Bollettino Legale n. 73 – Luglio 2024.  

Servizi cloud: quali criteri utilizzare per scegliere?

Dall'inizio della pandemia di Covid, si è registrato un crescente utilizzo dei servizi cloud sia nel settore pubblico che in quello privato.

Sebbene il quadro europeo in questo ambito stia diventando più chiaro, permangono ancora molte incertezze.

• Dovremmo scegliere un cloud francese, europeo, che soddisfi i requisiti di un cloud sovrano?
• Quali sono i rischi di affidare la gestione dei propri dati alle società GAFAM?

Sebbene non esista una definizione legale di cloud sovrano, si ritiene generalmente che debba garantire la sovranità a tre livelli fondamentali:

• I dati,
• Le operazioni,
• L'infrastruttura.

Il cloud deve pertanto presentare un elevato livello di requisiti in termini di sicurezza digitale e protezione dei dati, dal punto di vista tecnico, operativo e legale, e più specificamente una competenza esclusiva sul territorio nazionale.

Pertanto, diffidate delle affermazioni relative a una "cloud europea sovrana" fatte da aziende extraeuropee.

La Francia si distingue all'interno dell'Unione Europea per i suoi requisiti particolarmente rigorosi. soprattutto dopo l'implementazione del framework SecNumCloud e l'adozione, il 21 maggio, della legge SREN volta a proteggere e regolamentare lo spazio digitale.

Questa legge impone alle amministrazioni statali e ai loro operatori che utilizzano un servizio cloud fornito da un provider privato di implementare specifici criteri di sicurezza e protezione per il funzionamento dei sistemi informatici che elaborano dati particolarmente sensibili.

L'obiettivo è impedire qualsiasi accesso non autorizzato ai dati da parte delle autorità pubbliche di stati terzi.

Ciò è particolarmente rilevante alla luce del Cloud Act, che autorizza i servizi di sicurezza statunitensi ad accedere ai dati detenuti da aziende situate al di fuori del loro territorio senza previa autorizzazione.

Questi obblighi sono in linea con lo spirito della dottrina "cloud at the center" sviluppata dallo Stato francese per le sue amministrazioni.

Sebbene non siano obbligatorie per il settore privato, restano utili come raccomandazioni, soprattutto quando si tratta di trattamento di dati sensibili, ad esempio nel settore sanitario o della ricerca.

E per quanto riguarda lo sviluppo dei servizi cloud in altre parti d'Europa?

Sono disponibili molti servizi di qualità, ad esempio in Germania e in Svizzera.

Tuttavia, sembra che la nozione di cloud sovrano venga spesso interpretata in modo più ampio rispetto al contesto francese: il modello tedesco definisce come sovrano qualsiasi cloud situato nel territorio dell'UE commercializzato da un'azienda europea, con dipendenti cittadini dell'UE e specifici requisiti di sicurezza in merito all'accesso ai dati, anche se il servizio cloud è in pratica offerto da una filiale di un'azienda americana, ad esempio.

Questa è la direzione che sta prendendo attualmente il progetto di certificazione dei servizi cloud dell'Unione europea (EUCS).

Nella sua ultima versione, risalente a marzo, questo progetto "non consente più ai fornitori di dimostrare di proteggere i dati archiviati da qualsiasi accesso da parte di una potenza straniera, a differenza della certificazione SecNumCloud in Francia".

È in questi termini che la CNIL mette in guardia la nuova Commissione europea, guidata da Ursula von der Leyen, coinvolta nel processo decisionale relativo all'EUCS.

Tra le ragioni addotte per giustificare l'eliminazione dei requisiti di sovranità dal progetto vi sono le possibili accuse di protezionismo da parte degli Stati Uniti o della Cina.

La CNIL, da parte sua, deplora, oltre ai rischi di violazione dei dati personali, l'impatto di questa revisione al ribasso dei requisiti europei sulla promozione dell'offerta di servizi cloud in Europa.

Data l'attuale incertezza sul fronte europeo, il framework SecNumCloud rappresenta un utile punto di riferimento, in particolare per il trattamento di dati sensibili o strategici. 

Il sito web dell'ANSSI pubblica l'elenco dei servizi cloud qualificati come "SecNumCloud": l'elenco, aggiornato al 17 luglio, contiene 14 servizi cloud che soddisfano i requisiti di qualificazione e altri otto in fase di qualificazione.

A prescindere dal quadro normativo di SecNumCloud, gli altri servizi cloud europei rimangono attraenti rispetto ai concorrenti internazionali, considerato l'attuale contesto legale.

Sebbene il livello di protezione dei dati negli Stati Uniti sia attualmente considerato adeguato, è opportuno ricordare che i primi due accordi UE-UE sono stati annullati dalla Corte di giustizia europea e che Max Schrems, promotore dei primi due ricorsi, intende sottoporre il "quadro sulla privacy dei dati" alla stessa sorte.

 

         

Nelle sue conclusioni dell'11 luglio, l'Avvocato generale della Corte di giustizia dell'Unione europea (CGUE) si è pronunciato sulla necessità di trattare i dati relativi al sesso ("Sig. o Sig.ra") per la fornitura del servizio ferroviario SNCF.

Poiché la raccolta di questi dati è obbligatoria nei moduli SNCF, il Consiglio di Stato, su richiesta dell'associazione Mousse, aveva chiesto alla Corte di Giustizia dell'Unione europea se tale raccolta potesse essere basata sull'articolo 6.1.a (consenso) o 6.1.b (necessario per l'esecuzione di un contratto) del GDPR.

Secondo l'Assemblea Generale, tale trattamento non è necessario per l'erogazione del servizio, poiché in questo caso non si pone la questione di vagoni separati per uomini e donne, e la SNCF ha riconosciuto di non utilizzare sistematicamente queste informazioni nella comunicazione con i propri clienti.

L'Avvocato Generale richiama in particolare l'applicazione del principio di minimizzazione e cita la sentenza del "Bundeskartellamt", nella quale la Corte ha dichiarato che "affinché il trattamento dei dati personali sia considerato necessario per l'esecuzione di un contratto, (...) esso deve essere oggettivamente indispensabile a uno scopo che costituisce parte integrante dell'obbligo contrattuale a cui è soggetto l'interessato.

Il titolare del trattamento deve pertanto essere in grado di dimostrare in che modo lo scopo principale del contratto non può essere raggiunto qualora il trattamento in questione non abbia luogo.

L'Assemblea Generale conclude che il genere dell'utente non è necessario in questo caso specifico.

La Federazione delle Terze Parti Fiduciarie nel settore digitale ha pubblicato una "Guida alle buone pratiche per i percorsi digitali e il consenso".

Nel contesto normativo delle firme digitali, l'obiettivo è "garantire che l'aggregazione di tutti i componenti in una catena di fiducia estesa lungo tutto il processo fornisca le prove necessarie per dimostrare a posteriori la coerenza e l'affidabilità del processo".

Il 21 giugno, il Consiglio di Stato ha parzialmente annullato un decreto del 2021 relativo all'uso dei droni da parte delle forze dell'ordine..

Il Consiglio di Stato ha ritenuto che alcune disposizioni del presente decreto violassero in modo sproporzionato il diritto al rispetto della vita privata e la libertà di riunione.

L'utilizzo di droni per filmare manifestazioni può essere autorizzato solo se è probabile che si verifichino disordini pubblici e se le immagini registrate sono strettamente necessarie per prevenire tali disordini o per perseguire i responsabili.

Inoltre, le persone riprese devono essere adeguatamente informate sull'uso dei droni e sui loro diritti in materia di protezione dei dati (tramite l'AFCDP).

Il Consiglio di Stato ha confermato il diritto dei donatori di gameti di opporsi, ai sensi dell'articolo 21 del GDPR, al trasferimento dei propri dati personali dall'organizzazione presso cui hanno effettuato la donazione a un registro centrale dei donatori.

 

istituzioni e organismi europei

È in corso una controversia tra la Commissione europea e il Garante europeo della protezione dei dati (EDPS) in merito all'utilizzo di Microsoft Office 365.

La Commissione ha infatti avviato un'azione legale a metà maggio per contestare le conclusioni di un'indagine del Garante europeo della protezione dei dati (EDPS) sull'utilizzo di tali servizi.

Il Garante europeo della protezione dei dati (EDPS) critica in particolare la Commissione per non aver fornito garanzie in merito al trasferimento dei dati verso gli Stati Uniti. 

Nel suo contratto con Microsoft, la Commissione avrebbe inoltre omesso di specificare in modo sufficiente le tipologie di dati personali raccolti e le finalità del trattamento, in violazione del GDPR dell'UE.

Il Garante europeo della protezione dei dati (EDPS) ha esortato la Commissione a sospendere i trasferimenti in questione e a conformarsi alla legge entro il 9 dicembre. Le conclusioni della Commissione sono state pubblicate a metà luglio nella Gazzetta ufficiale dell'UE.

Il 12 luglio, la Commissione europea ha inviato a X (ex Twitter) le sue conclusioni preliminari in merito alla conformità con il Regolamento europeo sui servizi digitali (DSA).

Il procedimento avviato nel dicembre 2023 si concentra specificamente sulle "pratiche illecite" (dark patterns), sulla trasparenza pubblicitaria e sull'accesso ai dati per i ricercatori.

Elon Musk ha già annunciato che impugnerà in tribunale le conclusioni della Commissione.

Nella sua sessione plenaria di metà luglio, il Comitato europeo per la protezione dei dati (EDPB) ha adottato una dichiarazione sul ruolo delle autorità di protezione dei dati (DPA) nel contesto del Regolamento sull'intelligenza artificiale.

Il regolamento stabilisce che gli Stati membri designeranno entro il 2 agosto 2025 le proprie “autorità nazionali di vigilanza del mercato”, con l'obiettivo di controllarne l'applicazione e l'attuazione.

Secondo il Comitato europeo per la protezione dei dati (EDPB), le autorità di protezione dei dati hanno già esperienza in merito all'impatto dell'IA sui diritti fondamentali e dovrebbero pertanto essere designate come autorità di vigilanza del mercato, garantendo così un migliore coordinamento tra le diverse autorità di regolamentazione e una maggiore certezza del diritto per tutte le parti interessate.

Occorre precisare che il regolamento sull'IA, pubblicato il 12 luglio nella Gazzetta ufficiale dell'UE, è entrato in vigore il 1° agosto.

Il Comitato europeo per la protezione dei dati (EDPB) ha inoltre adottato due documenti (FAQ) relativi all'accordo tra l'Unione europea e gli Stati Uniti per la protezione dei dati personali, al fine di fornire maggiori dettagli sul suo funzionamento.

Questi documenti sono destinati, da un lato, ai singoli individui e, dall'altro, alle imprese.

L'11 luglio, la Corte di giustizia dell'Unione europea si è pronunciata in una causa intentata contro la società Meta da una federazione tedesca di associazioni di consumatori.

La Corte ha ricordato che l'obbligo del titolare del trattamento di fornire informazioni agli interessati è il corollario del diritto di tali persone all'informazione ai sensi degli articoli 12 e 13 del GDPR, e costituisce pertanto uno dei diritti che possono essere fatti valere mediante un'azione collettiva conformemente all'articolo 80, paragrafo 2, del GDPR.

La Corte ha inoltre rilevato che la violazione degli obblighi di informazione può impedire all'interessato di prestare un consenso "informato" e, di conseguenza, può rendere il trattamento illecito ai sensi dell'articolo 5, paragrafo 1, lettera a), del Regolamento (tramite GDPRhub).

Il 19 luglio Microsoft è finita sui giornali per un motivo diverso: uno dei suoi subappaltatori, Crowdstrike, ha distribuito un aggiornamento difettoso per il software di sicurezza Falcon Sensor.

Circa 8,5 milioni di computer Microsoft Windows che utilizzavano il software si sono bloccati e non sono stati in grado di riavviarsi correttamente, in quello che è stato descritto come "il più grande guasto nella storia della tecnologia informatica".

Dal punto di vista legale, la mancata disponibilità dei dati causata da tale guasto costituisce una violazione della sicurezza che richiede l'adozione di misure ai sensi, in particolare, della direttiva europea NIS2 (che sarà applicabile a partire dal prossimo ottobre).

Il Comitato europeo per la protezione dei dati (EDPB) ritiene che si tratti anche di una violazione dei dati personali ai sensi dell'articolo 4(12) del GDPR, comprese le violazioni che comportano la perdita accidentale o illecita dei dati.

A seconda delle conseguenze, ciò implica la notifica alle autorità di protezione dei dati e alle persone interessate.

Questa posizione è attualmente oggetto di dibattito: alcuni professionisti ritengono che l'indisponibilità dei dati non costituisca una perdita ai sensi del GDPR, mentre altri citano le conseguenze, a volte vitali, del blocco dell'accesso ai dati per le persone interessate.

 

Notizie dai paesi membri dell'Unione Europea.

Un tribunale tedesco ha stabilito che Google Ireland Limited, in quanto gestore del motore di ricerca Google, è responsabile della visualizzazione dei risultati di ricerca, indipendentemente dal fatto che tali risultati siano forniti dalla società statunitense Google LLC.

In Danimarca, l'autorità per la protezione dei dati ha rimproverato il Ministero dell'Immigrazione e dell'Integrazione per aver violato il principio di limitazione della conservazione dei dati, non avendo rispettato la propria politica di conservazione dei dati.

Con una decisione del 27 giugno, la Camera per le controversie amministrative dell'Audiencia Nacional spagnola ha stabilito che l'Autorità spagnola per la protezione dei dati (APD) era competente a trattare un reclamo presentato contro la società statunitense Clearview AI.

La Corte si è basata su precedenti decisioni di diverse autorità di protezione dei dati, tra cui quelle dell'autorità italiana e quella della CNIL del 26 novembre 2021, in cui ha identificato Clearview come rientrante nell'ambito di applicazione dell'articolo 3, paragrafo 2, lettera b), del GDPR.

La CNIL ha preso in considerazione la ricerca di foto sul web effettuata dalla società Clearview, gli URL di tali foto e i relativi metadati, che le hanno permesso di identificare e creare un profilo dettagliato delle persone interessate e quindi di tracciarne il comportamento.

In Italia, l'APD ha multato un responsabile del trattamento dei dati per 30.000 euro a seguito di una violazione dei dati dovuta all'utilizzo di un CMS obsoleto e altamente vulnerabile agli attacchi informatici.

L'Autorità lituana per la protezione dei dati (APD) ha multato Vinted per 2.385.276 euro, ritenendo che le sue pratiche di "esclusioni occulte" (consistenti nell'escludere un utente dalla piattaforma senza informarlo), nonché la sua mancata risposta alle richieste di cancellazione dei dati, fossero contrarie ai principi di equità e trasparenza.

In questo caso specifico, i querelanti, provenienti da Francia e Polonia, avevano contattato le rispettive autorità.

Le denunce sono state trasmesse all'autorità lituana, che è l'autorità competente in questo contesto, dato che la sede principale di Vinted si trova in Lituania.

In Lussemburgo, un tribunale ha confermato la multa di 18.000 euro inflitta dall'APD a un titolare del trattamento dei dati per non aver coinvolto direttamente il responsabile della protezione dei dati (DPO) del gruppo nelle questioni relative alla protezione dei dati e per non avergli fornito risorse sufficienti.

L'Autorità olandese per la protezione dei dati (APD) ha multato Kruidvat.nl di 600.000 euro per aver installato cookie di tracciamento senza ottenere il consenso degli utenti.

L'Autorità Garante per la protezione dei dati personali ha inoltre ritenuto che la selezione di una casella per accettare i cookie di tracciamento non costituisca un consenso libero, specifico, informato e inequivocabile.

 

Il 19 giugno, l'Autorità britannica per la protezione dei dati (ICO) ha pubblicato la sua decisione in merito all'applicazione "My AI" di Snap e alla conformità con l'obbligo di effettuare una valutazione d'impatto sulla protezione dei dati (DPIA).

La decisione contiene commenti dettagliati sulle aspettative dell'ICO riguardo al livello di dettaglio da includere nelle DPIA in generale e osservazioni specifiche in merito all'intelligenza artificiale di uso generale e all'intelligenza artificiale applicata ai bambini.

Poiché la legislazione britannica alla base di queste disposizioni è ancora pressoché identica a quella dell'UE, queste osservazioni potrebbero essere utili anche al di fuori del Regno Unito.

L'ICO ha inoltre diffuso un comunicato stampa il 30 luglio, in cui dichiarava di aver rimproverato la Commissione elettorale per non aver protetto adeguatamente i propri server, consentendo così agli hacker di accedere alle informazioni personali di circa 40 milioni di persone.

Negli Stati Uniti, è stato presentato al Senato un disegno di legge sull'intelligenza artificiale ("Content Origin Protection and Integrity from Edited and Deepfaked Media Act (COPIED ACT)") per combattere i "deepfake", aumentare la trasparenza dell'IA e dare più potere ai creatori di contenuti.

Il Senato degli Stati Uniti ha approvato il Kids Online Safety and Privacy Act alla fine di luglio.

Questo disegno di legge bipartisan unisce diverse proposte di legge riguardanti la sicurezza, la protezione della privacy online di bambini e adolescenti e la trasparenza nei processi di filtraggio relativi all'uso dell'intelligenza artificiale.

Il testo deve ora essere approvato dalla Camera dei rappresentanti.

In una dichiarazione del 23 luglio, la Federal Trade Commission ha indicato di aver ordinato a otto aziende di fornire informazioni su prodotti e servizi che utilizzano dati personali, inclusi dati finanziari e cronologia di navigazione, per personalizzare i prezzi per i singoli utenti.

Gli ordini hanno lo scopo di aiutare la FTC a comprendere meglio l'opaco mercato dei prodotti offerti da intermediari terzi che utilizzano algoritmi avanzati e dati degli utenti (posizione geografica, dati demografici, informazioni creditizie e cronologia di navigazione o acquisti) per categorizzare gli individui e indirizzare i prezzi.

Sebbene Google avesse iniziato a eliminare gradualmente i cookie di tracciamento di terze parti da Chrome tramite la sua "privacy sandbox" (un sistema di tracciamento presentato come rispettoso della privacy, ma contestato altrove), il 22 luglio l'azienda ha annunciato l'abbandono del progetto.

Anziché rimuovere i cookie di terze parti, Google introdurrebbe "una nuova esperienza in Chrome che consentirebbe agli utenti di fare una scelta consapevole applicabile a tutta la loro navigazione web", una scelta che potrebbe essere modificata in qualsiasi momento.

L'agenzia britannica per lo sviluppo economico (ODA) ha espresso rammarico per l'abbandono del progetto.

La legge sulla protezione dei dati del Malawi è entrata in vigore a luglio.

Si unirà così alla ormai lunga lista di paesi africani dotati di una legge a tutela dei dati personali.

Inoltre, lo scorso marzo l'Osservatorio africano sull'IA responsabile ha pubblicato un documento intitolato "Governance dell'IA responsabile in Africa: prospettive per una regolamentazione basata sui risultati".