Con riferimento alla costante evoluzione del tracciato disegnato dal giurista, è da sottolineare la complessiva operazione di riforma, ormai imminente, della Direttiva 95/46/CE relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (“Direttiva 95/46/CE”). Si tratta di un intervento di portata sostanziale, che produrrà verosimilmente effetti strutturali di ampio raggio con ricadute prevedibili anche in tema di cloud. Vanno comunque attese le posizioni ufficiali del Garante italiano per la protezione dei dati personali e, a livello europeo, del Gruppo di lavoro art. 29 per la protezione dei dati (“Gruppo ex art. 29”). Entrambe queste autorità hanno al momento affrontato solo alcuni aspetti della disciplina del cloud computing, riservando a futura occasione i necessari approfondimenti di sostanza. Esaurita questa doverosa premessa e venendo al vivo dell’analisi, si pone innanzitutto la scelta dei modelli su cui soffermarsi. Si può infatti affrontare il tema del cloud secondo la prospettiva della pubblica amministrazione (“PA”) nella veste di fornitrice (provider) di servizi cloud (per altre PA o per privati) oppure secondo quella della PA nel ruolo di fruitrice (buyer) di servizi cloud forniti da terzi (PA o privati). I due approcci sollevano questioni diverse e non necessariamente simmetriche. Soltanto a titolo di esempio, ci si deve preliminarmente chiedere, nell’ipotesi di PA provider, se non venga in considerazione (o fino a che punto non venga in considerazione) l’inquadramento della stessa nella tipologia del soggetto pubblico economico, con conseguente applicazione della disciplina prevista per i soggetti privati in tema di protezione dei dati personali. Ad ogni modo, la presente analisi si sofferma unicamente sull’ipotesi della PA in veste di fruitrice di servizi cloud, possibilità che si prospetta al momento come di più immediata applicazione pratica.
Come già ricordato, le motivazioni per le quali un soggetto pubblico può valutare se migrare i propri dati in un cloud possono sinteticamente riassumersi in termini di risparmio economico, di interoperabilità e facilità di condivisione, di efficienza e di sicurezza. 23 L’ultimo passaggio, quello della sicurezza, è evidentemente di estrema rilevanza in materia di tutela dei dati personali, e andrebbe considerato quale valore aggiunto del cloud anziché essere percepito come un elemento di debolezza di questa modalità di erogazione di servizi. Occorre riconoscere che il punto è controverso ed è stato oggetto di vivace dibattito. Pare tuttavia che lo sfavore manifestato quanto alla sicurezza dei dati in un contesto cloud sia dovuto soprattutto ad un sospetto iniziale, ma non abbia trovato espressione in oggettive e argomentate ragioni. Al contrario, l’analisi obiettiva dei requisiti necessari ad assicurare un elevato livello di sicurezza dei dati spinge a conclusioni del tutto diverse. In effetti, va considerato che la sicurezza informatica ha un costo rilevante e richiede un investimento dedicato. Dipende da una serie di fattori strettamente materiali, tutti alla portata della “massa critica” di un cloud provider ma non necessariamente sostenibili da soggetti come le PA, che devono destinare in via principale ad altre finalità le loro risorse. La sicurezza informatica richiede una notevole dotazione di tecnologie, la predisposizione di un’organizzazione dei sistemi e di personale ad hoc, l’utilizzo di protocolli sempre aggiornati, la formazione costante dei tecnici e la capacità di pronta reazione alle ‘falle’ informatiche di volta in volta emergenti.
Un’ulteriore obiezione di carattere generale che viene mossa in ambito privacy al cloud computing riguarda il mantenimento del controllo sui dati, principio fondamentale e di lontana formulazione. Aspetto complementare al controllo dell’interessato, e con esso necessariamente interrelato, è rappresentato dal controllo sui dati della PA come titolare del trattamento e, conseguentemente, del cloud provider sui dati distribuiti nel cloud. Il passaggio si lega a quello della ridondanza: occorre che le informazioni personali possano essere effettivamente e agevolmente modificate o cancellate, con effetto su tutte le copie presenti nel sistema. Ancora una volta viene in considerazione un elemento che si presta ad essere efficacemente affrontato innanzitutto a livello tecnico, essendo pacifico il principio giuridico a monte. Il problema sicurezza perciò va affrontato non tanto in termini di natura tecnico-informatica, dove il cloud risulta significativamente vantaggioso, quanto piuttosto in termini negoziali-contrattuali, strettamente legati alla forza dei buyer di imporre al provider le “regole d’ingaggio”, livelli di servizio e di rispetto della disciplina sulla tutela dei dati personali ritenuti soddisfacenti, nonché di stabilire con precisione la responsabilità contrattuale di quest’ultimo (e degli ulteriori eventuali soggetti coinvolti nell’erogazione dei servizi in modalità cloud) in caso di violazione. Sul punto potrebbe essere opportuno lo studio di eventuali linee guida di settore che traccino le garanzie minime in presenza delle quali la PA possa aderire al cloud. Ciò avrebbe effetti positivi non solo per entrambe le parti coinvolte, ma stimolerebbe lo sviluppo di best practice cloud per la PA perché: chiarirebbe i requisiti minimi che devono essere tenuti in considerazione dai provider nel proporre un’offerta cloud per la PA; potenzierebbe la forza negoziale della PA al fine di ottenere servizi sempre più rispondenti alle proprie esigenze; stimolerebbe la concorrenza dei provider al fine di fornire soluzioni volte alla massima soddisfazione anche dei requisiti legali necessari al fine di erogare i propri servizi alla PA.
Vi sono ulteriori obiezioni di natura generale al cloud da prendere in esame, ad esempio quella relativa alla data minimisation, ossia alla riduzione al minimo dei dati e dei trattamenti. Il cloud, in effetti, per sua stessa natura tende a lavorare sul principio opposto, quello della ridondanza delle informazioni. Il problema esiste ma non va enfatizzato e probabilmente anche in questo caso il migliore approccio e le migliori soluzioni sono da cercarsi in ambito tecnico, prima ancora che giuridico. In ogni caso, anche sotto un profilo squisitamente giuridico, la ridondanza dei dati non rappresenta a priori un aspetto necessariamente negativo, posto che la ragione della duplicazione delle informazioni risponde anche a logiche di integrità e conservazione delle medesime. Lo stesso D. Lgs. 196/2003 - Codice in materia di protezione dei dati personali (“Codice Privacy”) prevede ad esempio il backup dei dati, ossia una forma di ridondanza dell’informazione, come misura minima di sicurezza da osservare. A ciò si aggiunga che lo stesso Garante per la 24 protezione dei dati personali (“Garante Privacy”), nella recente “Scheda di documentazione cloud computing: indicazioni per l’utilizzo consapevole dei servizi” [GAR10], sostiene che: “(…) nel caso in cui i dati trattati non siano i propri, come avviene per aziende e pubbliche amministrazioni che raccolgono e detengono informazioni di terzi, l’adozione di servizi che non offrono adeguate garanzie di riservatezza e di continuità operativa può avere rilevanti ripercussioni nel patrimonio informativo dei soggetti cui i dati si riferiscono. In tal senso, il titolare del trattamento dei dati a fronte del contenimento di costi dovrà comunque provvedere al salvataggio (backup) dei dati allocati nel cloud, ad esempio creandone una copia locale (eventualmente sotto forma di archivio compresso), allo scopo di gestire gli eventuali rischi insiti nell’acquisizione di servizi che, pur con i vantaggi dell’economicità, potrebbero tuttavia non offrire sufficienti garanzie di affidabilità e di disponibilità.”
Anche i D. Lgs. 82/2005 e 235/2010 contengono prescrizioni finalizzate alla continuità operativa e al disaster recovery che presuppongono forme di ridondanza dei dati. Le linee guida [DIG11] emesse da DigitPA a seguito dei decreti citati approfondiscono alcuni degli aspetti tecnici e contrattuali delle soluzioni, anche di tipo cloud, idonee a garantire la continuità del funzionamento delle organizzazioni pubbliche. È semmai corretto perciò impostare il problema in un’ottica di bilanciamento tra esigenze di preservazione del dato, assolte dal ricorso alla ridondanza, ed esigenze di minimalismo informativo. Esiste verosimilmente un quantum desiderabile di ridondanza su cui ci può attestare strutturando in maniera consapevole gli strumenti tecnologici utilizzati. Va notato comunque che il principio della data minimisation assume un significato particolarmente cogente in ambito pubblico e rispetto ad alcune tipologie di dati (dati sensibili e giudiziari), per applicazione dell’art. 22, commi 3 e 5 Codice Privacy, e che dunque il problema si pone quale passaggio non secondario cui dedicare specifici approfondimenti.