arato

home / Archivio / Fascicolo / Cloud Computing e Protezione dei Dati Personali negli Studi Legali

indietro stampa articolo indice fascicolo leggi articolo leggi fascicolo


Cloud Computing e Protezione dei Dati Personali negli Studi Legali

Ludovica Paseri, Dottoranda presso “LAST-JD, Joint International Doctoral Degree in Law, Science and Technology”, Dipartimento di Giurisprudenza, Università degli Studi di Torino.

Nel presente elaborato, l’autore mira a mettere in evidenza i profili di problematicità dei servizi di cloud computing in tema di protezione dei dati personali, con specifico riferimento agli studi legali, alla luce del c.d. General Data Protection Regulation. Vengono, dapprima, esaminate le linee generali della nuova disciplina europea, con evidenziazione delle novità rispetto alla previgente normativa e del loro impatto nel mondo della professione forense. Viene, successivamente, analizzata la tecnologia del cloud computing, nonché i vantaggi e i rischi correlati al cloud per la professione forense. Termina la trattazione l’indivi­duazione di best practicies, che consentono, nell’attività forense, un miglior utilizzo del potenziale delle tecnologie di cloud e una minimizzazione dei rischi in tema soprattutto di tutela dei dati personali.

PAROLE CHIAVE: cloud computing - protezione dei dati personali

Cloud computing and protection of personal data in law offices

In this paper, the author aims to highlight the problematic profiles of cloud computing services in terms of protection of personal data, with specific reference to law offices, in light of the so-called General Data Protection Regulation. The general lines of the new European regulation are first examined, with highlighting of the changes with respect to the previous legislation and their impact on the world of the forensic profession. Subsequently, cloud computing technology is analyzed, as well as the benefits and risks related to the cloud technology for the forensic profession. The paper ends with the identification of best practices, which allow, in forensic activity, a better use of the potential of cloud technologies and a minimization of risks especially in terms of protection of personal data.

Keywords: General Data Protection Regulation -  best practices.

 

» Per l'intero contenuto effettuare il login inizio

Sommario:

1. Introduzione - 2. Un cambiamento di paradigma nella tutela dei dati personali - 2.1. La professione forense e i dati personali - 3. Il cloud computing negli studi legali - 3.1. I vantaggi per la professione forense - 3.2. I rischi tecnologici: il rapporto tra il giurista e il tecnico - 3.2.1. Protezione dei dati personali - 3.2.2. Sicurezza informatica - 3.2.3. Fiducia - 4. Come sono tutelati i dati personali in cloud negli studi legali? - 4.1. Best practices - 5. Conclusioni - 6. Bibliografia - NOTE


1. Introduzione

Sempre più frequentemente gli studi legali si affidano a Internet Service Provider per ottenere servizi di cloud computing, utili ai fini dello svolgimento dell’attività forense. Non sempre questo avviene, ed è avvenuto negli anni precedenti, in totale consapevolezza. Molti sono i rischi che le tecnologie di cloud computing portano con sé in relazione alla protezione dei dati in esso allocati e, con l’introduzione di una nuova disciplina europea in materia di tutela dei dati personali, risulta utile ricomporre la questione e analizzare vantaggi e rischi. Il presente elaborato intende analizzare i profili problematici in materia di protezione dei dati personali, che caratterizzano il cloud computing, alla luce di un cambiamento di paradigma nella materia, introdotto con il nuovo Regolamento Europeo, con specifico riferimento agli studi legali. A questo proposito la trattazione indaga le linee generali del cambiamento di paradigma nella tutela dei dati personali e le conseguenze dello stesso, in particolare, nel mondo della professione forense, nel par. 2. Nel successivo par. 3, invece, si passa all’analisi della tecnologia di cloud computing con specifico riferimento al­l’ap­plicazione della stessa negli studi legali. Infine, dopo l’analisi di vantaggi e rischi correlati al cloud, l’attenzione è posta sull’attuale tutela dei dati personali in cloud negli studi legali, facendo emergere le [continua ..]

» Per l'intero contenuto effettuare il login inizio


2. Un cambiamento di paradigma nella tutela dei dati personali

Il 25 maggio 2018 è divenuto effettivamente applicabile il Reg. 2016/679/UE, il c.d. General Data Protection Regulation (in seguito, GDPR), introducendo una nuova disciplina in materia di dati personali a livello europeo, sostituendo la risalente Dir. 95/46/CE relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati. Il cambio di paradigma in merito alla tutela dei dati personali, reso possibile da questa nuova normativa, è ravvisabile da più punti di vista. Innanzitutto, vi è un cambiamento di contenitore: la disciplina della protezione dei dati personali non è più contenuta in una Direttiva [1], come avveniva fino a quel momento, ma, bensì, assume la formale veste del Regolamento, fonte del diritto europeo di portata generale, obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri senza che sia necessario alcun tipo di recepimento, come previsto dall’art. 288 TFUE. In secondo luogo, vi è un cambiamento di approccio: l’attenzione passa dal dato in sé e per sé, ai processi realizzati sui dati, vale a dire i differenti trattamenti. A questo proposito, infatti, vi è il tentativo del legislatore europeo, di superare il modello del c.d. notice and consent, vale a dire dell’informativa e consenso, considerando quest’ultimo una sola delle sei basi [continua ..]

» Per l'intero contenuto effettuare il login inizio


2.1. La professione forense e i dati personali

Il cambio di paradigma che ha interessato la protezione dei dati personali, con il GDPR, travolge anche la professione forense. Gli avvocati sono, infatti, chiamati a prendere consapevolezza del fatto che, a causa dell’intrinseca natura della loro professione, trattano un gran numero e una grande varietà di dati personali [5]. Questo implica, innanzitutto, abbandonare la visione per la quale tutto ciò che riguarda la privacy dei clienti si limiti ad essere una lista di anonimi adempimenti che si possa risolvere con qualche firma. Come detto poco sopra, infatti, ciò che deve cambiare prima di tutto è l’approccio alla protezione dei dati: l’avvocato deve prendere consapevolezza di quali e quanti dati tratta nel suo fisiologico operare, come gli stessi sono conservati, per quanto tempo, con quali modalità e, soprattutto, adottare un approccio dinamico nei confronti della materia, che implichi il miglioramento continuo della gestione dei dati. Una robusta, consapevole e soprattutto proporzionata protezione dei dati personali da parte degli studi legali rappresenta sia un dovere che un vantaggio per gli stessi. Da un lato, deontologicamente, garantire ai clienti che i loro dati siano trattati sapientemente è parte del dovere sancito all’art. 14 del codice deontologico, secondo cui «L’avvocato è tenuto, nell’interesse del cliente e della parte assistita, alla rigorosa osservanza del [continua ..]

» Per l'intero contenuto effettuare il login inizio


3. Il cloud computing negli studi legali

Il cloud computing negli studi legali Il cloud computing, «l’evoluzione di una serie di tecnologie che, una volta utilizzate congiuntamente, sono in grado di rivoluzionare le modalità con cui le organizzazioni costruiscono le proprie infrastrutture informatiche» [7], per la sua specifica natura, può apportare un gran numero di vantaggi all’effettivo operare di coloro che svolgono la professione forense. Per poterli comprendere appieno, è, però, opportuno analizzare cosa si intenda per cloud comput­ing [8]. Con questa espressione, infatti, si fa riferimento (1) all’utilizzo di applicazioni informatiche, (2) all’acquisto di servizi, oppure, (3) al trasferimento di parte delle proprie attività informatiche in infrastrutture detenute di terzi, sulle quali si vada direttamente ad operare. Per quanto riguarda il primo aspetto, si fa riferimento all’acquisizione di spazio in cloud, in cui allocare i propri dati. Le applicazioni informatiche di cui ci si avvale possono riguardare, tra le altre cose, la gestione di documenti, lo sviluppo di software, l’amministrazione di banche dati e la gestione di posta elettronica[9]. Questo modello è definito Software as a Service (SaaS)[10] e gli esempi tipici sono i servizi forniti da Sakeforce (CRM) e Google Apps con Google Docs o i servizi e-mail [11]. L’acquisto di servizi di cloud computing, invece, rappresentato dal [continua ..]

» Per l'intero contenuto effettuare il login inizio


3.1. I vantaggi per la professione forense

La tipologia di servizi cloud che può maggiormente interessare uno studio legale è generalmente quella ricollegabile al primo modello, SaaS, e, nello specifico, il riferimento va ai servizi di cloud storage, vale a dire all’imma­gazzinamento e all’archiviazione su server remoti di dati, facilmente recuperabili in ogni momento. I vantaggi sono molteplici. In primo luogo, è prevista la gestione diretta e su richiesta [15] di tali servizi: la possibilità per l’avvocato in quanto consumatore finale di attivare autonomamente nuove risorse (nuovi server o nuovo spazio di storage), in maniera indipendente rispetto al cloud provider [16]. Dal punto di vista economico, questa possibilità è decisamente vantaggiosa: dal momento che il servizio è basato sull’effettivo bisogno, risulta non essere necessario un cospicuo investimento iniziale, antecedente la reale richiesta di utilizzo delle risorse [17]. Per rendere la fruibilità dei servizi il più ampia possibile, realizzabile attraverso qualsiasi dispositivo, mediante meccanismi standardizzati, è comunque imprescindibile ampio accesso alla rete. In secondo luogo, un enorme vantaggio è il resource pooling, vale a dire la messa in comune delle risorse, a favore di una moltitudine di utenti, attraverso il c.d. modello multi-tenant [18], cioè mediate un’applicazione che conceda i servizi ad una [continua ..]

» Per l'intero contenuto effettuare il login inizio


3.2. I rischi tecnologici: il rapporto tra il giurista e il tecnico

Come ogni tecnologia, anche il cloud computing comporta una serie di rischi. Gli aspetti maggiormente problematici derivanti dall’adozione di soluzioni in cloud sono rappresentabili in termini di rischi relativi alla protezione dei dati, alla sicurezza e alla fiducia.

» Per l'intero contenuto effettuare il login inizio


3.2.1. Protezione dei dati personali

La tutela del trattamento dei dati personali è una tematica trasversale che, in qualche modo, tocca ogni altro aspetto problematico del fenomeno cloud, dalla determinazione delle clausole contrattuali, alla cybersecurity, passando per la fiducia. In relazione ai sistemi di cloud, si ha generalmente la percezione di avere a che fare con «un sistema “per sua natura insicuro e aperto”, con conseguenti rischi di perdita e furto di informazioni e manovre non autorizzate» [21]. Tale percezione trova le sue radici nella natura stessa dell’infrastruttura cloud: per ragioni tecniche, legate all’esigenza di evitare il sovraccarico dei server, nonché per evitare le perdite delle informazioni, i dati vengano spostati frequentemente da un server all’altro, nonché immagazzinati in più d’uno nello stesso momento [22]. Tale fenomeno di delocalizzazione dei data center è ampiamente riconosciuto, anche in giurisprudenza [23]: in questo modo risulta difficile per il titolare del trattamento dei dati personali sapere con certezza dove gli stessi siano materialmente collocati, e quindi averne il pieno controllo. Inoltre, se la delocalizzazione dei dati in cloud fra i vari server permette che le risorse allocate in queste infrastrutture siano meglio conservabili e prontamente reperibili, dall’altro lato rappresenta una problematica in materia di diritto alla cancellazione, ai sensi [continua ..]

» Per l'intero contenuto effettuare il login inizio


3.2.2. Sicurezza informatica

Sempre più spesso si verificano casi in cui la minaccia nei confronti dei dati personali derivi dall’esterno, attraverso trattamenti illegittimi che minano la sicurezza dei dati degli utenti e inevitabilmente vanno ad abbassarne la fiducia. Con l’espressione sicurezza informatica, in generale, intendiamo «la capacità di una rete, o di un sistema di informazione, di resistere, ad eventi o atti dolosi che ne possono compromettere la disponibilità, l’autenticità, l’integrità e la riservatezza dei dati conservati o trasmessi, nonché dei servizi forniti, o accessibili, tramite la suddetta rete (o sistema)» [25]. L’architettura cloud, tenuto conto della sua struttura ed essendo un sistema multi-agente, può risultare una preda molto attraente per un attacco: può permettere l’accesso ai dati di tutti i clienti del fornitore di servizi.

» Per l'intero contenuto effettuare il login inizio


3.2.3. Fiducia

La fiducia è un elemento imprescindibile nella relazione fra cliente e difensore e, allo stesso modo, è fulcro della relazione fra utente e provider che fornisce servizi di cloud. Nel caso in cui uno studio legale decida di usufruire di servizi di cloud computing, quindi, la situazione risulta doppiamente delicata. Il livello di fiducia richiesto è maggiore, perché si basa su un doppio grado di asimmetria informativa: un primo grado, tra cliente e avvocato, e un secondo grado tra avvocato come utente di servizi e il cloud provider, vale a dire colui che fornisce tali servizi. La tematica della c.d. trust assume maggiore complessità quando si è nell’ambito dell’online: in tale situazione non si ha a che fare con una prestazione fiduciaria che vede due soggetti determinati ma, più ampiamente, l’og­getto è il funzionamento di una piattaforma [26]. L’avvocato deve, quindi, agire in due direzioni: da un lato deve pretendere fiducia dal proprio provider e dall’altro ha un dovere etico [27] nei confronti del proprio cliente e, pertanto, deve impegnarsi a garantire a quest’ultimo un elevato livello di sicurezza, tale per cui non venga meno la sua fiducia.

» Per l'intero contenuto effettuare il login inizio


4. Come sono tutelati i dati personali in cloud negli studi legali?

Nella migrazione verso l’immateriale cloud, uno studio legale deve, ai fini della tutela dei dati personali, avere innanzitutto chiaro i ruoli rivestiti dai vari attori in gioco: in questo modo, infatti, è possibile identificare le specifiche responsabilità di coloro che sono «detentori del nuovo potere informatico, consistente nel controllo sui singoli, reso possibile dall’acquisizione e dall’elaborazione di informazioni, spesso anche apparentemente neutre» [28]. Lo studio legale è il titolare del trattamento e, in quanto tale, è tenuto all’adempimento degli obblighi ad esso riconnessi, ai sensi dell’art. 24 Reg. 2016/679/UE. Il data sujbect, vale a dire l’interessato, il soggetto a cui i dati personali si riferiscono è rappresentato dal cliente dello studio legale. In questa dinamica, il provider che fornisce i servizi di cloud deve essere nominato responsabile del trattamento ai sensi dell’art. 28 Reg. 2016/679/UE. Tale specifica individuazione dei differenti ruoli assume considerevole importanza in materia di sicurezza informatica. Gli artt. 33 e 34 Reg. 2016/679/UE, infatti, sanciscono l’obbligo, per il titolare del trattamento, di dare comunicazione all’autorità di controllo e allo stesso interessato dei dati, ogniqualvolta sia avvenuta una violazione dei dati personali o più in generale una perdita di informazioni. A sua volta, il [continua ..]

» Per l'intero contenuto effettuare il login inizio


4.1. Best practices

Nel percorso teso a rendere conformi al GDPR i trattamenti dei dati personali realizzati nel pratico operare richiesto dalla professione forense [29], gli studi legali devo prestare particolare attenzione alle tecnologie di cloud, qualora siano utilizzate. I servizi di cloud computing forniti dai provider, come finora analizzato, permettono di ottenere una serie notevole di vantaggi che inducono sempre più a migrare verso l’immateriale, ma, d’altro canto, richiedono specifiche cautele tese alla minimizzazione dei rischi. In primo luogo, è richiesta profonda consapevolezza da parte dello studio legale4 nella scelta del provider a cui affidarsi [30], tenendo in considerazione l’affidabilità e la reputazione dello stesso, nonché la tipologia di disaster recovery plan di cui si è dotato. In secondo luogo, inoltre, è essenziale garantirsi la possibilità di cambiare fornitore e, pertanto, è fondamentale prestare attenzione alla portabilità [31]: con sistemi di vendor lock-in si indicano meccanismi in base ai quali lo studio legale resta vincolato dal formato di standard proprietario scelto dal provider a cui si è rivolto, rendendo materialmente difficoltosa la portabilità dei dati, perlomeno in termini di costi che si trova costretto a dover sopportare l’utente-avvocato. Viene, inoltre, raccomandato, anche di recente dall’European Data Protection [continua ..]

» Per l'intero contenuto effettuare il login inizio


5. Conclusioni

In quest’epoca di rivoluzione digitale anche la professione forense deve necessariamente impegnarsi per comprendere i profondi cambiamenti che stanno investendo ogni ambito delle nostre vite. Attraverso tale comprensione è possibile, infatti, sfruttarne il potenziale ed evitare di doversi adattare o affidare in maniera inconsapevole. L’analisi dell’utilizzo delle tecnologie di cloud da parte degli studi legali che è stata argomento della presente trattazione ha voluto, più in generale, rappresentare unicamente un approccio: l’avvocato deve, infatti, necessariamente adottare un metodo per interagire con le nuove tecnologie che in ogni caso influiscono, e influiranno sempre di più, sul proprio tradizionale operato. Questo approccio pro-attivo si fa fondamentale per evitare che il professionista si debba affidare al tecnico ciecamente e inconsapevolmente. Nell’uti­lizzo delle infrastrutture di cloud computing, più che in altre circostanze, è emblematico che l’avvocato abbia il dovere di comprendere e in qualche modo anche vigilare sull’operato del tecnico, il provider fornitore dei servizi cloud, in linea con il cambiamento di paradigma nella tutela dei dati personali, introdotto con il GDPR, che, come abbiamo visto, mira ad aumentare la consapevolezza e la responsabilizzazione. Così come l’umanità senza futuro non è quella priva di prospettive per [continua ..]

» Per l'intero contenuto effettuare il login inizio


6. Bibliografia

Monografie e Articoli Acquati E., Macellari S., Osnaghi A. (a cura di), Pubblica Amministrazione che si trasforma: cloud computing, federalismo, interoperabilità, Passigli Editori, Bagno a Ripoli, 2011. Ahson S.A., Ilyas M., Cloud computing and software services. Theory and techniques, CRC press, New York, 2011. Barr J., Il cloud computing per applicazioni web, Apogeo, Milano, 2010. Cassano G., Scorza G., Vaciago G. (a cura di), Diritto dell’Internet. Manuale operativo: casi, legislazione, giurisprudenza, Cedam, Padova, 2013. De Vivo M.C., Il contratto ed il cloud computing, in “Disciplina del commercio e dei servizi”, n. 3, 2015. Durante M., The online construction of personal identity through trust and privacy, in “Information”, vol. 2, n. 4, 2011. Durante M., Pagallo U. (a cura di), Manuale di informatica giuridica e diritto delle nuove tecnologie, Utet, Torino, 2014. Elm D.L., Broderick S., Cloud Computing, Storing, and Sharing: Guidance for the Solo and Small Firm Lawyer, in “Criminal Justice”, vol. 30, n. 4, 2015. Foggetti N., Privacy protection, applicable law and jurisdiction issues in cloud computing: an international and EU prospective, in “Cyberspazio e diritto”, vol. 15, n. 51, 2/3, 2014. Mantelero A., Il costo della privacy tra valore della persona e ragione d’impresa, in “Diritto dell’informatica”, vol. 24, Giuffrè, Milano, 2007. Mell P., Grance T., The NIST [continua ..]

» Per l'intero contenuto effettuare il login inizio


NOTE

» Per l'intero contenuto effettuare il login inizio


  • Giappichelli Social