A tre anni esatti dall’entrata in vigore del GDPR, l’Europa approva il primo codice di condotta, quello sui servizi cloud, ufficializzando così l’adozione da parte di tutti gli operatori di settore di strumenti utili all’adeguamento alla normativa europea.
L’entrata in vigore del GDPR, d’altronde, ha lasciato molti operatori smarriti di fronte al nuovo approccio del legislatore europeo, che ha rinunciato in radice a dare indicazioni precise ai destinatari della normativa, preferendo affidarsi a indicazioni generali e a principi di massima, imponendo comunque un adeguamento privacy a trecentosessanta gradi e coerente con lo stato dell’arte in tema di sicurezza dei dati personali.
Questa decisione ha messo in difficoltà gli utenti, che in molti stati UE (tra cui l’Italia), sono passati dal poter “riposare” su un regime normativo di dettaglio, a una maggiore autonomia e conseguente responsabilizzazione delle loro scelte in tema privacy.
GDPR, codici di condotta e certificazioni: lo stato dell’arte tra sfide e opportunità
Indice degli argomenti
I codici di condotta e la loro importanza
Per non lasciare completamente a sé stessi i soggetti tenuti all’adeguamento, la normativa europea ha quindi predisposto strumenti che potremmo definire di “soft law” che avrebbero potuto fornire istruzioni dettagliate e convalidate a imprese professionisti ed enti.
Questi strumenti, più agili della normativa di primo livello europea e quindi suscettibili di evolvere efficacemente e tempestivamente al variare degli standard di protezione dei dati personali da adottare, sono apparsi al legislatore comunitario il giusto compromesso fra l’obiettivo di emanare una normativa duratura (e quindi necessariamente generica e di principio) e la necessità di fornire indicazioni di dettaglio agli operatori.
Tra questi strumenti di “soft law” i più importanti sono i codici di condotta, le certificazioni e le linee guida.
In particolare lo strumento dei codici di condotta, sistema di autoregolamentazione relativo ad un gruppo di soggetti associati che si danno regole proprie e condivise, è uno strumento innovativo su cui il legislatore europeo conta molto, ed infatti il Regolamento GDPR espressamente incoraggia le associazioni o altre organizzazioni rappresentanti le categorie di titolari del trattamento o di responsabili del trattamento ad elaborare codici di condotta per i propri associati (Considerando 98 e art. 40 par. 1).
I codici di condotta, poi, sono stati accolti con favore dagli operatori, che hanno iniziato a formalizzare istanze per la loro approvazione sotto la nuova disciplina comunitaria poco dopo l’entrata in vigore del GDPR.
In Italia, ad esempio, è stato approvato un codice di condotta in tema di informazioni commerciali, un codice di condotta in tema di sistemi informativi gestiti da soggetti privati sul credito al consumo ed infine un codice di condotta della Regione Veneto per l’utilizzo di dati sulla salute a fini didattici e di pubblicazione scientifica.
Questi codici, operanti sul territorio nazionale (o locale) non sono stati sottoposti all’approvazione del Comitato europeo per la protezione dei dati (EDPB), il quale è chiamato ad esprimere un parere solo qualora il codice di condotta si riferisca ad attività di trattamento che coinvolgono più stati membri UE.
Codice di condotta imprese Ancic, ok del Garante privacy: perché è una svolta
L’EDPB approva il codice di condotta sui servizi cloud
Il primo o, meglio, i primi codici di condotta ad essere oggetto di questa procedura speciale sono stati quelli oggetto di due Opinion (positive) dell’EDPB rese il 19 maggio scorso.
Entrambi i codici sono relativi ai fornitori di servizi cloud, uno è il progetto del Cloud Infrastructure Services Providers in Europe (CISPE) e l’altro è il progetto del Cloud Select Industry Group (CSIG), che ha creato un organismo di controllo ad hoc con base in Belgio per sovrintendere all’applicazione del proprio codice, chiamato Scope Europe.
Queste due realtà (che avevano da tempo annunciato l’intenzione di sviluppare un codice di condotta per i servizi in cloud, ad esempio il progetto che ha dato vita a Scope Europe era stato annunciato da IBM, Salesforce, Oracle, SAP e Alibaba ancora nel 2017) raggruppano al loro interno i più significativi player del settore.
Il progetto Scope Europe ad esempio vanta sostenitori come Microsoft, Google e Cisco, mentre il CISPE riunisce tra gli altri Aruba, Register e Amazon web Services.
Codice di condotta dei prestatori di servizi cloud: le novità
Questi due progetti di codici di condotta, ampiamente studiati e già forti del parere positivo delle autorità garanti nazionali che li hanno proposti, sono stati sottoposti contemporaneamente all’esame del Comitato dei garanti.
Mentre il progetto del CISPE è stato sottoposto dal Garante francese (perché molti dei membri dell’associazione sono basati in Francia), quello di Scope Europe è stato sottoposto dall’Autorità belga (perché Scope Europe ha sede nel paese). Entrambe le autorità hanno sottoposto al Comitato europeo la loro richiesta di parere il 29 febbraio scorso, e il Comitato ha esaminato i progetti parallelamente.
Entrambe le iniziative sono state valutate positivamente dal Comitato europeo per la protezione dei dati, con le Opinion n. 16 e 17 del 19 maggio 2021.
Dal punto di vista dei contenuti, mentre il codice promosso dal CISPE è rivolto in particolare alla disciplina di servizi IaaS (Infrastructure as a Service), il progetto EU Cloud Code di Scope Europe è più ampio e disciplina, oltre ai servizi IaaS, anche i servizi di tipo PaaS (Platform as a Service) e Saas (Software as a Service).
Entrambi i codici non si applicano direttamente ai consumatori (i codici non si applicano al caso in cui il Cloud Service Provider agisce come titolare del trattamento, ma solo al caso in cui il provider agisce come responsabile del trattamento e quindi tratta il dato per conto di una realtà business), ma è evidente che la loro adozione incide (positivamente) sugli standard di protezione dei dati che verranno applicati di riflesso anche nei confronti degli utenti non professionali.
Entrambi i codici prevedono un organismo di monitoraggio indipendente (obbligatorio ai sensi del GDPR), la presenza di sanzioni (dai rimproveri formali per le violazioni più lievi all’esclusione permanente dal codice nei casi più gravi).
I codici prescrivono, inoltre, una serie di requisiti di sicurezza, prevedono controlli e audit periodici e il rispetto di determinate prescrizioni ulteriori (ad esempio il codice di Scope Europe prevede l’obbligo di nominare un DPO e di designare un rappresentante nel caso in cui il provider abbia sede al di fuori dell’Unione).
Il Codice di Condotta del CISPE è inoltre interessante perché impone ai propri associati di garantire ai clienti la scelta circa la possibilità di conservare e processare i dati esclusivamente all’interno del territorio dell’Unione, evitando così trasferimenti verso i paesi terzi, nonché prevede il divieto di riutilizzo dei dati forniti ai cloud provider per finalità economiche.
Entrambi i codici si presentano quindi come utili strumenti in un settore, quello del cloud computing, centrale per numerosissime realtà imprenditoriali e amministrative, e spesso “vittima” di sospetti di intrusione indebita da parte dei fornitori del servizio nei dati ad esso affidati.
Questi codici, che hanno ricevuto l’approvazione dei massimi organismi europei di settore, potranno quindi forse contribuire a limitare negli utenti i sospetti, più o meno fondati, che spesso aleggiano negli utenti che affidano i propri dati al cloud.
La presenza di due codici di condotta adottati contemporaneamente fa inoltre presagire una positiva concorrenza fra i modelli di condotta (cui si aggiungono gli schemi di certificazione) che spinga queste associazioni a un costante miglioramento.
Cos’è un codice di condotta
La presenza di questi due codici di condotta approvati a livello europeo è sintomo di un fenomeno e di un interesse più ampio verso questo business regolatorio creato dal legislatore europeo.
L’incontro/scontro fra tecnologia e diritto rende infatti in sempre più settori necessario lasciare alla legge (strumento lento, che parla con il linguaggio della deontica) un ruolo di sola guida di principio, creando così nuovi spazi per strumenti agili di normazione tecnologica e tecnica di dettaglio finendo così per “privatizzare” una parte della funzione regolatoria e lasciando all’autorità pubblica il ruolo di mero controllore (quando possibile) di una legge scritta da altri (e nella fattispecie da grandi compagnie multinazionali).
Questo fenomeno, preoccupante ma -almeno in certi settori- inevitabile, vedrà quindi l’adozione di numerosi altri codici di condotta e certificazioni, che andranno così a completare la normativa privacy europea.
Gli effetti della predisposizione di questi strumenti, al di là delle preoccupazioni appena viste, sono senz’altro positive nella misura in cui incentivano le parti ad adottare standard a protezione dei dati personali sempre più rigorosi non solo ai loro associati, ma anche a soggetti non associati che, volendo evitare di correre rischi sanzionatori, potranno orientare il loro adeguamento alle best practices disciplinate nei codici.
Inoltre, il legislatore europeo, che non fa mistero di ambire ad un ruolo di guida globale sul tema della protezione dei dati, ha previsto che debba essere concessa la possibilità di aderire ai codici approvati anche a operatori non soggetti alla disciplina GDPR (società extraeuropee che quindi non trattano, direttamente o indirettamente, dati di cittadini europei).
Quanto al contenuto dei codici di condotta, questi non sono che strumenti di autodisciplina finalizzati a “precisare l’applicazione” del Regolamento GDPR (art. 40 GDPR) e il legislatore europeo fornisce nella normativa, alcuni esempi di situazioni in cui questi codici potrebbero essere utili, molte delle quali sono interessate dai codici di condotta esaminati e dedicati ai cloud provider.
Tra gli esempi contenuti nel GDPR e relativi a possibili contenuti dei codici di condotta rientrano infatti il trattamento corretto e trasparente dei dati, i legittimi interessi perseguiti dal responsabile del trattamento in contesti specifici, la disciplina della fase di raccolta dei dati personali, la pseudonimizzazione dei dati personali, la gestione dell’informazione fornita al pubblico e agli interessati, l’esercizio dei diritti degli interessati, la protezione dei minori, le misure volte a garantire la sicurezza del trattamento, la gestione dei data breach e i trasferimenti di dati extra UE.
Questo ci fa capire come l’adesione ad un codice di condotta, ed il suo rispetto, non possano in alcun modo sostituire l’adeguamento privacy aziendale, che deve comunque essere effettuato da un punto di vista giuridico e tecnologico. Il codice di condotta andrà a sovrapporsi solamente ad una frazione dell’adeguamento, precisandola ulteriormente o prevedendo requisiti aggiuntivi.
Un procedimento complesso
La procedura per l’applicazione dei codici di condotta, di cui il passaggio al Comitato europeo per la protezione dei dati non costituisce che un tassello, è lunga e complessa e da un lato prevede l’approvazione del codice, mentre dall’altro lato prevede l’accreditamento dell’organismo di controllo.
Il codice, che deve rispettare i requisiti di cui all’art. 40 GDPR, deve essere approvato dall’Autorità Garante nazionale (e, se di rilievo transnazionale, dal Comitato europeo), così come le sue eventuali successive modifiche o proroghe.
L’organismo di controllo, i cui compiti sono regolati dal codice, deve invece fornire idonee garanzie all’Autorità Garante cui è sottoposto il codice, in particolare deve:
- dimostrare “in modo convincente” all’Autorità Garante di essere indipendente e competente riguardo al contenuto del codice;
- dimostrare di aver istituito procedure che consentono di valutare la fase di ammissione dei soggetti al codice e di controllare il rispetto delle sue disposizioni, riesaminandone periodicamente il funzionamento;
- dimostrare di aver istituito procedure e strutture atte a gestire i reclami relativi a violazioni del codice;
- dimostrare “in modo convincente” all’Autorità Garante di non essere in conflitto di interessi.
I codici di condotta destinati ai cloud provider appena approvati dal Comitato europeo dovranno quindi affrontare tutta la fase di accreditamento dell’organismo di controllo prima di entrare in vigore (come rimarcato espressamente dall’EDPB nelle due Opinion), ma in realtà nemmeno la procedura di approvazione del codice può dirsi ancora compiuta.
Dopo l’emissione delle Opinion, infatti, i Garanti che hanno inviato al Comitato la richiesta di parere (quindi il CNIL francese e la DPA belga) dovranno esprimere le loro osservazioni al parere e comunicare quindi la loro decisione finale.
A quel punto, se le decisioni finali saranno positive (come è scontato che sia), i codici di condotta saranno approvati e il Comitato europeo dei Garanti li raccoglierà in un registro, previsto dall’art. 40 par. 11 del GDPR, che sarà verosimilmente reso disponibile sul sito web del Garante.
Inoltre, ed è qui che la questione si fa interessante, il Comitato dei Garanti provvederà ad inviare alla Commissione Europea il codice di condotta. Secondo il GDPR a quel punto la Commissione potrebbe decidere di adottare atti esecutivi al fine di rendere vigenti a livello comunitario i codici di condotta approvati.
Conclusioni
La “privatizzazione” della normativa di dettaglio, di cui si è parlato, potrebbe quindi diventare effettivamente parte del diritto comunitario se solo la Commissione lo deciderà. In una svolta quasi “socialista” il legislatore europeo si riserva il potere di “nazionalizzare” quindi la norma privata per renderla norma generale.
Sebbene nel caso di cui si discute una simile ipotesi sembra improbabile (specie per la presenza di due codici fra loro concorrenti, almeno in parte) va considerato che potrebbero esserci situazioni in cui al creatore del codice di condotta non resterebbe altro che la soddisfazione di aver creato un codice talmente ben fatto da essere diventato legge, ma evidentemente al contempo vedrebbe scemare l’incentivo per i player del settore “codificato” ad aderire all’associazione creatrice del codice.
