Il cloud di Amazon ha ricevuto l’ok dal Gruppo Europeo dei Garanti Privacy
I Garanti europei hanno approvato il trasferimento di dati personali verso i servizi cloud di Amazon, anche al di fuori dell’Unione Europea
Amazon Web Services (“AWS”), la piattaforma cloud messa a disposizione da Amazon, ha sottoposto al Gruppo Europeo dei Garanti Privacy talune previsioni contrattuali, contenute in un addendum (“Data Processing Addendum”), tese a consentire il trasferimento dei dati personali anche al di fuori dell’Unione Europea, in conformità con la Decisione della Commissione Europea 2010/87/UE.
Come noto, il trasferimento di dati personali da paesi appartenenti all’UE verso Paesi “terzi” è in linea di principio vietato, salvo casi tassativi (consenso della persona interessata, necessità del trasferimento ai fini di misure contrattuali/precontrattuali, interesse pubblico preminente, ecc.) o salvo che il Paese in questione garantisca un livello di protezione “adeguato”. A stabilire se il livello di protezione offerto da un paese extraeuropeo sia adeguato, è la Commissione Europea con specifica decisione. È questo quanto avvenuto rispetto al cd. Programma Safe Harbor (approdo sicuro), al quale anche Amazon Web Services ha aderito. Si tratta di un programma derivante da uno specifico accordo negoziato tra Usa ed Unione europea nel 2000 e valutato idoneo ad offrire una protezione “adeguata”, consentendo il trasferimento dei dati personali europei alle aziende americane che aderiscono allo stesso e che quindi, dichiarano di rispettare standard di tutela equivalenti a quelli europei.
Un’altra modalità per traferire i dati verso paesi “terzi” consiste nella stipula delle cd. standard contractual clauses tra soggetto esportatore e soggetto importatore. Si tratta di previsioni contrattuali standard, redatte e approvate dalla Commissione Europea con Decisione 2010/87/UE, idonee ad assicurare un livello di tutela dei dati personali sostanzialmente equivalente a quello offerto dalla normativa europea.
Amazon ha redatto tali clausole standard, contenute nel Data Processing Addendum (“DPA”), e le ha sottoposte al Gruppo Europeo dei Garanti Privacy, che attraverso la Commissione Nazionale per la protezione dei dati personali del Lussemburgo (“CNPD”), in qualità di leader, le ha ritenute conformi alla Decisione 2010/87/UE. Ciò consente, pertanto, il trasferimento dei dati personali gestiti attraverso i servizi AWS, verso le diverse località del mondo in cui Amazon offre i propri servizi cloud, che comprendono USA Oregon, USA Virginia, USA California, Brasile, Australia, Singapore, Tokyo, in tal modo riducendo il numero di autorizzazioni nazionali altrimenti richieste per consentire il trasferimento internazionale dei dati.
Occorre tuttavia precisare che il Data Processing Addendum, il cui contenuto non è stato reso pubblico, non verrà applicato automaticamente, bensì gli utilizzatori dei servizi cloud di AWS che hanno già sottoscritto un contratto con AWS per i servizi cloud dovranno, se interessati al trasferimento dei dati extra UE, richiederne la sottoscrizione espressa.
Pur trattandosi di un importante risultato sotto il profilo della protezione dei dati personali, soprattutto all’interno di un contesto in cui i contratti con i cloud provider sono molto spesso predeterminati nel contenuto e difficilmente negoziabili singolarmente, la stessa Commissione nazionale lussemburghese ha precisato che, al di là del DPA, occorre altresì verificare, caso per caso ed eventualmente da parte delle singole autorità nazionali, le concrete modalità in cui si svolgono i trasferimenti conformi al DPA e le misure di sicurezza effettivamente implementate dal soggetto importatore.
Non poche sono infatti le preoccupazioni che sorgono intorno al trattamento dei dati personali attraverso la tecnologia del cloud computing, a cui le aziende di tutto il mondo fanno sempre più ampiamente ricorso e che consente la gestione di imponenti quantità di dati a costi particolarmente vantaggiosi. L’Italia risulta essere, oltretutto, tra i principali fruitori di questa tecnologia. Secondo un sondaggio condotto da Eurostat all’inizio del 2014, nella classifica delle imprese sopra i 10 addetti che usano di più il cloud computing, l’Italia figura ben al secondo posto nell’Unione Europea (con un 40%), dopo solo la Finlandia (51%) e prima di Svezia (39%) e Danimarca (38%).
Tuttavia, la mancanza di controllo sui dati caricati sulla “nuvola informatica”, nonché la possibilità per i fornitori di servizi cloud di disporre di infrastrutture in vari luoghi geografici, comportano notevoli rischi sotto il profilo della riservatezza e della sicurezza dei dati personali, senza tralasciare la necessità di dover garantire la tutela dei diritti dello stesso interessato relativamente al consenso ed alla sua revoca, alla modifica dei dati, etc.
Nei non numerosi provvedimenti cui poter fare riferimento in questa materia, tra cui le brevi pubblicazioni del Garante privacy italiano (“Cloud computing: indicazioni per l’utilizzo consapevole dei servizi”, docweb: 1819933 del 23/06/2011 e “Cloud computing – Proteggere i dati per non cadere dalle nuvole”, docweb: 1894499 del 24/05/2012) e un parere del Gruppo Europeo dei Garanti Privacy del 1° luglio 2012 (WP196 – Parere 05/2012), l’attenzione è rivolta alla necessità di ponderare accuratamente rischi e benefici dei servizi cloud e, in maniera particolare, l’affidabilità del fornitore cloud e le clausole contrattuali che governano la fornitura di tali servizi. In questo contesto, ben si inseriscono pertanto, le nuove clausole contrattuali approvate da Amazon, alla stregua delle analoghe clausole contrattuali per le quali anche Microsoft nel 2014, aveva richiesto e ottenuto l’approvazione dal Gruppo Europeo dei Garanti Privacy.