Come si possono qualificare i cloud provider, quei soggetti che forniscono i servizi in cloud: sono titolari o responsabili del trattamento?

Cosa deve fare chi usa i loro servizi?

Ormai essere online è quasi imprescindibile per un’azienda: il mondo si è spostato su internet. Molte imprese si affidano quindi a società che si occupano della manutenzione e conservazione dei dati offrendo spazi di hosting o altri servizi "in cloud". Questo riduce di gran lunga i costi rispetto a mantenere un proprio sistema informatico sicuro e perfettamente funzionante.

Tuttavia, si è sempre così sicuri che queste società siano ben strutturate ed organizzate? Come dobbiamo qualificarli ai sensi del GDPR? Quali sono le responsabilità del titolare del trattamento?

Finché tutto va bene, non ci sono problemi, ma in casi eccezionali, c’è il rischio che le conseguenze siano più pesanti proprio perché non si provveduto a gestire adeguatamente il rapporto ed il contratto di servizio.

Un caso recente riguarda ciò che è successo con l’incendio dei data center di OVH.

Al di là dei danni materiali subiti dalla OVH, l’incendio e la distruzione dei server potrebbero avere impatti notevoli sui dati personali in essi conservati.

Qualunque sia la causa di tali eventi, infatti, l’art. 4 del GDPR configura come violazione della sicurezza dei dati personali l’evento che “comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati”.

Inoltre, già di per sé la provvisoria inaccessibilità e indisponibilità dei dati contenuti nei server costituisce un’ipotesi di violazione ai sensi del Regolamento UE sulla protezione dei dati personali (GDPR), che risulterebbe ovviamente aggravata nel caso in cui i dati risultassero definitivamente persi e di cui OVH potrà essere tenuta a rispondere.

La scelta del cloud provider a cui affidarsi risulta quindi un momento di rilevanza critica anche ai fini  della qualificazione del fornitore di tali servizi ai sensi del GDPR.

Il fornitore deve essere affidabile e deve adottare tutte le misure necessarie al fine di tutelare l’organizzazione del business aziendale ed il titolare del trattamento conserva tutte le responsabilità in merito alla scelta del fornitore.

Torniamo quindi alla domanda iniziale: cosa deve fare chi usa i servizi dei cloud provider? Facciamoci aiutare dall'avv Stefano Nardini che, nel video che segue, ci fornirà una panoramica completa delle responsabilità e degli adempimenti del fornitore e di chi vi si affida.