Nella sua ultima newsletter (n. 345 del 4 febbraio 2011) il Garante per la protezione dei dati personali ha annunciato il piano ispettivo per il primo semestre del 2011, informando che la lente verrà puntata nei prossimi mesi su:
- investigatori privati
- servizi informatici (in particolare quelli forniti mediante il cosiddetto “cloud computing”)
- istituti bancari e carte di credito
- marketing (anche via sms ed e-mail)
- enti previdenziali.
L’attenzione del Garante ai servizi cloud era ampiamente prevedibile, considerato che già nella Relazione 2009 il Prof. Pizzetti aveva avvertito:
“occorre riflettere anche sui rischi che pone la nuova tecnologia del “cloud computing”, con la quale i dati verranno sempre più sottratti alla disponibilità materiale di chi li produce e usa, e gestiti da enormi server collocati in ogni parte del pianeta”.
Delle problematiche giuridiche sollevate dai servizi di cloud computing (soprattutto quelli basati su un modello di delivery pubblica o ibrida) quelle relative alla privacy sono probabilmente le più delicate e complesse (il nostro Codice privacy è applicabile al cloud provider? Qual è il ruolo svolto dal cloud provider nel trattamento dei dati, contitolare o responsabile? Come gestire il problema del trasferimento dei dati all’estero?).
Per chi volesse approfondire il tema ed evitare sgradite sorprese – lo scorso anno il Garante, nel corso della propria attività ispettiva, ha irrogato sanzioni per quasi 4 milioni di euro – rimando alle slide che ho preparato per il convegno sul cloud recentemente svoltosi in Ticino, messe a disposizione tramite slideshare, in cui ho affrontato proprio il tema dei profili normativi e contrattuali relativi alla riservatezza e alla sicurezza dei dati nei servizi di cloud computing.
Giorgio Spedicato
