Nel presente elaborato, l’autore mira a mettere in evidenza i profili di problematicità dei servizi di cloud computing in tema di protezione dei dati personali, con specifico riferimento agli studi legali, alla luce del c.d. General Data Protection Regulation. Vengono, dapprima, esaminate le linee generali della nuova disciplina europea, con evidenziazione delle novità rispetto alla previgente normativa e del loro impatto nel mondo della professione forense. Viene, successivamente, analizzata la tecnologia del cloud computing, nonché i vantaggi e i rischi correlati al cloud per la professione forense. Termina la trattazione l’individuazione di best practicies, che consentono, nell’attività forense, un miglior utilizzo del potenziale delle tecnologie di cloud e una minimizzazione dei rischi in tema soprattutto di tutela dei dati personali.
In this paper, the author aims to highlight the problematic profiles of cloud computing services in terms of protection of personal data, with specific reference to law offices, in light of the so-called General Data Protection Regulation. The general lines of the new European regulation are first examined, with highlighting of the changes with respect to the previous legislation and their impact on the world of the forensic profession. Subsequently, cloud computing technology is analyzed, as well as the benefits and risks related to the cloud technology for the forensic profession. The paper ends with the identification of best practices, which allow, in forensic activity, a better use of the potential of cloud technologies and a minimization of risks especially in terms of protection of personal data.
Keywords: General Data Protection Regulation - best practices.
Articoli Correlati: cloud computing - protezione dei dati personali
1. Introduzione - 2. Un cambiamento di paradigma nella tutela dei dati personali - 2.1. La professione forense e i dati personali - 3. Il cloud computing negli studi legali - 3.1. I vantaggi per la professione forense - 3.2. I rischi tecnologici: il rapporto tra il giurista e il tecnico - 3.2.1. Protezione dei dati personali - 3.2.2. Sicurezza informatica - 3.2.3. Fiducia - 4. Come sono tutelati i dati personali in cloud negli studi legali? - 4.1. Best practices - 5. Conclusioni - 6. Bibliografia - NOTE
Sempre più frequentemente gli studi legali si affidano a Internet Service Provider per ottenere servizi di cloud computing, utili ai fini dello svolgimento dell’attività forense. Non sempre questo avviene, ed è avvenuto negli anni precedenti, in totale consapevolezza. Molti sono i rischi che le tecnologie di cloud computing portano con sé in relazione alla protezione dei dati in esso allocati e, con l’introduzione di una nuova disciplina europea in materia di tutela dei dati personali, risulta utile ricomporre la questione e analizzare vantaggi e rischi. Il presente elaborato intende analizzare i profili problematici in materia di protezione dei dati personali, che caratterizzano il cloud computing, alla luce di un cambiamento di paradigma nella materia, introdotto con il nuovo Regolamento Europeo, con specifico riferimento agli studi legali. A questo proposito la trattazione indaga le linee generali del cambiamento di paradigma nella tutela dei dati personali e le conseguenze dello stesso, in particolare, nel mondo della professione forense, nel par. 2. Nel successivo par. 3, invece, si passa all’analisi della tecnologia di cloud computing con specifico riferimento all’applicazione della stessa negli studi legali. Infine, dopo l’analisi di vantaggi e rischi correlati al cloud, l’attenzione è posta sull’attuale tutela dei dati personali in cloud negli studi legali, facendo emergere le best practicies tese ad ottenere il massimo dallo sfruttamento del potenziale delle tecnologie di cloud computing nell’attività forense.
Il 25 maggio 2018 è divenuto effettivamente applicabile il Reg. 2016/679/UE, il c.d. General Data Protection Regulation (in seguito, GDPR), introducendo una nuova disciplina in materia di dati personali a livello europeo, sostituendo la risalente Dir. 95/46/CE relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati. Il cambio di paradigma in merito alla tutela dei dati personali, reso possibile da questa nuova normativa, è ravvisabile da più punti di vista. Innanzitutto, vi è un cambiamento di contenitore: la disciplina della protezione dei dati personali non è più contenuta in una Direttiva [1], come avveniva fino a quel momento, ma, bensì, assume la formale veste del Regolamento, fonte del diritto europeo di portata generale, obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri senza che sia necessario alcun tipo di recepimento, come previsto dall’art. 288 TFUE. In secondo luogo, vi è un cambiamento di approccio: l’attenzione passa dal dato in sé e per sé, ai processi realizzati sui dati, vale a dire i differenti trattamenti. A questo proposito, infatti, vi è il tentativo del legislatore europeo, di superare il modello del c.d. notice and consent, vale a dire dell’informativa e consenso, considerando quest’ultimo una sola delle sei basi legali che rendono lecito il trattamento, rappresentate dall’analitica e tassativa elencazione contenuta nel par. 1 dell’art. 6 del Reg. 2016/679/UE [2]. Inoltre, gli attori coinvolti nel trattamento dei dati personali devono attenersi ai due pilastri della normativa: approccio al rischio e responsabilizzazione. La responsabilizzazione, espressa con il termine inglese accountability, è uno degli obbiettivi che il GDPR intende far perseguire a coloro che trattano dati personali: per permettere una tutela dinamica di tali dati, infatti, è necessario che i soggetti coinvolti mantengano memoria storica di quanto realizzato nei propri trattamenti e si assumano la responsabilità di una corretta gestione dei medesimi. Con l’espressione “approccio al rischio” si intende la capacità di valutare quale possa essere il rischio che riguarda i dati dell’interessato, il c.d. data subject, vale a dire colui a cui i dati personali [continua ..]
Il cambio di paradigma che ha interessato la protezione dei dati personali, con il GDPR, travolge anche la professione forense. Gli avvocati sono, infatti, chiamati a prendere consapevolezza del fatto che, a causa dell’intrinseca natura della loro professione, trattano un gran numero e una grande varietà di dati personali [5]. Questo implica, innanzitutto, abbandonare la visione per la quale tutto ciò che riguarda la privacy dei clienti si limiti ad essere una lista di anonimi adempimenti che si possa risolvere con qualche firma. Come detto poco sopra, infatti, ciò che deve cambiare prima di tutto è l’approccio alla protezione dei dati: l’avvocato deve prendere consapevolezza di quali e quanti dati tratta nel suo fisiologico operare, come gli stessi sono conservati, per quanto tempo, con quali modalità e, soprattutto, adottare un approccio dinamico nei confronti della materia, che implichi il miglioramento continuo della gestione dei dati. Una robusta, consapevole e soprattutto proporzionata protezione dei dati personali da parte degli studi legali rappresenta sia un dovere che un vantaggio per gli stessi. Da un lato, deontologicamente, garantire ai clienti che i loro dati siano trattati sapientemente è parte del dovere sancito all’art. 14 del codice deontologico, secondo cui «L’avvocato è tenuto, nell’interesse del cliente e della parte assistita, alla rigorosa osservanza del segreto professionale e al massimo riserbo su fatti e circostanze in qualsiasi modo apprese nell’attività di rappresentanza e assistenza in giudizio, nonché nello svolgimento dell’attività di consulenza legale e di assistenza stragiudiziale e comunque per ragioni professionali» [6]. D’altro canto, un’effettiva tutela dei dati personali dei clienti si concretizza in un vantaggio nella creazione di un clima di trasparenza e fiducia, che si pone alla base di un sano e proficuo rapporto tra cliente e professionista. Nel parlare di proporzionata ed effettiva tutela dei dati personali si fa, però, riferimento ad un ulteriore aspetto che l’avvocato non deve dimenticare, vale a dire che la protezione dei dati personali non significa segretezza: un pilastro della disciplina, infatti, è l’art. 1 Reg. 2016/679/UE in cui si sancisce che «La libera circolazione dei dati personali nell’Unione non [continua ..]
Il cloud computing negli studi legali Il cloud computing, «l’evoluzione di una serie di tecnologie che, una volta utilizzate congiuntamente, sono in grado di rivoluzionare le modalità con cui le organizzazioni costruiscono le proprie infrastrutture informatiche» [7], per la sua specifica natura, può apportare un gran numero di vantaggi all’effettivo operare di coloro che svolgono la professione forense. Per poterli comprendere appieno, è, però, opportuno analizzare cosa si intenda per cloud computing [8]. Con questa espressione, infatti, si fa riferimento (1) all’utilizzo di applicazioni informatiche, (2) all’acquisto di servizi, oppure, (3) al trasferimento di parte delle proprie attività informatiche in infrastrutture detenute di terzi, sulle quali si vada direttamente ad operare. Per quanto riguarda il primo aspetto, si fa riferimento all’acquisizione di spazio in cloud, in cui allocare i propri dati. Le applicazioni informatiche di cui ci si avvale possono riguardare, tra le altre cose, la gestione di documenti, lo sviluppo di software, l’amministrazione di banche dati e la gestione di posta elettronica[9]. Questo modello è definito Software as a Service (SaaS)[10] e gli esempi tipici sono i servizi forniti da Sakeforce (CRM) e Google Apps con Google Docs o i servizi e-mail [11]. L’acquisto di servizi di cloud computing, invece, rappresentato dal modello Infrastructure as a Service (IaaS)[12], implica l’ottenimento, da parte del fruitore finale, di un computer virtuale di cui si avvarrà per le proprie attività, dove collocherà dati e software di cui necessita. Questo computer virtuale che si acquista è generato dalle varie componenti informatiche del cloud. Infine, il trasferimento delle proprie attività informatiche in cloud, rappresentato dal modello Platform as a Service (PaaS) significa evitare di dover realizzare un proprio apparato informatico per avvalersi di quello offerto direttamente dal provider[13] per lo sviluppo e l’hosting evoluto di applicazioni[14].
La tipologia di servizi cloud che può maggiormente interessare uno studio legale è generalmente quella ricollegabile al primo modello, SaaS, e, nello specifico, il riferimento va ai servizi di cloud storage, vale a dire all’immagazzinamento e all’archiviazione su server remoti di dati, facilmente recuperabili in ogni momento. I vantaggi sono molteplici. In primo luogo, è prevista la gestione diretta e su richiesta [15] di tali servizi: la possibilità per l’avvocato in quanto consumatore finale di attivare autonomamente nuove risorse (nuovi server o nuovo spazio di storage), in maniera indipendente rispetto al cloud provider [16]. Dal punto di vista economico, questa possibilità è decisamente vantaggiosa: dal momento che il servizio è basato sull’effettivo bisogno, risulta non essere necessario un cospicuo investimento iniziale, antecedente la reale richiesta di utilizzo delle risorse [17]. Per rendere la fruibilità dei servizi il più ampia possibile, realizzabile attraverso qualsiasi dispositivo, mediante meccanismi standardizzati, è comunque imprescindibile ampio accesso alla rete. In secondo luogo, un enorme vantaggio è il resource pooling, vale a dire la messa in comune delle risorse, a favore di una moltitudine di utenti, attraverso il c.d. modello multi-tenant [18], cioè mediate un’applicazione che conceda i servizi ad una pluralità di utenti, in parallelo, preservandone la separazione, dando così la percezione di unicità del rapporto, benché sia database che architettura sottostante siano, di fatto, condivise. All’interno di uno studio legale di medie o grandi dimensioni, questo vantaggio è decisamente considerevole se si pensa alla possibilità di accedere a dati condivisi da più utenti in differenti luoghi geografici. Inoltre, i servizi di cloud sono caratterizzati da una grande flessibilità ed elasticità. Essi, infatti, sono forniti in maniera considerevolmente rapida (nell’ordine di secondi o minuti), aumentando e riducendo le prestazioni a seconda della moltitudine di consumatori, senza che le stesse subiscano dei degradi. Questo vantaggio è dovuto alla scalabilità dei sistemi di cloud computing, in grado di espandere o limitare l’infrastruttura con grandissima flessibilità, sulla base del bisogno di [continua ..]
Come ogni tecnologia, anche il cloud computing comporta una serie di rischi. Gli aspetti maggiormente problematici derivanti dall’adozione di soluzioni in cloud sono rappresentabili in termini di rischi relativi alla protezione dei dati, alla sicurezza e alla fiducia.
La tutela del trattamento dei dati personali è una tematica trasversale che, in qualche modo, tocca ogni altro aspetto problematico del fenomeno cloud, dalla determinazione delle clausole contrattuali, alla cybersecurity, passando per la fiducia. In relazione ai sistemi di cloud, si ha generalmente la percezione di avere a che fare con «un sistema “per sua natura insicuro e aperto”, con conseguenti rischi di perdita e furto di informazioni e manovre non autorizzate» [21]. Tale percezione trova le sue radici nella natura stessa dell’infrastruttura cloud: per ragioni tecniche, legate all’esigenza di evitare il sovraccarico dei server, nonché per evitare le perdite delle informazioni, i dati vengano spostati frequentemente da un server all’altro, nonché immagazzinati in più d’uno nello stesso momento [22]. Tale fenomeno di delocalizzazione dei data center è ampiamente riconosciuto, anche in giurisprudenza [23]: in questo modo risulta difficile per il titolare del trattamento dei dati personali sapere con certezza dove gli stessi siano materialmente collocati, e quindi averne il pieno controllo. Inoltre, se la delocalizzazione dei dati in cloud fra i vari server permette che le risorse allocate in queste infrastrutture siano meglio conservabili e prontamente reperibili, dall’altro lato rappresenta una problematica in materia di diritto alla cancellazione, ai sensi dell’art. 17 Reg. 2016/679/UE, secondo cui «il titolare del trattamento ha l’obbligo di cancellare senza ingiustificato ritardo i dati personali», qualora gli venga richiesto dal cliente-data subject [24].
Sempre più spesso si verificano casi in cui la minaccia nei confronti dei dati personali derivi dall’esterno, attraverso trattamenti illegittimi che minano la sicurezza dei dati degli utenti e inevitabilmente vanno ad abbassarne la fiducia. Con l’espressione sicurezza informatica, in generale, intendiamo «la capacità di una rete, o di un sistema di informazione, di resistere, ad eventi o atti dolosi che ne possono compromettere la disponibilità, l’autenticità, l’integrità e la riservatezza dei dati conservati o trasmessi, nonché dei servizi forniti, o accessibili, tramite la suddetta rete (o sistema)» [25]. L’architettura cloud, tenuto conto della sua struttura ed essendo un sistema multi-agente, può risultare una preda molto attraente per un attacco: può permettere l’accesso ai dati di tutti i clienti del fornitore di servizi.
La fiducia è un elemento imprescindibile nella relazione fra cliente e difensore e, allo stesso modo, è fulcro della relazione fra utente e provider che fornisce servizi di cloud. Nel caso in cui uno studio legale decida di usufruire di servizi di cloud computing, quindi, la situazione risulta doppiamente delicata. Il livello di fiducia richiesto è maggiore, perché si basa su un doppio grado di asimmetria informativa: un primo grado, tra cliente e avvocato, e un secondo grado tra avvocato come utente di servizi e il cloud provider, vale a dire colui che fornisce tali servizi. La tematica della c.d. trust assume maggiore complessità quando si è nell’ambito dell’online: in tale situazione non si ha a che fare con una prestazione fiduciaria che vede due soggetti determinati ma, più ampiamente, l’oggetto è il funzionamento di una piattaforma [26]. L’avvocato deve, quindi, agire in due direzioni: da un lato deve pretendere fiducia dal proprio provider e dall’altro ha un dovere etico [27] nei confronti del proprio cliente e, pertanto, deve impegnarsi a garantire a quest’ultimo un elevato livello di sicurezza, tale per cui non venga meno la sua fiducia.
Nella migrazione verso l’immateriale cloud, uno studio legale deve, ai fini della tutela dei dati personali, avere innanzitutto chiaro i ruoli rivestiti dai vari attori in gioco: in questo modo, infatti, è possibile identificare le specifiche responsabilità di coloro che sono «detentori del nuovo potere informatico, consistente nel controllo sui singoli, reso possibile dall’acquisizione e dall’elaborazione di informazioni, spesso anche apparentemente neutre» [28]. Lo studio legale è il titolare del trattamento e, in quanto tale, è tenuto all’adempimento degli obblighi ad esso riconnessi, ai sensi dell’art. 24 Reg. 2016/679/UE. Il data sujbect, vale a dire l’interessato, il soggetto a cui i dati personali si riferiscono è rappresentato dal cliente dello studio legale. In questa dinamica, il provider che fornisce i servizi di cloud deve essere nominato responsabile del trattamento ai sensi dell’art. 28 Reg. 2016/679/UE. Tale specifica individuazione dei differenti ruoli assume considerevole importanza in materia di sicurezza informatica. Gli artt. 33 e 34 Reg. 2016/679/UE, infatti, sanciscono l’obbligo, per il titolare del trattamento, di dare comunicazione all’autorità di controllo e allo stesso interessato dei dati, ogniqualvolta sia avvenuta una violazione dei dati personali o più in generale una perdita di informazioni. A sua volta, il responsabile-provider è chiamato a informare il titolare-avvocato senza ingiustificato ritardo, nel momento in cui venga a conoscenza di un’eventuale violazione. L’obbligo di comunicazione è sempre vincolante per quanto riguarda la notificazione all’autorità di controllo, mentre è eventuale nei confronti del diretto interessato, solamente laddove presenti «un rischio elevato per i diritti e le libertà delle persone fisiche».
Nel percorso teso a rendere conformi al GDPR i trattamenti dei dati personali realizzati nel pratico operare richiesto dalla professione forense [29], gli studi legali devo prestare particolare attenzione alle tecnologie di cloud, qualora siano utilizzate. I servizi di cloud computing forniti dai provider, come finora analizzato, permettono di ottenere una serie notevole di vantaggi che inducono sempre più a migrare verso l’immateriale, ma, d’altro canto, richiedono specifiche cautele tese alla minimizzazione dei rischi. In primo luogo, è richiesta profonda consapevolezza da parte dello studio legale4 nella scelta del provider a cui affidarsi [30], tenendo in considerazione l’affidabilità e la reputazione dello stesso, nonché la tipologia di disaster recovery plan di cui si è dotato. In secondo luogo, inoltre, è essenziale garantirsi la possibilità di cambiare fornitore e, pertanto, è fondamentale prestare attenzione alla portabilità [31]: con sistemi di vendor lock-in si indicano meccanismi in base ai quali lo studio legale resta vincolato dal formato di standard proprietario scelto dal provider a cui si è rivolto, rendendo materialmente difficoltosa la portabilità dei dati, perlomeno in termini di costi che si trova costretto a dover sopportare l’utente-avvocato. Viene, inoltre, raccomandato, anche di recente dall’European Data Protection Supervisor [32], una particolare attenzione da parte del titolare del trattamento nei confronti degli accessi ai dati allocati in cloud: è opportuno che gli stessi pretendano che i propri fornitori forniscano, sul punto, dei report periodici. Un ulteriore aspetto fondamentale è, poi, quello relativo ai contratti di cloud: è fondamentale che lo studio legale presti attenzione sia alla specifica contrattazione che lo riguarda, sia ai Service Level Agreement (SLA) [33], vale a dire gli accordi per determinare il tipo di servizi erogati dai cloud provider agli utenti, identificando soluzioni comuni per risolvere il problema delle terminologie differenti utilizzate dai diversi fornitori. L’importanza dei SLA è stata anche ribadita dall’European Data protection Supervisor [34], perché gli stessi «non sono da considerarsi “clausole”, bensì veri e propri accordi a sé stanti, con il cliente/utente e il [continua ..]
In quest’epoca di rivoluzione digitale anche la professione forense deve necessariamente impegnarsi per comprendere i profondi cambiamenti che stanno investendo ogni ambito delle nostre vite. Attraverso tale comprensione è possibile, infatti, sfruttarne il potenziale ed evitare di doversi adattare o affidare in maniera inconsapevole. L’analisi dell’utilizzo delle tecnologie di cloud da parte degli studi legali che è stata argomento della presente trattazione ha voluto, più in generale, rappresentare unicamente un approccio: l’avvocato deve, infatti, necessariamente adottare un metodo per interagire con le nuove tecnologie che in ogni caso influiscono, e influiranno sempre di più, sul proprio tradizionale operato. Questo approccio pro-attivo si fa fondamentale per evitare che il professionista si debba affidare al tecnico ciecamente e inconsapevolmente. Nell’utilizzo delle infrastrutture di cloud computing, più che in altre circostanze, è emblematico che l’avvocato abbia il dovere di comprendere e in qualche modo anche vigilare sull’operato del tecnico, il provider fornitore dei servizi cloud, in linea con il cambiamento di paradigma nella tutela dei dati personali, introdotto con il GDPR, che, come abbiamo visto, mira ad aumentare la consapevolezza e la responsabilizzazione. Così come l’umanità senza futuro non è quella priva di prospettive per l’avvenire né quella sottoposta a rigide regole meccanicistiche, ma è quella che non sa più interpretare, in modo critico, la propria storia, anche la professione forense deve adottare una visione di critico interesse nei confronti delle potenzialità delle nuove tecnologie, e sfidare la propria capacità di evolvere, con solide radici nel passato.
Monografie e Articoli Acquati E., Macellari S., Osnaghi A. (a cura di), Pubblica Amministrazione che si trasforma: cloud computing, federalismo, interoperabilità, Passigli Editori, Bagno a Ripoli, 2011. Ahson S.A., Ilyas M., Cloud computing and software services. Theory and techniques, CRC press, New York, 2011. Barr J., Il cloud computing per applicazioni web, Apogeo, Milano, 2010. Cassano G., Scorza G., Vaciago G. (a cura di), Diritto dell’Internet. Manuale operativo: casi, legislazione, giurisprudenza, Cedam, Padova, 2013. De Vivo M.C., Il contratto ed il cloud computing, in “Disciplina del commercio e dei servizi”, n. 3, 2015. Durante M., The online construction of personal identity through trust and privacy, in “Information”, vol. 2, n. 4, 2011. Durante M., Pagallo U. (a cura di), Manuale di informatica giuridica e diritto delle nuove tecnologie, Utet, Torino, 2014. Elm D.L., Broderick S., Cloud Computing, Storing, and Sharing: Guidance for the Solo and Small Firm Lawyer, in “Criminal Justice”, vol. 30, n. 4, 2015. Foggetti N., Privacy protection, applicable law and jurisdiction issues in cloud computing: an international and EU prospective, in “Cyberspazio e diritto”, vol. 15, n. 51, 2/3, 2014. Mantelero A., Il costo della privacy tra valore della persona e ragione d’impresa, in “Diritto dell’informatica”, vol. 24, Giuffrè, Milano, 2007. Mell P., Grance T., The NIST Definition of Cloud Computing, Recommendations of the National Institute of Standards and Technology, Special Publication, 800-145, 2011. Noto La Diega G., Il cloud computing. Alla ricerca del diritto perduto nel web 3.0, in “Europa e diritto privato”, vol. 17, n. 2, 2014. Panetta R. (a cura di), Circolazione e protezione dei dati personali, tra libertà e regole del mercato: commentario al Regolamento UE n. 2016/679 (GDPR) e al novellato d.lgs. n. 196/2003 (Codice privacy): scritti in memoria di Stefano Rodotà, Giuffrè, Milano, 2019. Pirozzi F., Il cloud computing. Lex mercatoria e tutela dei dati, Giuffrè, Milano, 2016. Pizzetti F., Intelligenza artificiale, protezione dei dati personali e regolazione, Giappichelli, Torino, 2018. Reese G., Cloud computing. Architettura, infrastrutture, applicazioni, Tecniche nuove, Milano, 2010. Rossi R., Cloud computing per la piccola e media impresa, Tecniche nuove, Milano, 2015. Sartor G., [continua ..]
Iscrivendoti alla nostra newsletter, non riceverai spam, ma bensė gli aggiornamenti sulle nuove uscite di tuo interersse, sconti e iniziative promozionali.
Inoltre, subito per te, un coupon per una spedizione gratuita
Copyright G. Giappichelli Editore - 2020
ISSN 2499-3158- Diritto ed Economia dell'Impresa (Online)
Iscrizione al R.O.C. n. 25223
Per informazioni: ufficioabbonamenti@giappichelli.it
