Mi sono occupato, per una rivista specializzata, di esaminare la spinosa questione del rapporto tra titolare del trattamento e responsabile del trattamento (art. 28 del GDPR) quando quest’ultimo è un fornitore di servizi cloud; è il caso, sempre più frequente, del titolare che non dispone di proprie infrastrutture tecnologiche ma utilizza quelle di un altro soggetto (appunto il Cloud Service Provider, abbreviato in CSP).
La questione è spinosa perché il GDPR prevede che il titolare debba controllare l’operato del suo responsabile del trattamento. Ma come si fa? La piccola azienda di laterizi come può controllare Amazon sul rispetto del GDPR? Ha le competenze per farlo? Ha le risorse economiche per andare a visitare i data center di Amazon?
Per risolvere questo problema, alcuni CSP hanno pensato di adottare un codice di condotta che definisce comportamenti uniformi per garantire ai propri clienti la massima aderenza al GDPR. Questo percorso nasce qualche anno fa e, in questi giorni, è stata pubblicata la versione 2.1 del CSP Code of Conduct (EU CSP CoC).
Le novità più rilevanti riguardano i seguenti aspetti:
-
vengono dettagliate meglio le possibilità per il cliente/titolare di eseguire, se lo desidera, i controlli presso il fornitore/CSP (art. 28, comma 3, lettera h); in particolare, il codice prevede che il CSP fornisca preventivamente e sistematicamente al cliente i risultati dei controlli che autonomamente effettua sulle proprie infrastrutture; questo consente al cliente, se lo vuole, di direzionare meglio i propri controlli sul CSP;
-
vengono stabilite con maggiore precisione le fasi conclusive del contratto tra titolare e CSP; questo per dare concretezza a quello che è previsto dall’art. 28, comma 3, lettera g che disciplina la restituzione e la cancellazione dei dati personali da parte del responsabile del trattamento.
Quindi, per il momento, 8 in condotta ai CSP aderenti al CoC: ma si può sempre migliorare.