Quinto decisivo elemento sul quale porre l’attenzione riguarda infine l’ambito di circolazione dei dati, e più precisamente l’ambito territoriale di trasferimento dei medesimi. Com’è noto l’Unione europea, allargata ai paesi dello Spazio economico europeo (di seguito: “SEE”), costituisce un bacino da considerare in senso unitario. Le complessità reali sorgono invece in occasione di trasferimenti di dati personali in contesti extra-europei nei quali non sia garantito un livello di protezione ‘adeguato’ agli standard comunitari. Esistono in questo senso strumenti appositi per rendere possibile il trasferimento, quali: (a) il consenso dell’interessato, (b) le Model Clause approvate dalla Commissione europea , (c) le Binding Corporate Rules (di seguito: “BCR”) , (d) in caso di data importer statunitense lo strumento del Safe Harbor . In questa sede non è possibile un’analisi di dettaglio dei sopracitati mezzi di trasferimento dati, per un approfondimento sul tema si rinvia al position paper dell’Istituto Italiano per la Privacy ‘Cloud computing e tutela dei dati personali in Italia: una sfida d’esempio per l’Europa’ al quale si rimanda per un eventuale approfondimento. Per quanto rileva ai fini del presente documento, si sottolinea come questi mezzi per eseguire il trasferimento dati verso paesi fuori dallo SEE nei quali non sia garantito un livello di protezione ‘adeguato’ agli standard comunitari, non risultino adatti a supportare i trasferimenti multipli di dati tipici della struttura ad architettura distribuita del cloud. Indichiamo brevemente le macro criticità dei vari mezzi di trasferimento dati:
a) il consenso deve essere ottenuto da tutti i soggetti interessati coinvolti (criticità) a valle di un’informativa che dovrà indicare, tra le altre, il tipo di trattamento, la sfera di circolazione (trasferimento, comunicazione e/o diffusione), l’individuazione precisa del paese di destinazione (criticità), nonché le modalità di trattamento dei dati. Inoltre, il consenso può essere in ogni momento revocato dall’interessato e ciò può avere impatti pratici di difficile gestione nel cloud;
b) le Model Clause sono valide unicamente tra i due contraenti (cd. schema point to point). Il fatto che non sia prevista la stipulazione di contratti a favore di terze parti o applicabili ad un numero indeterminato di soggetti limita in concreto la circolazione dei dati nel cloud;
c) le BCR sono una sorta di codice di condotta interno di cui, stante la normativa vigente, possono dotarsi solo i titolari del trattamento (criticità ad es. per cloud provider inquadrati come responsabili). Tale codice di condotta per essere efficace deve venire approvato dalle autorità garanti (o comunque della Lead Authority), approvazione particolarmente difficile da ottenere. Inoltre, le BCR hanno un valore esclusivo infragruppo. Ossia i dati possono, in virtù delle BCR, circolare unicamente all’interno delle società di uno stesso gruppo (criticità con riferimento a eventuali trasferimenti a subfornitori del principale cloud provider).
d) il Safe Harbor è un meccanismo che si basa su un’autocertificazione del soggetto di diritto statunitense circa l’aderenza a questo programma (criticità con riferimento al valore reale di compliance). Inoltre, esso abilità 6 unicamente trasferimenti di dati da un soggetto in Europa a un soggetto negli Stati Uniti, eventuali altri trasferimenti all’interno del cloud non sarebbero dunque coperti.
Emerge da questa veloce ricognizione come occorrano nuove soluzioni per abilitare trasferimenti di dati personali in contesti extra-europei nei quali non sia garantito un livello di protezione “adeguato”, assicurando una tutela concreta dei dati dei soggetti interessati. Ad oggi è dunque consigliabile per le PA esigere e richiedere garanzie che i dati non vengano trasferiti verso paesi fuori dallo SEE nei quali non sia garantito un livello di protezione ‘adeguato’ agli standard comunitari. Una limitazione che in alcuni casi peraltro si incrocia con quanto disposto della disciplina relativa a specifici settori, che a volte non consente nemmeno la circolazione del dato all’esterno dei confini nazionali.