Google Drive, attenzione alla privacy!

Il problema è stato rilevato sin da subito non solo dagli utenti ma anche dal Gruppo di Lavoro Ex Art. 29, che ha conferito al CNIL potere d‘indagine, e dal nostro Garante Privacy. Come già evidenziato, con le nuove regole sono stati introdotti contenuti eccessivamente ampi tali da consentire a Google di poter effettuare trattamenti di dati alquanto invasivi.

La situazione si è complicata ulteriormente pochi giorni orsono. Google ha infatti rilasciato un nuovo servizio di cloud storage denominato Google Drive (in sostanza si tratta di un servizio analogo ai ben più noti e utilizzati Dropbox, iCloud, SkyDrive e SpiderOak) che, in combinazione con le nuove regole, in particolare con la richiesta di comunicare, pubblicare, rappresentare pubblicamente, visualizzare pubblicamente e distribuire tutti i contenuti caricati, rende la nuova regolamentazione ancor più controversa.

A poco sono valse le giustificazioni ufficiali della società ricondotte al trattamento finalizzato al solo scopo di promuovere e migliorare i servizi, oltre che di svilupparne di nuovi.

E’ chiaro che le nuove finalità di trattamento, così estese, hanno una giustificazione tecnica. Sono state ideate per poter ricomprendere tutti i servizi offerti, altrimenti, non potrebbero essere attuate molte operazioni necessarie a farli funzionare. Per esempio, nello specifico caso di Google Drive, non potrebbe essere effettuata la virtualizzazione dei dati ed il trasferimento degli stessi da un server all’altro anche in Paesi extra UE, operazioni tipiche del Cloud Computing, ovvero l’indicizzazione del contenuto dei documenti, così come una banalissima miniaturizzazione delle immagini finalizzata alla preview dei file.

Nel caso di specie, il contrasto trova fondamento in primis nel concetto di trattamento dei dati nel rispetto della dignità dell’utente, di cui all’art. 2 del Codice Privacy. Questa, infatti, costituisce di per sè una posizione sufficientemente ampia ed un limite invalicabile di tutela dell’interessato ed è in quest’ottica che l’art. 37, comma 2, dello stesso Codice Privacy, prevede anche l’intervento del Garante Privacy per individuare e bloccare trattamenti suscettibili di recare pregiudizio ai diritti dell’interessato.

Problematiche ancor più ampie emergono poi in relazione ai dati di terzi soggetti che l’utente “trascina” nei servizi di cui si tratta.

Escludendo gli utenti che agiscono per lo più per fini personali e a cui, pertanto, non si dovrebbero applicare le principali disposizioni del Codice Privacy (per effetto della “esenzione domestica” ex art. 5, c. 3), sussiste un evidente problema per gli utenti che utilizzano i servizi per finalità professionali e che trattano, indubbiamente, dati di terzi, sia personali che sensibili.

In questi casi, chi dev’essere considerato titolare e chi responsabile del trattamento per tutti i dati e soggetti coinvolti? Il fornitore dei servizi è titolare del trattamento rispetto all’utente che immette i contenuti e quest’ultimo è titolare del trattamento rispetto ai dati di terzi soggetti?

E’ chiaro e fuori di dubbio che il titolare del trattamento deve considerarsi sempre e solo il soggetto che “tratta” i dati, volta per volta, ma risulta corretto ipotizzare anche che in questi casi si configura un duplice e differito trattamento.

Chi effettua la prima memorizzazione dei dati dovrebbe essere titolare degli stessi e, successivamente, il fornitore dovrebbe essere, se non titolare, almeno responsabile per i dati memorizzati e sui quali viene effettuato un nuovo trattamento.

Stando così le cose, il fornitore del servizio dovrebbe essere considerato titolare anche dei dati di terzi immessi dall’utente. In realtà così non è, perché viene individuato come responsabile ma si comporta in sostanza da titolare perché di certo non riceve istruzioni dall’utente come prevede l’art. 29, co. 5, del Codice Privacy.

Sussiste una evidente impossibilità di individuare correttamente ruoli e relative responsabilità in caso di violazione della privacy di terzi.

La soluzione al problema potrebbe forse essere stata trovata in sede europea con la creazione di una figura di responsabilità congiunta tra più soggetti. L’art. 24 della Proposta di Regolamento SEC(2012) 73 della Commissione europea sulla protezione dei dati stabilisce che:

Se il responsabile del trattamento determina le finalità, le condizioni e i mezzi del trattamento dei dati personali insieme ad altri, i corresponsabili del trattamento determinano, mediante accordi interni, le rispettive responsabilità in merito al rispetto degli obblighi derivanti dal presente regolamento, con particolare riguardo alle procedure e ai meccanismi per l’esercizio dei diritti dell’interessato.”

L’articolo 24 chiarisce le responsabilità con riferimento alla relazione che intercorre tra i soggetti che trattano i dati nei confronti dell’interessato. Si stratta quindi di una speciale figura di corresponsabilità che offre contemporaneamente agli utenti particolari garanzie in termini di affidabilità e specifiche responsabilità anche nei confronti dei terzi.

Per via della diretta applicabilità dei regolamenti dell’Unione europea, la norma sarà attuata con lo stesso testo in tutti gli ordinamenti dei singoli Stati membri. Si avrà finalmente uniformità normativa nel chiarire quali responsabilità ha il fornitore nei confronti di tutti i soggetti coinvolti nel trattamento.

In conclusione, i vantaggi che offrono i servizi di Google e, in generale, tutti quelli in Cloud Computing, sono innegabili e molti utenti sono già nella condizione di non volervi rinunciare per nessun motivo. Disponibilità e accessibilità ai propri dati in ogni momento, gratuitamente e da qualunque dispositivo collegato alla rete sono in effetti una vera panacea per l’utente della società dell’informazione.

D’altro canto, non si può sottacere sui suoi aspetti negativi, anzi, la loro valutazione costituisce una necessaria attività per creare maggiore affidamento e consapevolezza negli utenti.

In attesa che le competenti autorità si pronuncino sulle nuove regole di Google e che il nuovo Regolamento dell’UE entri in vigore, è opportuno che tutti coloro che intendono usufruire, in generale, dei servizi di Cloud Computing, lo facciano con le dovute attenzioni e cautele, soprattutto se utilizzati in ambito professionale coinvolgendo dati di terzi soggetti.


Guglielmo Troiano

Scrivi un commento

Accedi per poter inserire un commento