Cloud e protezione dei dati - Digitalisierung
Cloud e protezione dei dati
Trattamento di dati personali
Il trattamento di dati personali, cioè di dati che si riferiscono a una determinata persona, soggiace alle prescrizioni della Legge sulla protezione dei dati (art. 2 i.c. con art. 3 lett. A LPD).
Il diritto alla protezione dei dati non si applica all’utilizzo di servizi Cloud da parte di avvocate e avvocati quando il fornitore di servizi cloud non effettua alcun trattamento di dati personali. Ciò è il caso quando i dati sono semplicemente salvati presso il fornitore di servizi cloud (modello di servizio IaaS) e le avvocate e gli avvocati criptano i dati prima di trasmetterli al provider in modo da impedire che quest’ultimo possa accedere ai dati in chiaro. Diversa è la situazione quando avvocate e avvocati pro
cedono al trattamento dei dati sull’infrastruttura del fornitore di servizi cloud (modello di servizio SaaS), perché in tal caso il provider può accedere direttamente ai dati.
Dottrina e giurisprudenza hanno stabilito che si è in presenza di dati personali quando in base alla comune esperienza si deve partire dal presupposto che chi è chiamato a trattarli potrebbe utilizzarli per definire una specifica persona. Dato che nel contesto dei servizi SaaS forniti da provider di cloud ciò non può essere escluso, l’utilizzo di simili servizi da parte di avvocate e avvocati è da qualificare quale trattamento di dati soggetto alle prescrizioni della LPD.
Trattamento di dati su mandato:
Nella misura in cui il trattamento dei dati personali da parte di avvocati è ammissibile e le condizioni per il trattamento dei dati del mandante ai sensi dell’art. 10a LPD sono adempiute, il trattamento può avvenire anche ad opera del fornitore di servizi cloud. L’avvocato e resta tuttavia responsabile del rispetto delle norme sulla protezione dei dati.
Nell’ambito del trattamento di dati su mandato il trattamento di dati personali si basa su una convenzione (contratto cloud) conclusa tra l’avvocato, rispettivamente lo Studio legale e il prestatore di servizi, cioè il provider della cloud.
Chi offre servizi cloud può trattare i dati personali che gli vengono trasmessi solo nei limiti di quanto l’avvocata o l’avvocato è a sua volta autorizzato a fare nella sua qualità di mandante (art. 10a lett. a LPD). Se le disposizioni del diritto sulla protezione dei dati sono rispettate e quindi il trattamento dei dati personali da parte dell’avvocata o dell’avvocati si attiene ai principi di tale normativa o si fonda su giustificati motivi, i dati non possono essere trattati solo dall’avvocato, ma anche dal fornitore di servizi cloud. Per contro, un utilizzo dei dati da parte del fornitore di servizi cloud per scopi propri sarebbe inammissibile. Per garantire che il provider non proceda a un trattamento dei dati diverso da quello svolto dall’avvocato, le modalità in cui vanno trattati i dati dovrebbero essere regolamentate nel contratto-cloud o in un suo allegato. In tale contesto, può ad esempio essere stabilito che i dati, salvo specifiche, contrarie indicazioni, possono essere utilizzati unicamente ai fini dell’adempimento del contratto.
Il trattamento di dati personali non è permesso qualora comporti l’inosservanza di obblighi di segretezza legali o contrattuali (art. 10a cpv. 1 lett. b LPD). Come è stato evidenziato in precedenza, l’utilizzo di servizi Cloud da parte di avvocati non è costitutivo di una violazione di obblighi di segretezza legali. È tuttavia ipotizzabile che siano stati pattuiti vincoli di segretezza contrattuali incompatibili con l’esternalizzazione dei dati.
L’avvocato è responsabile del rispetto delle prescrizioni del diritto sulla protezione dei dati, e di conseguenza ha l’obbligo di selezionare, istruire e sorvegliare con cura il fornitore di servizi cloud. In particolare, deve assicurarsi che il fornitore di servizi cloud garantisca la sicurezza dei dati (art. 10a cpv. 2 LPD), tutelando la confidenzialità, disponibilità e integrità dei dati. (art. 8 cpv. 1 OLPD). Il dispositivo di sicurezza del fornitore di servizi cloud può essere sottoposto a una verifica tramite uno specialista indipendente. In alternativa, le certificazioni di sistemi di controllo-qualità ISO 9001 risp. ISO 27001 o certificazioni specifiche per la protezione dei dati (ad es. GoodPriv@cy, VDSZ:2014 o ePrivacy) sono ugualmente affidabili.
Sous-traitance à l’étranger
Si des personnes situées en dehors de la Suisse peuvent accéder aux données stockées en cloud (notamment en cas de recours à un fournisseur de services cloud à l’étranger, mais aussi lors d’une télémaintenance), on est en présence d’une « communication transfrontière de données » selon la terminologie utilisée à l’art. 6 LPD. Au regard de l’art. 6 al. 1er LPD, rien ne s’y oppose, du moins s’il existe, dans le pays concerné, une législation assurant un niveau de protection adéquat. En application de l’art. 7 OLPD, le Préposé fédéral à la protection des données et à la transparence PFPDT publie une liste des pays pour lesquels il existe une présomption de protection suffisante des données. S’agissant des pays qui ne figurent pas sur cette liste, comme les États-Unis d’Amérique, l’avocat/e doit obtenir des garanties supplémentaires. Celles-ci peuvent être de nature contractuelle ou résulter d’une certification individuelle obtenue par le fournisseur dans le cadre du Swiss-US Privacy Shield.
Quelques remarques sur le Règlement général sur la protection des données (RGPD)
Le RGPD de l’UE peut s’étendre aux activités de l’avocat/e suisse, notamment si celui/celle-ci déploie ses activités avec des clients résidant au sein de l’UE (art. 3 al. 2 RGPD). L’application du RGPD peut également résulter de la LDIP : en cas d’atteinte à la personnalité (art. 139 al. 3 en lien avec al. 1er LDIP), il est possible de choisir entre « le droit de l’État dans lequel le lésé a sa résidence habituelle » et « le droit de l’État dans lequel le résultat de l’atteinte se produit », « pour autant que l’auteur du dommage ait dû s’attendre à ce que le résultat se produise dans cet État ». En cas d’atteinte à la personnalité lors du traitement de données personnelles dans un cloud, le RGPD peut dès lors s’appliquer comme droit du lieu de résidence du client, d’autant plus que la survenance d’une atteinte au lieu de résidence habituelle du client est généralement prévisible.
Le sort réservé à la sous-traitance des données selon l’art. 28 RGPD correspond dans ses grandes lignes à ce qui est prévu par la LPD. L’externalisation dans le cadre d’une sous-traitance est privilégiée et ne doit pas faire l’objet d’une autorisation au sens de l’art. 6 RGPD. Toutefois, contrairement à la LPD, l’art. 28 RGPD précise dans le détail comment le responsable du traitement doit respecter ses obligations en cas de sous-traitance. Le sous-traitant est également un destinataire de données au sens de l’art. 4 ch. 9 RGPD si des données lui sont communiquées. Il en résulte que le responsable du traitement doit donner aux personnes concernées des informations sur ce destinataire de données (art. 13 al. 1er let. e et 14 al. 1er let. e RGPD), par exemple avec une déclaration de protection des données disponible au téléchargement sur Internet.
Modèles de contrat avec des fournisseurs de services cloud
En Suisse et à l’étranger