L’utilizzo di software con accessi da remoto o installati localmente (su postazioni di lavoro o server) e i servizi cloud rientrano tra le tipologie di trattamento di dati personali ormai tipici di ogni realtà aziendale. Forse per via del carattere di necessità per la quotidianità lavorativa, molte aziende tendono a sottovalutare il legame tra privacy e servizi informatici, complice anche l’impossibilità per l’utente di incidere realmente sulla modalità di gestione dei dati da parte dei fornitori di alcuni di questi servizi. Rispetto alla normativa privacy, però, i processi informatici devono essere considerati al pari di ogni trattamento dati e, quindi, valutati e gestiti.
Inventariare i trattamenti
Della necessità od opportunità di inventariare i trattamenti per poterne valutare i rischi in relazione alla sicurezza dei dati ho già parlato in precedenza. Oggi voglio sottolineare l’importanza di includere i servizi informatici nella propria analisi, inserendo tutti i dettagli opportuni per mettere a fuoco chi interviene nel trattamento e con quali responsabilità.
La gestione privacy e i software
I software installati localmente (on-premises) prevedono sul fronte privacy aziendale il coinvolgimento del fornitore e del cliente. In questo caso il fornitore si qualifica come responsabile esterno del trattamento e come tale deve essere incaricato dal titolare, prevedendo contrattualmente i relativi compiti e vincoli. Il titolare, invece, dovrà formare e incaricare il proprio personale all’uso corretto dello strumento informatico. In caso di uso illecito da parte del titolare o dei suoi incaricati, il fornitore non può essere considerato responsabile.
In relazione ai software on-premises bisogna fare attenzione all’eventuale distinzione tra il fornitore del software e l’organizzazione che fornisce assistenza all’impresa durante l’uso del prodotto. Se così fosse, si dovrà avere chiaro com’è stata definita la catena contrattuale per disciplinare i rapporti anche sul fronte privacy: se il rapporto contrattuale tra utente e assistenza è diretto , allora si dovrà provvedere alla nomina di un secondo responsabile esterno, altrimenti sarà il fornitore del software a dover vincolare “a cascata” il servizio di assistenza al rispetto della normativa in materia di trattamento dei dati personali.
Nel caso di software in cloud, oltre al fornitore, all’utente (titolare del trattamento) e all’eventuale servizio assistenza, può entrare in gioco un quarto soggetto, il gestore del data center (il soggetto titolare della struttura fisica che ospita il software in cloud). E qui passiamo al secondo capitolo di oggi, perché le aziende che offrono servizi in cloud non si qualificano come responsabili del trattamento.
La gestione privacy dei servizi cloud
Il responsabile del trattamento è un soggetto che tratta i dati per conto del titolare, cioè è una sorta di braccio operativo, che deve sottostare alle regole definite dal titolare, regole che devono rientrare tra i vincoli contrattuali per esplicita previsione di legge.
Considerato che il titolare del trattamento può influire poco o nulla sulle modalità di gestione di un cloud provider, questo finisce per qualificarsi come un autonomo titolare come accade per tutti i soggetti che, pur trattando dati per conto del titolare, lo fanno con forte o totale autonomia (ex. medico competente), al punto che le clausole contrattuali non sono definibili, e finisce per venire meno anche il carattere strumentale del rapporto con il titolare del trattamento.
Il titolare del trattamento non può né deve nominare il cloud provider come titolare, ma può tracciarne la funzione all’interno del registro dei trattamenti. Inoltre il titolare non deve dimenticarsi che resta a suo carico la responsabilità di scegliere un soggetto adeguato, capace di fornire garanzie alla sicurezza dei dati personali trattati. Quindi dovrebbe verificarne periodicamente l’operato e, nel caso in cui rilevi violazioni, valutare di rivolgersi ad altri fornitori, capaci di offrire maggiori garanzie.