIPSE propone anche un modulo ad hoc per la notifica dei data breach al titolare, in modo da aiutare il cloud provider in tale attività e creando uno standard comune di riferimento[4].
Il Codice CISPE fornisce quindi una metodologia per la valutazione dei cloud provider, individuando alcune soluzioni pratiche ai problemi e alle tematiche più ricorrenti individuate dai professionisti del settore (tra cui il trasferimento dei dati extra UE), dando così una dimensione operativa ai principi di protezione stabiliti dal GDPR.
Conclusioni
Come brevemente illustrato, il Codice CISPE fornisce molti spunti di riflessione in merito a quelli che possono essere gli impatti privacy nei confronti di un titolare che decida di utilizzare tali servizi IaaS.
Una delle principali novità introdotte dal Codice CISPE è appunto quella di assicurare che -su scelta del titolare- il trattamento dei dati possa avvenire esclusivamente all’interno dello Spazio Economico Europeo.
È noto, infatti, come molte imprese italiane ed europee desiderino sempre più mantenere un maggiore controllo sui propri dati, assicurandosi che questi non siano trasferiti all’Estero: questione sempre molto complessa da affrontare per i titolari del trattamento durante le fasi di contrattazione negoziale ed assessment privacy di un cloud provider, è infatti stabilire dei limiti (o escluderlo del tutto) al trasferimento dei propri dati fuori dall’Unione Europea.
Ciò è strettamente legato all’alto costo in termini di tempo, risorse ed oneri che i titolari devono sobbarcarsi in caso di trasferimenti extra UE (come, ad esempio, la redazione di DTIA e la predisposizione di SCC, o eguali strumenti di adeguatezza per il trasferimento dei dati verso paesi terzi o organizzazioni internazionali ai sensi degli artt. 44 e ss. del GDPR).
Per questo motivo, è sempre più diffuso tra le imprese la ricerca di soluzioni alternative che non comportino il trasferimento di dati extra UE ma che garantiscano comunque alti standard di performance e uguali prospettive di crescita per il proprio business.
Ulteriore aspetto importante su cui il Codice CISPE pone l’attenzione, è proprio quello di disciplinare i rapporti contrattuali tra titolare e cloud provider, definendo le rispettive responsabilità in tema Data Protection. Il Codice stabilisce chiaramente che il cloud provider non ha il controllo sui dati che il titolare decide di condividere o caricare per mezzo dell’infrastruttura. I CISP forniscono infatti un’infrastruttura cloud self-service ed è pertanto il titolare che sceglie se e come utilizzare questa infrastruttura e come vengono di conseguenza trattati i dati.
Sebbene l’obiettivo del Codice CISPE sia quello di aiutare i titolari a scegliere la giusta infrastruttura cloud, assistendoli nella verifica dei requisiti previsti, il Codice non può in alcun modo sostituirsi ad un rapporto contrattuale concluso tra provider e titolare del trattamento.
Su questo punto il Codice è chiaro affermando che il titolare e il cloud provider sono liberi di definire i termini del servizio, determinando così le loro reciproche responsabilità contrattuali. È importante tenere a mente che:
- gli aspetti di sicurezza informatica (tra cui la sicurezza del network e le configurazioni tecniche) e;
- il rispetto della normativa di riferimento (ad esempio il rispetto dei requisiti contrattuali previsti dalla legge nazionale);
costituiscono profili di responsabilità condivisa tra titolare e cloud provider che non possono essere elusi o predeterminati da nessun Codice di Condotta e che devono essere direttamente regolati dalle parti.
Per questo motivo, quando il titolare sceglie di concludere un contratto con un cloud provider, l’adesione al Codice CISPE non garantisce automaticamente la conformità di tale fornitore a tutte le misure di sicurezza necessarie e alla legge locale applicabile, inclusa la normativa privacy di riferimento.
Infatti, quando si utilizza un qualsiasi servizio di infrastruttura cloud, è sempre opportuno che il titolare del trattamento effettui in autonomia la propria valutazione (sia privacy che contrattuale), sulla base delle specifiche attività di trattamento che vorrà porre in essere e soprattutto in conformità alle leggi locali applicabili.
Il Codice CISPE non impone alcun obbligo al cloud provider di adeguarsi ad esso e, inoltre, poiché in un ambiente IaaS la conformità alla protezione dei dati è una responsabilità condivisa tra il titolare del trattamento e il CISP, è importante chiarire che il Codice non può sostituirsi ad una valutazione privacy del cloud provider.
In conclusione, il nuovo Codice CISPE rappresenta uno strumento in più , utile nel supportare i titolari nella valutazione privacy dei cloud provider, in particolare per quanto riguarda l’aspetto relativo al trasferimento dei dati extra UE. Tuttavia, poiché il Codice CISPE ha una portata transnazionale ed è destinato ad essere applicato potenzialmente in tutto il territorio europeo, è sempre opportuno valutare la compliance privacy del cloud provider con la relativa legge nazionale.
Il Codice agevola pertanto i titolari del trattamento nel valutare se il servizio garantisce gli standard richiesti dal GDPR, ma non può sostituirsi ad una idonea valutazione privacy e contrattuale condotta dal titolare prima della sottoscrizione del relativo contratto con il cloud provider.
Note
- d’Agostino, Andrea – Barlassina, Luca R. – Colarocco, Vincenzo, Commentario al Regolamento UE 2016/679 e al Codice della Privacy aggiornato, Edizioni Top Legal Academy, Milano, 2019. ↑
- CISPE, First Code of Conduct for Data Protection in Cloud Infrastructure goes live, 3 febbraio 2022, disponibile a: https://cispe.cloud/first-code-of-conduct-for-data-protection-in-cloud-infrastructure-goes-live/ ↑
- CNIL, The CNIL approves the first European code of conduct for cloud infrastructure service providers (IaaS), 11 giugno 2021, disponibile a: https://www.cnil.fr/en/cnil-approves-first-european-code-conduct-cloud-infrastructure-service-providers-iaas ↑
- CISPE,Data Protection Code of Conduct for Cloud Infrastructure Service Providers, 9 febbraio 2021, disponibile a: CISPE.cloud ↑