Il diritto alla portabilità dei dati personali è stato introdotto dal Regolamento europeo 679/2016, il noto GDPR, come efficace solo sui dati esplicitamente forniti dall’interessato. in modo consapevole e attivamente. Successivamente, l’interpretazione ha allargato la tutela anche per i dati generati dall’attività dell’interessato. SECONDA PARTE

SECONDA PARTE

In occasione della richiesta di portabilità possono nascere difficoltà se il contratto non individua preventivamente le categorie dei soggetti legittimati a fare la richiesta di portabilità delle informazioni che il cloud provider si obbliga a trasferire in caso di richiesta del cliente. 

L’utilizzatore finale dei servizi spesso non è nemmeno il cliente del provider: è ormai frequentissimo che un professionista conceda ai propri clienti i servizi acquistati dal cloud provider stesso, oppure che il cloud sia utilizzato per il trattamento di dati di persone che hanno a che fare con il cliente del provider, per esempio se quest’ultimo ha dipendenti. Se mancano informazioni, il titolare potrebbe essere in difficoltà a soddisfare richieste di portabilità dei suoi collaboratori o clienti, e questo ha conseguenze anche gravi in termini poi di violazione del GDPR.  

Un’azienda può trattare dati non solo come titolare, ma anche, ad esempio, gestendo i propri dipendenti o operando come responsabile di trattamenti di terzi. Ci sono numerosissime aziende che sono contemporaneamente titolari di dati personali e responsabili di altre informazioni personali. 

Tutto deve essere opportunamente formalizzato e ha impatti estremamente rilevanti sul cliente del provider e sulle sue responsabilità: egli, nel momento in cui sceglie il servizio cui affidarsi, è sempre tenuto dalla legge a documentare la correttezza della sua scelta in termini di coerenza e aderenza al GDPR, deve poter dimostrare le sue riflessioni su passaggi, azioni e valutazioni compiute per definire l’effettiva adeguatezza di quel cloud provider come responsabile e deve poterne evidenziare logica e coerenza per garantire sicurezza e protezione dei dati. anche in questo senso, è fondamentale avere informazioni chiare sulle caratteristiche strutturali e operative del servizio. La scelta del cloud provider debba fondarsi su un’attenta selezione preventiva, da fare sulla base di un risk assessment, che considererà il profilo della gestione della sicurezza delle informazioni. 

Maria Roberta Perugini
Avvocata, diritto e nuove tecnologie – Studio legale MRPerugini – Co-founder IUSINTECH