Facciamo un esempio pratico.
L’avvocato Rossi acquisisce un nuovo cliente (il sig. Bianchi) che intende agire in giudizio per un dato motivo. Nel momento in cui l’avvocato Rossi chiude l’accordo con il cliente, deve fargli firmare la procura alle liti e l’informativa sul trattamento dei dati personali. In questo preciso momento, l’avv. Rossi diviene il responsabile del trattamento dei dati personali che il sig. Bianchi gli comunica per metterlo in condizione di lavorare.
L’avv. Rossi è un professionista moderno e al passo con le tecnologie e, pertanto, anche al fine di avere sempre una copia di sicurezza del proprio lavoro, ritiene che dovrebbe iniziare ad utilizzare un servizio di cloud storage. Gli amici e colleghi gli hanno parlato bene di Dropbox poiché consente di conservare i documenti su server remoti ma di lavorarci localmente, sulle copie che il client di Dropbox salva nella propria cartella per la sincronizzazione. Dropbox è un servizio la cui sede è negli USA e i server sono sparpagliati in diverse parti del mondo. L’avv. Rossi per fortuna sa che Dropbox ha aderito al programma “US-EU Safe Harbor” e che – a prescindere da tutto il resto – egli è un cittadino italiano situato in Italia: egli è assoggettato all’art. 5, comma 1, del Codice della Privacy: dunque può tranquillamente salvare il proprio lavoro e i dati personali del sig. Bianchi su Dropbox. L’unico obbligo per il professionista è quello di dare una corretta informazione: l’avv. Rossi, quindi, mette mano al file contenente l’informativa per la privacy che fa firmare ai suoi nuovi clienti e indica chiaramente che i dati personali a lui conferiti verranno trattati con strumenti informatici installati presso locali nella disponibilità esclusiva dell’avvocato. A quell’informazione deve necessariamente aggiungere che gli stessi dati sono conservati, anche e non solo, a scopo di manutenzione e conservazione sui server del servizio Dropbox, ai sensi dell’art.5, comma 1, del D. Lgs. n.196/03 nonché dell’accordo “US-EU Safe Harbor Program”. L’avv. Rossi, inoltre, deve indicare che egli potrà accedere a quei dati anche da dispositivi mobili nella sua esclusiva disponibilità, garantendo anche che, in caso di smarrimento o furto del dispositivo, egli attuerà tutte le procedure per la cancellazione a distanza dei contenuti del dispositivo. Il cliente adesso sa che i suoi dati verranno trattati dall’avv. Rossi come quelli fossero i suoi.
In conclusione: oggi non basta più semplicemente fornire le garanzie previste del Codice della Privacy al cliente. Questi deve sapere che abbiamo intenzione di salvare quei dati in un sistema cloud e, dal canto nostro, dobbiamo scegliere anche il cloud giusto, quello che fornisce maggiore sicurezza (SpiderOak, per esempio, usa connessioni criptate, esegue la crittografia dei dati localmente e non conosce nemmeno la password che l’utente sceglie per l’accesso). Affidarsi ciecamente ad un cloud storage piuttosto che un altro è un vero e proprio azzardo poiché alla fine, gli unici responsabili per eventuali “incidenti” saremo sempre e soltanto noi. I servizi cloud all’estero possono essere usati dall’Italia e nessuna norma vigente impedisce che ciò avvenga – abbiamo visto quanto sia chiaro il Codice della Privacy su questo argomento – però dobbiamo sempre scegliere un servizio che osservi le medesime regole