Un terzo elemento fondamentale sul quale porre l’attenzione è rappresentato dall’ambito al quale si riferisce il trattamento. Per affrontare immediatamente situazioni complesse, si può fare l’esempio dell’ambito sanitario, dove esiste una stringente disciplina di settore da tenere presente. Questo passaggio si interseca peraltro con il precedente, relativo alla corretta identificazione dei dati, in quanto i dati idonei a rivelare lo stato di salute sono disciplinati da disposizioni specifiche. Di particolare importanza è il principio di separazione dagli altri dati personali, ai sensi dell’art. 22, c. 7 Codice Privacy. Sul punto si può ripetere quanto già osservato in termini di cifratura, del resto da osservare strettamente anche in ambito sanitario. Requisito essenziale in materia di trattamento in ambito sanitario è costituito poi dalla necessità – del tutto eccezionale nel contesto pubblico – di raccogliere il consenso dell’interessato, quale condizione di liceità del trattamento. Una manifestazione di consenso ulteriore, in applicazione delle regole generali, dovrebbe poi essere effettuata dall’interessato anche a proposito del trattamento consistente nella comunicazione ai cloud provider, ove questi siano considerati titolari autonomi, affinché svolgano le operazioni di trattamento consistenti nella registrazione e nella conservazione dei dati all’interno del cloud. Tuttavia sul punto, salvo diverse conclusioni ad esito di approfondimenti specifici, deve ritenersi applicabile la disciplina in materia di semplificazione e, nella specie, l’art. 81 Codice Privacy, che rende possibile l’espressione di un consenso unico e omnicomprensivo. Ugualmente, l’informativa può essere resa in modo unitario, possibilità del resto sempre ammessa anche in ambiti diversi da quello sanitario. Sembra necessario che l’informativa dia conto del fatto che il dato sarà trattato in un contesto di cloud e contenga una sintetica esposizione delle caratteristiche che ciò comporta. Aspetto più controverso è se si debba dare conto nell’informativa, anche eventualmente attraverso il richiamo a separato documento accessibile all’interessato, della specifica composizione della ‘nuvola’, ossia elencare i cloud partner (subfornitori) che ne fanno parte. Tale problema è in realtà avvertito maggiormente nel caso di cloud provider che sia responsabile di trattamento, come tale impossibilitato allo stato, e salvo aperture in senso diverso, dal nominare direttamente altri responsabili, con la conseguenza che – stante la vigente normativa – dovrà necessariamente essere il buyer a designare direttamente questi ultimi. C’è un ulteriore aspetto, collegato a quest’ultimo, che merita approfondimento e al quale bisogna fare cenno: si tratta della possibilità che il carattere dinamico e non necessariamente determinato a priori della composizione del cloud possa avere ricadute sulla distinzione tra comunicazione e diffusione del dato, con conseguenze rilevantissime, attesa l’illiceità della diffusione dei dati sanitari. Si tratta di tema al quale dedicare approfondimenti specifici, impossibili in questa sede.
Da ultimo, sempre a proposito di trattamento in ambito sanitario, va evidenziato che campo di applicazione particolarmente fertile del cloud si presenta quello della gestione del fascicolo sanitario elettronico. Il grado di complessità e di implicazioni è particolarmente elevato e richiede una trattazione specifica. Qui si può solo rilevare da un lato che il cloud si presenta come una tecnologia particolarmente vantaggiosa nella gestione del fascicolo sanitario elettronico, sia sotto il profilo del contenimento della spesa, sia sotto quello dell’efficienza, dell’interoperabilità e dell’implementazione di stringenti misure di sicurezza, e che dall’altro lato il trattamento deve attestarsi ad un livello particolarmente rigoroso di rispetto delle regole fondamentali in materia di tutela dei dati personali: stretta aderenza alla finalità, pertinenza e non eccedenza, durata limitata del trattamento (compatibilmente con le finalità), rispetto della dignità dell’interessato e dei suoi familiari, corretta e completa informativa, pieno controllo da parte dell’interessato sui propri dati. Tra i vari aspetti tecnologico-giuridici si segnala come il rigoroso controllo degli accessi logici, l’accurata gestione delle identità e dei relativi privilegi al trattamento dei dati, nonché la conservazione 35 dell’integrità dei medesimi risultano condizioni necessarie per la migrazione – a norma di legge – verso il cloud di tali servizi.