Altro elemento fondamentale sul quale concentrare l’attenzione è l’esatta individuazione della tipologia di dati da migrare sul cloud: comuni, sensibili (e tra questi i dati sanitari), giudiziari. In via generale deve evidenziarsi che il passaggio al cloud va calibrato sulla specie del trattamento eseguito. Nel caso dei dati comuni, ove il cloud provider sia un soggetto privato titolare autonomo di trattamento, occorre che la PA, che in qualità di buyer comunica i dati, operi sulla base di una norma di legge o di regolamento. Qui non può sottacersi che, mentre sul versante della predisposizione di regolamenti in materia di trattamento dei dati sensibili, adottati su parere del Garante Privacy ai sensi dell’art. 20 Codice Privacy, si è lavorato molto, raggiungendo nella sostanza l’obiettivo di colmare le lacune esistenti, gli enti che si sono dotati di un proprio regolamento per la comunicazione/diffusione dei dati personali comuni sono invece assai pochi, data anche la difficoltà obiettiva di censire questi ultimi, specie in organizzazioni di una certa complessità. Il problema assume perciò anche una dimensione pratica da tenere presente, che peraltro trascende i confini del tema cloud. Quanto ai dati sensibili, occorre la presenza di una norma di legge o di regolamento, mentre va escluso che il conferimento dei dati personali in un cloud possa costituire di per sé una speciale operazione di trattamento, diversa da una normale comunicazione a un titolare autonomo o da una trasmissione ad un responsabile, e come tale da normare in maniera apposita nella fonte primaria o secondaria. Discorso sostanzialmente analogo vale per i dati giudiziari, secondo la regola generale di cui all’art. 21 Codice Privacy, che per la liceità del trattamento richiede l’espressa disposizione di legge o il provvedimento del Garante Privacy. Piuttosto, occorrerà curare da parte dell’amministrazione fruitrice che sia rispettata nel cloud la regola di cui all’art. 22, c. 6 Codice Privacy sull’utilizzo di tecniche di cifratura o che rendano temporaneamente inintelligibile il dato. Ciò naturalmente è tanto più vero nel caso in cui cloud provider sia responsabile di trattamento, e come tale si collochi entro la struttura del titolare PA, ma non è da escludere che trovi applicazione – magari attraverso opportuni strumenti contrattuali – anche quando la PA affida i dati a un privato titolare autonomo di trattamento. Il problema della cifratura e dell’inintelligibilità incontra comunque soddisfacenti soluzioni di tipo tecnico-informatico, e appare affrontabile con esito positivo in quell’ambito, a patto naturalmente che il cloud provider non abbia accesso ai codici di cifratura e sia possibile trovare tra gli interpreti accordo sul tipo di cifratura considerato adeguato