Previous Page  50 / 53 Next Page
Information
Show Menu
Previous Page 50 / 53 Next Page
Page Background

SPECIALE GDPR

80

dicembre 2017

segue da pagina 78

i dati trattati appartengano a categorie particolari (per

esempio dati idonei a rivelare lo stato di salute).

Non saranno più percorribili soluzioni contrattuali che

prevedano l’onere di conformità alla normativa sulla pro-

tezione dei dati personali esclusivamente a carico del

titolare del trattamento o generici obblighi di conformità

imposti al responsabile del trattamento.

Outsourcing e cloud computing

Nel contesto dell’outsourcing, il cloud computing ricopre

un ruolo particolarmente significativo. L’esternalizzazione

di servizi e processi in un ambiente cloud consente di

archiviare, elaborare e utilizzare una grande quantità di

dati attraverso soluzioni informatiche remote accessibili

via internet, offrendo agli utenti una maggior efficienza

e flessibilità a costi ridotti.

Vi sono due conseguenze importanti: da un lato, le impre-

se utilizzano sempre di più il cloud per archiviare i propri

dati; da un altro lato i fornitori di soluzioni informatiche

utilizzano a loro volta sempre più spesso infrastrutture

in cloud per ‘ospitare’ anche le loro applicazioni. Per-

tanto, non sempre il soggetto che si affida a terzi per

le proprie soluzioni informatiche ha ben chiaro dove

risiedano i propri dati personali. È chiaro che l’utilizzo

diretto di tecnologie cloud comporta una maggior tra-

sparenza, poiché il titolare ha la consapevolezza imme-

diata del fatto che sta acquistando un prodotto cloud.

Il secondo caso invece è più problematico, in quanto il

prosegue a pagina 82

fornitore di servizi cloud può essere alla fine della cate-

na di fornitori e questo aspetto può non essere chiaro

sin da subito al titolare.

Perché è così importante capire se, lungo la catena di

fornitura, vi è un fornitore di servizi cloud?

Innanzitutto, perché caricare e trattare i dati tramite

soluzioni cloud potrebbe comportare, in alcuni casi, il

rischio d’intercettazione dei dati trasmessi in modalità

digitale, di accesso non autorizzato e rischi relativi alla

mancanza di disponibilità o integrità dei dati. Inoltre,

l’utilizzo di sistemi cloud può rendere talvolta più com-

plesso per l’impresa-titolare del trattamento garantire

agli interessati i diritti di accesso, modifica e cancellazione

stabiliti dagli artt. 15-21 del Regolamento.

Per tanto, l’obbligo principale che grava sul fornitore

cloud nella sua qualità di responsabile del trattamento è

di adottare garanzie sufficienti per assicurare il rispetto

del Regolamento e la tutela dei diritti degli interessati.

Di fatto, questo significa che il fornitore è direttamente

responsabile non solo nei confronti del titolare del trat-

tamento, ma anche nei confronti dell’interessato stesso.

Inoltre, un numero significativo di fornitori di servizi e

prodotti cloud hanno i data center fuori dall’Unione

Europea o forniscono servizi funzionali alla fruizione

dei servizi (come per esempio l’help desk) tramite sedi

extra europee. Pertanto, l’affidamento di alcuni tratta-

menti di dati personali a tali fornitori comporta spesso

il trasferimento dei dati personali fuori dall’Unione Eu-

ropea e ciò richiede l’identificazione di una base legale

valida per eseguire tale trasferimento, conformemente

a quanto previsto dagli artt. 44-49 del Regolamento.

© iStock - olm26250

© iStock - Natali_Mis