Cloud storage all’estero e privacy: come fare?

 

“Siamo obbligati a conservare i dati che trattiamo solo nel territorio italiano?”

Questa è la domanda che ricorre maggiormente quando un soggetto deve trattare dati personali altrui usando i moderni strumenti telematici.

Vediamo cosa dice il D. Lgs. 196/03 (il Codice della Privacy).

Art. 5:

1. Il presente codice disciplina il trattamento di dati personali, anche detenuti all’estero, effettuato da chiunque è stabilito nel territorio dello Stato o in un luogo comunque soggetto alla sovranità dello Stato.

2. Il presente codice si applica anche al trattamento di dati personali effettuato da chiunque è stabilito nel territorio di un Paese non appartenente all’Unione europea e impiega, per il trattamento, strumenti situati nel territorio dello Stato anche diversi da quelli elettronici, salvo che essi siano utilizzati solo ai fini di transito nel territorio dell’Unione europea. In caso di applicazione del presente codice, il titolare del trattamento designa un proprio rappresentante stabilito nel territorio dello Stato ai fini dell’applicazione della disciplina sul trattamento dei dati personali.

Leggendo il primo comma apprendiamo che i dati possono anche essere detenuti all’estero, purché il trattamento sia effettuato da un soggetto stabilito nel territorio dello Stato o ovunque vi sia la sovranità dello Stato. In parole povere: oltre che in Italia, i dati sottoposti a trattamento possono essere conservati all’estero; ciò che maggiormente importa al garante è che il responsabile del trattamento sia stabilito in Italia o in un luogo sottoposto alla sovranità italiana: per esempio, su una nave da crociera italiana o in un’ambasciata italiana all’estero.

Il secondo comma, invece, si spinge oltre e spiega che il trattamento dei dati può essere fatto anche da un soggetto stabilito fuori dall’Unione Europea (in Cina, per esempio), il quale impiega strumenti situati nel territorio dello Stato, purché ciò avvenga ai fini del transito di quei dati nell’ambito dell’Unione Europea. In questo caso è necessario che il soggetto residente all’estero nomini un rappresentante stabilito nel territorio dello Stato per assolvere gli obblighi previsti dalla normativa in tema di dati sensibili.

Fin qui nulla quaestio: stiamo parlando di dati sensibili che comunque rimangono nel territorio dello Stato e sono destinati alla circolazione all’interno dell’Unione Europea. Il problema più grosso, però, nasce dal fatto che i maggiori forniti di servizi cloud sono aziende USA stabilite nel territorio USA e con server dislocati in diverse parti del mondo.

Dropbox, OneDrive, Google Drive, SugarSync, SpiderOak… tutti servizi nati e stabiliti fuori dal territorio dell’Unione Europea e, quindi, non assoggettati ab origine ai vincoli posti dalle varie Direttive emanate dal 1998 ad oggi: ab origine questi non sono tenuti ad osservare le Direttive UE in materia di tutela dei dati personali e, tanto meno, ciò che prevede il Codice della Privacy nostrano. Anzi, fino ad un certo momento il loro utilizzo poteva persino essere considerato illegittimo da parte di soggetti italiani tenuti a garantire la tutela dei dati dei propri clienti – avvocati, commercialisti e liberi professionisti in generale.