Il 3 febbraio scorso il CISPE ha annunciato di aver rilasciato le prime dichiarazioni di conformità al proprio codice di condotta per la protezione dei dati in cloud.
Tra i soggetti “certificati” ci sono Amazon (AWS), OVHCloud (importante player cloud europeo, la cui importanza è risultata evidente al grande pubblico quando nel marzo 2021 un incendio ad un data center dell’azienda ha mandato offline moltissimi siti web a cui eravamo abituati ad accedere) e l’italiana Aruba (le ulteriori aziende ad aver ottenuto la certificazione sono Elogic, Leaseweb e Outscale).
Le aziende che aderivano al codice di condotta erano infatti suddivise fra “candidati” e “conformi”, a seconda del livello di adeguamento accertato con riguardo alle disposizioni del codice, e sono contraddistinte dai seguenti simboli:
Il CISPE è un’associazione che raggruppa numerosi fornitori di servizi SaaS e funge da portavoce (qualcuno direbbe “lobbista”) per i provider di servizi di infrastrutture cloud in Europa.
Tra le attività dell’associazione c’è però anche quello di sviluppare strumenti di compliance con le varie normative di settore e in questo senso è stata tra i primi a sviluppare un codice di condotta ai sensi dell’art. 40 GDPR.
Codici di condotta come tool di trasferimento dati extra-UE: ecco le opportunità
Indice degli argomenti
L’adesione a un codice di condotta
Tra gli effetti significativi dell’adesione ad un codice di condotta vi è quella prevista dall’art. 24 del GDPR il quale prevede che l’adesione ai codici di condotta di cui all’articolo 40 o a un meccanismo di certificazione di cui all’articolo 42 può essere utilizzata come elemento per dimostrare il rispetto degli obblighi del titolare del trattamento.
In parallelo l’art. 28 annovera l’adesione ad un codice di condotta approvato può essere utilizzata come elemento per dimostrare le garanzie sufficienti che deve fornire il responsabile verso il titolare (in questo modo di fatto l’aderente al codice di condotta solleverà il titolare dall’attività di verifica tempo per tempo del rispetto delle garanzie previste dalla normativa).
L’adesione ad un codice di condotta non è quindi un semplice passaggio formale o promozionale ma ha dei riflessi normativi significativi (per quanto ottenibili anche con strumenti alternativi) a cui corrispondono dei riflessi di adeguamento sostanziali.
Il codice di condotta del CISPE
Nella fattispecie, il codice predisposto dal CISPE è stato sottoposto all’esame dell’European Data Protection Board (che ha reso provvedimento positivo con Opinion n. 17/21 del 19.05.2021) e del Garante francese (CNIL) ottenendo il nulla osta per essere aperto alle adesioni, adesioni che ora per la prima volta si trasformano in conformità accertate.
Il complesso codice di condotta promosso dal CISPE consente poi di aderire chiedendo venga accertata la conformità di singoli servizi o tipologie di servizi, per fare un esempio Aruba ha ottenuto la dichiarazione di conformità con riguardo alle seguenti soluzioni: Cloud VPS, Cloud PRO, Private Cloud, Cloud Object Storage, Cloud Backup, DBaaS, DRaaS E IaaS SAP for Hana.
La fortunata storia di questo codice di condotta è senz’altro sintomo di una progressiva professionalizzazione e valorizzazione degli aspetti privacy da parte delle aziende e, in particolare, da parte di quelle aziende che operano nel settore IT ed è verosimile che presto vedremo scaturire dalla normativa GDPR un sempre più esteso “fascio” di strumenti per la compliance, attività che, ci si augura, genererà maggiore consapevolezza e rispetto della normativa in tema di tutela dei dati personali.
