Questa storia appartiene alla categoria Innovazione e al dossier CloudServizi infrastrutturali Sicurezza e stabilità

Sulla nuvola legale

Le università stanno considerando il ricorso a servizi cloud, ma hanno reticenze per la privacy e le clausole contrattuali.

Testo: Esther Zysset, pubblicato il 01.04.2014

Se il diavolo fosse sulla nuvola, si nasconderebbe certamente nella protezione dei dati. Quest'ultima, infatti, è spesso considerata come il principale ostacolo al cloud computing. Quando vengono trasferiti sulla cloud dei dati personali, chi effettua questa operazione è responsabile del rispetto della legge sulla protezione dei dati e deve adempiere segnatamente ai seguenti requisiti:

Sicurezza dei dati

I dati personali devono essere protetti da perdita e accesso illecito attraverso adeguate misure tecniche e organizzative; ciò vale anche nel caso in cui il trasferimento dei dati sia affidato a un terzo. In altre parole: chi vuole utilizzare una nuvola informatica, deve prima informarsi sulle garanzie offerte dall'operatore della cloud in fatto di sicurezza dei dati.

Outsourcing

La legge consente in linea di massima il trattamento dei dati da parte di terzi, ma a due condizioni: primo, i dati possono essere elaborati dal terzo incaricato solo nella misura in cui potrebbe farlo il mandante. Secondo, l'esternalizzazione non deve violare altri obblighi di segretezza. Il mandante rimane comunque sempre responsabile della sicurezza dei dati elaborati.

Comunicazione di dati all'estero

Soprattutto i fornitori commerciali di soluzioni cloud dispongono spesso di centri dati che sono dislocati in tutto il mondo. I dati dei clienti vengono spostati da un luogo all'altro. La legge federale sulla protezione dei dati vieta la comunicazione di dati personali all'estero in determinati casi, segnatamente quando "la personalità della persona interessata possa subirne grave pregiudizio". Secondo la legge, questo pericolo sussiste soprattutto quando lo stato di destinazione non dispone di una legislazione capace di garantire una sufficiente protezione. L'incaricato federale della protezione dei dati tiene un elenco di destinazioni considerate sicure e di quelle giudicate non sicure. Gli Stati Uniti contano tra i paesi sicuri, ma solo a determinate condizioni (vedi ultimo paragrafo), i paesi dell'Unione Europea invece presentano una legislazione adeguata. Gran parte dei paesi dell'Asia e dell'America centrale e meridionale sono considerati insicuri. Affinché la scelta del provider della cloud sia conforme alla legge, bisogna conoscere il luogo in cui sono custoditi i dati dei clienti. 

Per riassumere: nella scelta del fornitore di servizi cloud bisogna considerare i requisiti della protezione dei dati. Ciò significa che i contratti standard dei fornitori commerciali devono essere letti minuziosamente, prestando attenzione ai seguenti punti:

Clausole minuscole

L'entità delle prestazioni è descritta nella clausole scritte in caratteri piccoli. Cosa viene promesso? Cosa garantisce il fornitore in materia di disponibilità? Bisogna poi tenere presente quanto segue:

Responsabilità

Spesso vengono formulate ampie esclusioni di responsabilità. Queste esclusioni sono per lo più legali, ma - se subentra un problema - possono comportare gravi svantaggi per il cliente.

Diritto applicabile e foro competente

Se l'adempimento del contratto non comporta problemi, queste disposizioni passano inosservate. In caso di difficoltà, tuttavia, possono essere determinanti per far valere o meno delle pretese legali. Per un cliente svizzero, per esempio, potrebbe rivelarsi troppo oneroso e complesso far valere le proprie pretese se il foro è negli USA o in Austria. Se il diritto applicabile e il foro competente sono in Svizzera, gli ostacoli per il cliente sono molto minori.

Scenario exit

Cosa prevedono le disposizioni di risoluzione del contratto? Disciplinano la restituzione dei dati e la loro migrazione a un altro provider di cloud? Il fornitore aiuta il cliente in questo senso? Si impegna a cancellare i dati dei clienti alla fine del contratto? Conclusione: le condizioni generali devono essere analizzate con occhio critico. Altrimenti è preferibile scegliere diversi luoghi di stoccaggio in funzione della tipologia dei dati. In questo modo è possibile implementare soluzioni cloud che soddisfino i requisiti della legge svizzera.


Questo testo è apparso nello SWITCH Journal aprile 2013.
Sull’autore
Esther   Zysset

Esther Zysset

Esther Zysset dirige il servizio giuridico di SWITCH dal 2012. In precedenza lavorava come avvocato in uno studio specializzato in diritto economico.

E-mail

Avvertenze importanti

Dati personali: per dati personali si intendono, secondo la definizione della legge sulla protezione dei dati, "tutte le informazioni relative a una persona identificata o identificabile". I dati in forma anonima e i dati che non fanno alcun riferimento a una persona non rientrano quindi nel campo di applicazione della legge sulla protezione dei dati. 

Legge sulla protezione dei dati: in Svizzera esiste una legge sulla protezione dei dati (LPD, RS 235.1), che disciplina il trattamento dei dati personali da parte di persone private e organi federali, incluse le istituzioni del settore dei politecnici federali. Questo articolo si riferisce alla legge federale. Per le istituzioni cantonali si applicano le leggi cantonali, che possono contemplare disposizioni divergenti. 

Premesse per la trasmissione di dati negli USA: affinché il trattamento dei dati da parte di un'impresa statunitense possa essere considerato sicuro, questa impresa deve aver firmato un accordo specifico sulla protezione dei dati, il cosiddetto "US-Swiss Safe Harbour Framework". 

Altri contributi