SPECIALE GDPR

82

dicembre 2017

segue da pagina 80

Il contratto di trattamento dei dati personali

con il fornitore di servizi cloud

Alle particolarità già enunciate sopra si aggiunga che, nella

pratica, i contratti per la prestazione di servizi cloud la-

sciano poco margine di negoziazione all’impresa-titolare

del trattamento, spesso a causa dell’asimmetria tra il po-

tere contrattuale dei maggiori fornitori di servizi cloud

e la maggior parte delle realtà aziendali, o addirittura

dei privati. Ciononostante, il Gruppo di Lavoro Articolo

29 ha chiarito sin dal 2010 che “lo squilibrio fra il po-

tere contrattuale di un piccolo titolare del trattamento

rispetto a un grosso fornitore di servizi non può giusti-

ficare il fatto che il primo accetti clausole e condizioni

non conformi alla normativa sulla protezione dei dati”.

Si ritiene, dunque, che il titolare che delega il trattamento

dei dati a un terzo, in tutto o in parte, abbia fondamental-

mente quantomeno il potere di decidere se concludere

o meno un contratto con un fornitore. Pertanto, prima

di affidare i dati a un fornitore cloud, l’impresa-titolare

del trattamento dovrà valutare il contenuto del contrat-

to per determinare se il fornitore cloud offre garanzie

adeguate ai sensi del Regolamento.

Cloud, un mondo in evoluzione

Vale la pena ricordare anche alcuni aspetti strettamente

correlati all’outsourcing di processi di business a fornitori

di prodotti e servizi cloud. Come evidenziato dal Garante

per la protezione dei dati personali nella sua mini-guida

“Cloud Computing - Proteggere i dati per non cadere

dalle nuvole”, la tecnologia cloud precede l’attività del

legislatore a livello internazionale. Nel settore del cloud

computing, ancorché da tempo siano molteplici i tenta-

tivi di definire delle regole comuni e uniformi in termini

© iStock - HYWARDS

di contratti di cloud computing (si pensi al lavoro del

Gruppo di esperti istituito dalla Commissione europea

nel giugno 2013, “Expert Group on Cloud Computing

Contracts”, ma anche a più recenti progetti finanziati

dalla stessa Commissione, tra cui SLALOM), non si ha

ancora una disciplina unitaria né in ambito strettamente

contrattuale né sotto il profilo della protezione dei dati

personali. Gli sviluppi di tale attività volta a uniformare

le diversità oggi in campo sono pertanto da tenere at-

tentamente monitorati.

Infine, per quanto riguarda i codici di condotta, il settore

dei fornitori di servizi di cloud computing merita sen-

za dubbio l’elogio di essere il precursore (ancor prima

della pubblicazione del Regolamento) di una proposta

di codice di condotta sul trattamento dei dati personali.

Si segnala in particolare il codice di condotta promosso

già nel 2011 dal gruppo C-SIG (Cloud Select Industry

Group) istituito dalla Commissione europea e oggetto

di successiva analisi da parte del Gruppo di Lavoro Ar-

ticolo 29, che è stato formalmente approvato lo scorso

maggio 2017 e costituisce il punto di riferimento per al-

cuni dei maggiori fornitori di servizi cloud. Tale codice

di condotta potrà perciò costituire un importante punto

di riferimento e spunto di analisi anche per coloro che,

pur non aderendo, desiderano valutare i parametri di

riferimento del mercato.

© iStock - Pinkypills