Cloud e protezione dei dati - Digitalisierung

Cloud e protezione dei dati

Trattamento di dati personali

Il trattamento di dati personali, cioè di dati che si riferiscono a una determinata persona, soggiace alle prescrizioni della Legge sulla protezione dei dati (art. 2 i.c. con art. 3 lett. A LPD).

Il diritto alla protezione dei dati non si applica all’utilizzo di servizi Cloud da parte di avvocate e avvocati quando il fornitore di servizi cloud non effettua alcun trattamento di dati personali. Ciò è il caso quando i dati sono semplicemente salvati presso il fornitore di servizi cloud (modello di servizio IaaS) e le avvocate e gli avvocati criptano i dati prima di trasmetterli al provider in modo da impedire che quest’ultimo possa accedere ai dati in chiaro. Diversa è la situazione quando avvocate e avvocati pro

cedono al trattamento dei dati sull’infrastruttura del fornitore di servizi cloud (modello di servizio SaaS), perché in tal caso il provider può accedere direttamente ai dati.

Dottrina e giurisprudenza hanno stabilito che si è in presenza di dati personali quando in base alla comune esperienza si deve partire dal presupposto che chi è chiamato a trattarli potrebbe utilizzarli per definire una specifica persona. Dato che nel contesto dei servizi SaaS forniti da provider di cloud ciò non può essere escluso, l’utilizzo di simili servizi da parte di avvocate e avvocati è da qualificare quale trattamento di dati soggetto alle prescrizioni della LPD.

Trattamento di dati su mandato:

Nella misura in cui il trattamento dei dati personali da parte di avvocati è ammissibile e le condizioni per il trattamento dei dati del mandante ai sensi dell’art. 10a LPD sono adempiute, il trattamento può avvenire anche ad opera del fornitore di servizi cloud. L’avvocato e resta tuttavia responsabile del rispetto delle norme sulla protezione dei dati.

Nell’ambito del trattamento di dati su mandato il trattamento di dati personali si basa su una convenzione (contratto cloud) conclusa tra l’avvocato, rispettivamente lo Studio legale e il prestatore di servizi, cioè il provider della cloud.

Chi offre servizi cloud può trattare i dati personali che gli vengono trasmessi solo nei limiti di quanto l’avvocata o l’avvocato è a sua volta autorizzato a fare nella sua qualità di mandante (art. 10a lett. a LPD). Se le disposizioni del diritto sulla protezione dei dati sono rispettate e quindi il trattamento dei dati personali da parte dell’avvocata o dell’avvocati si attiene ai principi di tale normativa o si fonda su giustificati motivi, i dati non possono essere trattati solo dall’avvocato, ma anche dal fornitore di servizi cloud. Per contro, un utilizzo dei dati da parte del fornitore di servizi cloud per scopi propri sarebbe inammissibile. Per garantire che il provider non proceda a un trattamento dei dati diverso da quello svolto dall’avvocato, le modalità in cui vanno trattati i dati dovrebbero essere regolamentate nel contratto-cloud o in un suo allegato. In tale contesto, può ad esempio essere stabilito che i dati, salvo specifiche, contrarie indicazioni, possono essere utilizzati unicamente ai fini dell’adempimento del contratto.

Il trattamento di dati personali non è permesso qualora comporti l’inosservanza di obblighi di segretezza legali o contrattuali (art. 10a cpv. 1 lett. b LPD). Come è stato evidenziato in precedenza, l’utilizzo di servizi Cloud da parte di avvocati non è costitutivo di una violazione di obblighi di segretezza legali. È tuttavia ipotizzabile che siano stati pattuiti vincoli di segretezza contrattuali incompatibili con l’esternalizzazione dei dati.

L’avvocato è responsabile del rispetto delle prescrizioni del diritto sulla protezione dei dati, e di conseguenza ha l’obbligo di selezionare, istruire e sorvegliare con cura il fornitore di servizi cloud. In particolare, deve assicurarsi che il fornitore di servizi cloud garantisca la sicurezza dei dati (art. 10a cpv. 2 LPD), tutelando la confidenzialità, disponibilità e integrità dei dati. (art. 8 cpv. 1 OLPD). Il dispositivo di sicurezza del fornitore di servizi cloud può essere sottoposto a una verifica tramite uno specialista indipendente. In alternativa, le certificazioni di sistemi di controllo-qualità ISO 9001 risp. ISO 27001 o certificazioni specifiche per la protezione dei dati (ad es. GoodPriv@cy, VDSZ:2014 o ePrivacy) sono ugualmente affidabili.

 

Delocalizzazione all’estero

Se persone che si trovano al di fuori dei confini nazionali possono accedere ai dati salvati nella Cloud (in particolare quando si fa capo a un fornitore di sevizi cloud estero, ma anche nel contesto di una manutenzione in modalità remota) si è in presenza di una trasmissione di dati transfrontaliera (art. 6 LPD). Se nel paese estero in oggetto vige una regolamentazione sulla protezione dei dati adeguata, una simile trasmissione di dati non presenta di principio alcun problema (art. 6 cpv. 1 LPD). L’IFPDT pubblica ai sensi dell’art.  7 OLPD una lista degli stati in cui presumibilmente vige una protezione dei dati adeguata. Per gli stati che non figurano su tale lista (come ad esempio gli Stati Uniti) l’avvocato deve farsi rilasciare garanzie adeguate e sufficienti quo alla protezione dei dati. Simili garanzie possono essere di natura contrattuale oppure risultare dall’auto-certificazione del fornitore di servizi cloud nell’ambito dello Swiss-US Privacy Shield.

Digressione: Regolamento Generale sulla protezione dei dati (RGPD)

L’attività di avvocati svizzeri può essere soggetta al Regolamento generale Europeo sulla protezione dei dati (RGPD), segnatamente quando l’avvocato fornisce i suoi servizi a favore di clienti residenti nell’Unione Europea (art.  3 cpv.  2 RGDP). L’applicabilità del RGPD può tuttavia anche derivare dalla LDIP, nella misura in cui chi è leso nei suoi diritti personali può optare per l’applicabilità del diritto vigente nel suo stato di domicilio o residenza, se si poteva ragionevolmente presumere che il danno si sarebbe prodotto in tale paese (art. 139 cpv. 3 i.c. con cpv. 1 LDIP). Un trattamento di dati lesivo dei diritti personali potrebbe quindi essere soggetto al RGDP in particolare quale diritto del luogo di residenza abituale del cliente, nella misura in cui la concretizzazione degli effetti della lesione al luogo di residenza del cliente risulta di regola prevedibile.
La situazione giuridica per la delocalizzazione del trattamento dei dati secondo l’art. 28 RGDP corrisponde nei suoi tratti generali a quella prevista dalla LPD. La delocalizzazione nel contesto del trattamento di dati su mandato è privilegiata e non deve necessariamente essere coperta da una delle fattispecie elencate all’art. 6 RGDP. Diversamente dalla LPD, l’art. 28 RGDP prescrive molto dettagliatamente gli obblighi che devono essere osservati nell’ambito del trattamento di dati su mandato. Quando gli vengono trasmessi dei dati personali, colui che tratta simili dati su mandato è inoltre qualificabile come destinatario ai sensi dell’art. 4 n° 9 RGDP. La persona responsabile deve informare il titolare dei dati sull’identità dei destinatari ai quali vengono trasmessi (art. 13 cpv. 1 lett. e RGDP; art. 14 cpv. 1 lett. e RGDP). A tale scopo, la semplice messa a disposizione di tali informazioni, ad esempio tramite una dichiarazione sulla protezione dei dati scaricabile in rete, è considerata sufficiente.

Modello di contratto con fornitori di servizi cloud

Con e senza riferimento internazionale

Lista di fornitori di servizi cloud

Panoramica di fornitori di servizi cloud