Legal Ruolo e responsabilità privacy degli hosting providers nelle Smart Cities Giuseppe Alve... 18 September 2023 Coloro che gestiscono gli hosting providers potrebbero essere indotti a pensare che, poiché non accedono direttamente ai dati personali utilizzati dai loro clienti, non svolgono alcun trattamento e quindi non rivestono alcun ruolo privacy. Questo possibile convincimento è errato, sconsigliabile ed imprudente. Privacy Notizie correlate Legal P.A. e imprese: i rischi per chi non rispetta la privacy Esg La continuità operativa nelle Smart Cities in caso di incidente fisico o tecnico Legal Dalla DPIA alla FRAIA. Il presidio dei diritti fondamentali in una Smart City. Players pubblici e privati, per sviluppare i processi di produzione di beni e servizi, si avvalgono di server virtuali o fisici messi a loro disposizione da fornitori di servizi di hosting, i quali non sono esenti da obblighi e responsabilità e hanno un ben definito ruolo privacy. I fornitori dei servizi di hosting In una Smart City, i fornitori di servizi di hosting offrono ai loro clienti (organizzazioni pubbliche e private) l’allocazione di risorse su server web virtuali o fisici. Nell’erogare tali servizi, gli stessi fornitori: non trattano gli indirizzi IP relativi agli interessati che utilizzano gli applicativi strumentali alla fornitura dei servizi pubblici; non accedono direttamente ai dati personali trattati mediante detti applicativi. Questa particolare situazione potrebbe però indurre in un madornale errore. Si potrebbe essere portati a pensare che gli hosting providers non trattino i dati personali utilizzati dai loro clienti e non abbiano pertanto alcuna responsabilità privacy. Non si tratta di un’ipotesi peregrina. Infatti alcune importanti società sono state sanzionate dall’Autorità Garante proprio per aver ritenuto di non rivestire alcun ruolo privacy in relazione ai dati personali processati dai loro clienti e di non aver quindi alcuna correlata responsabilità. Il ruolo privacy dei fornitori dei servizi di hosting Il Garante ha messo in chiaro, in numerose occasioni (e.g. vds. i provvedimenti n. 44 del 10 febbraio 2022 [doc. web n. 9754332] e n. 135 del 7 aprile 2022 [doc. web n. 9768387]); che, ai fini del rispetto della normativa in materia di protezione dei dati personali, occorre: identificare con precisione i soggetti che, a diverso titolo, possono trattare i dati personali e, definire chiaramente le rispettive attribuzioni, in particolare quella del titolare e del responsabile del trattamento. In tale quadro, i fornitori dei servizi di hosting, anche se non accedono direttamente ai dati personali dei loro clienti trattati mediante le applicazioni, tuttavia eseguono, comunque, specifici trattamenti di dati personali. Essi, infatti, conservano gli stessi dati sulla propria infrastruttura tecnologica e sono chiamati a garantirne la riservatezza, l’integrità e la disponibilità. Sono inoltre chiamati ad adottare misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio. Ancora, assicurano determinati livelli di servizio in termini di disponibilità dei sistemi e mettono a disposizione dei propri clienti una serie di strumenti per gestire e monitorare il servizio, In breve, i fornitori di servizi di hosting trattano dati personali per conto di ciascun loro cliente, ente pubblico o impresa che sia. Rivestono pertanto, indubitabilmente il ruolo privacy di responsabili del trattamento. Tale circostanza è ben chiarita anche al punto 40 delle linee Guida EDPB 7/2020 versione 2.0. Obblighi e responsabilità dei fornitori dei servizi di hosting I fornitori dei servizi di hosting quali responsabili del trattamento sono destinatari di specifici autonomi obblighi stabiliti dal GDPR come, ad esempio, la tenuta del registro dei trattamenti e l’adozione di adeguate misure di sicurezza. Sono inoltre legittimati a trattare i dati degli interessati “soltanto su istruzione documentata del titolare” (art. 28, par. 3, lett. a), del GDPR). Inolre, il rapporto tra ciascun cliente “titolare” e ciascun hosting provider “responsabile” deve essere regolato da un contratto o da altro atto giuridico, stipulato per iscritto. Questo atto, qualificato DPA (Data Processing Agreement), oltre a vincolare reciprocamente le due figure, consente al titolare di impartire istruzioni al responsabile anche sotto il profilo della sicurezza dei dati e prevede, in dettaglio, quale sia la materia disciplinata, la durata, la natura e le finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare e del responsabile. Conclusioni La realizzazione dei citati adempimenti prescritti dall’art. 28 GDPR è certamente funzionale ad assicurare che ciascun Player di una Smart City che si avvalga di un hosting provider, abbia il pieno controllo dei relativi trattamenti di dati personali, sviluppando il business in una cornice di ragionevole tranquillità, senza doversi preoccupare dell’irrogazione di possibili pesanti sanzioni. Giuseppe Alverone
PRO
