HOME PAGE‎ > ‎Focus‎ > ‎

Il professionista che conserva i dati dei suoi clienti sui servizi offerti da Google viola la normativa sulla privacy ?

pubblicato 30 gen 2013, 03:49 da Emilio Curci   [ aggiornato in data 30 gen 2013, 03:50 ]
In questo contributo proviamo ad affrontare (forse in modo non del tutto esauriente) i possibili problemi legati ad una pratica ormai molto diffusa e cioè l'utilizzo da parte dei professionisti (es: avvocati, commercialisti, ecc..) dei servizi di archiviazione  messi gratuitamente a disposizione da Google per la gestione delle proprie pratiche e dei relativi dati dei clienti in esse contenute.

Si tratta cioè di comprendere se l'utilizzo delle piattaforme cloud (cioè che consentono l'archiviazione on line di dati, documenti, ecc..) offerte gratuitamente da Google siano utilizzabili in ambito professionale ovvero se ciò comporti una violazione della normativa sulla Privacy, al cui rispetto naturalmente tali categorie sono tenute.

Al fine di fugare ogni dubbio in merito è bene precisare che tale riflessione non può che limitarsi all'uso professionale di tali strumenti e non di certo all'uso personale, atteso che chi conserva on line dati, documenti, ecc.. per uso esclusivamente personale naturalmente non è tenuto al rispetto della normativa citata.

In questo contributo prenderemo in esame unicamente il servizio erogato da Google, pur consci che, ad oggi esistono numerose piattaforme che offrono buone alternative, ma naturalmente, come vedremo in seguito per un'analisi efficace è opportuno concentrarsi sulle diverse condizioni contrattuali alle quali il servizio viene appunto offerto e, dunque, ogni gestore (sebbene nell'utente finale ciò non sia immediatamente percepibile) ha diverse caratteristiche e l'uso dei suoi prodotti comporta differenti implicazioni non solo di tipo funzionale, ma anche legale.

Tornando a Google ricordiamo che la società di Mountain View rende disponibile a tutti una versione base di "storage on line" denominato "Google Drive".

Si tratta, in sostanza di un "luogo virtuale" disponibile già in forma gratuita, all'interno del quale, ciascun utente Google (preventivamente registrato) può conservare i propri file.

Tra questi naturalmente è possibile archiviare numerosissimi formati, dai video, alle immagini, ai documenti (es: doc o PDF) ed altro ancora.

Google Drive, peraltro, non si limita soltanto alla "conservazione" dei file, ma consente, attraverso un proprio editor on line, anche di creare documenti quali testi, fogli di calcolo e presentazioni, di condividerli e di collaborare sugli stessi in tempo reale con altri soggetti.

Il sistema è accessibile da qualsiasi dispositivo collegato alla rete (PC, Tablet o Smartphone), consentendo così una completa libertà di accesso ai propri documenti da ogni luogo o postazione.

Il servizio mette a disposizione per tutti gli utenti gratuitamente 5Gb di spazio consentendo, poi a chi ne abbia bisogno la possibilità di attivare altre opzioni a pagamento per ottenere una capacità di archiviazione superiore.

Premesso quanto sopra è evidente che un simile servizio (come anche altri, peraltro presenti sul mercato) potenzialmente sia anche un ottimo strumento per chi svolge attività professionali che richiedono continui accessi a documenti e soprattutto collaborazione con altri soggetti.

Se questa è la premessa dobbiamo però interrogarci sulla compatibilità dell'utilizzo di tale strumento di archiviazione, per chi ne fa uso in maniera professionale, con le regole dettate in materia di Privacy (Dlgs 196/2003).

Google Drive, come tutti gli altri servizi Google è, infatti, sottoposto ai nuovi termini di servizio che la società di Mountain View ha introdotto da poco più di due mesi.

Leggendo tali termini emerge subito chiaramente come, in relazione ai contenuti inseriti in rete da ciascun utente, Google disponga di una “licenza mondiale” che gli consente di fare con questi numerose operazioni.

Riportiamo di seguito proprio la parte estratta dai termini di servizio di Google che affronta l'argomento:

I contenuti dell’utente nei nostri Servizi
Alcuni dei nostri Servizi permettono all’utente di inviare contenuti. L’utente mantiene gli eventuali diritti di proprietà intellettuale detenuti su tali contenuti. In breve, ciò che appartiene all’utente resta di sua proprietà.
Quando carica o invia in altro modo dei contenuti ai nostri Servizi, l’utente concede a Google (e a coloro che lavorano con Google) una licenza mondiale per utilizzare, ospitare, memorizzare, riprodurre, modificare, creare opere derivate (come quelle derivanti da traduzioni, adattamenti o modifiche che apportiamo in modo che i contenuti dell’utente si adattino meglio ai nostri Servizi), comunicare, pubblicare, rappresentare pubblicamente, visualizzare pubblicamente e distribuire tali contenuti.I diritti che concede con questa licenza riguardano lo scopo limitato di utilizzare, promuovere e migliorare i nostri Servizi e di svilupparne di nuovi. Questa licenza permane anche qualora l’utente smettesse di utilizzare i nostri Servizi (ad esempio nel caso di una scheda di attività commerciale aggiunta a Google Maps). Alcuni Servizi potrebbero offrire modalità di accesso e rimozione dei contenuti forniti a tale Servizio. Inoltre, in alcuni dei nostri Servizi sono presenti termini o impostazioni che restringono l’ambito del nostro utilizzo dei contenuti inviati a tali Servizi. L’utente dovrà assicurarsi di disporre dei diritti necessari per concederci tale licenza rispetto a qualsiasi contenuto inviato ai nostri Servizi.
Per ulteriori informazioni sulle modalità di utilizzo e memorizzazione dei contenuti adottate da Google è possibile consultare le norme sulla privacy o i termini aggiuntivi dei Servizi specifici. Qualora l’utente inviasse feedback o suggerimenti sui nostri Servizi, potremmo utilizzare tali feedback o suggerimenti senza alcun obbligo nei confronti dell’utente medesimo.
Come leggere dunque le condizioni di Google relative ai contenuti ?

La parte su cui prestare maggiore attenzione è probabilmente quella che recita: "Quando carica o invia in altro modo dei contenuti ai nostri Servizi, l’utente concede a Google (e a coloro che lavorano con Google) una licenza mondiale per utilizzare, ospitare, memorizzare, riprodurre, modificare, creare opere derivate (come quelle derivanti da traduzioni, adattamenti o modifiche che apportiamo in modo che i contenuti dell’utente si adattino meglio ai nostri Servizi), comunicare, pubblicare, rappresentare pubblicamente, visualizzare pubblicamente e distribuire tali contenuti".

Cerchiamo, dunque, di interpretare quale licenza concede a Google chi carica dei documenti, rispetto alle singole operazioni descritte nei termini di servizio.

Riguardo alla possibilità di "utilizzare" i dati bisognerebbe, innanzitutto, chiedersi cosa si intende con un'espressione così ampia, atteso che, con tale termine, sembrerebbe aprirsi la strada a qualsiasi operazione connessa con i documenti, considerato anche che, come si legge successivamente, vengono poi descritte una serie di altre facoltà concesse a Google, quali la comunicazione, la pubblicazione, la rappresentazione e la visualizzazione pubblica, nonchè, la distribuzione dei contenuti.

Ebbene lette così le condizioni sembrerebbero dare a Google una licenza quasi assoluta sui dati caricati, ma non si può fare a meno di leggere il seguito dei termini di servizio nella parte che prevede: I diritti che concede con questa licenza riguardano lo scopo limitato di utilizzare, promuovere e migliorare i nostri Servizi e di svilupparne di nuovi. Questa licenza permane anche qualora l’utente smettesse di utilizzare i nostri Servizi (ad esempio nel caso di una scheda di attività commerciale aggiunta a Google Maps)".

Tale precisazione, sebbene non risolva il problema, quantomeno, lo "mitiga" attribuendo a Google le facoltà sopra descritte non in maniera "indiscriminata", ma con una specifica finalità ed ossia, soltanto al fine di promuovere, migliorare i servizi e svilupparne di nuovi.

Pertanto, in assenza di tale giustificazione di miglioramento e sviluppo dei propri servizi, non potrebbe disporre, in alcun modo, dei dati caricati, nè esercitare le attività sopra descritte.

Certamente è ancora poco per essere tranquilli, considerato che, come è facile immaginare, è molto difficile per l'utente esercitare un'attività di controllo sulla liceità o meno dei comportamenti di Google nella gestione dei suoi dati e dei suoi documenti, soprattutto per il fatto che sembrerebbe non esserci alcun obbligo da parte della società di Mountain View di comunicare all'utente quando tali facoltà (es: la visualizzazione o la diffusione pubblica) siano esercitate.

Dunque, per quanto ci si renda conto che, per consentire a determinati servizi di condivisione avanzata di funzionare correttamente Google abbia la necessità di gestire i contenuti degli utenti in maniera piuttosto "ampia", possiamo affermare che avrebbe potuto fare di meglio utilizzando condizioni di servizio meno ampie e pensando a forme di maggior tutela, ad esempio, come detto sopra prevedendo un avviso al proprietario dei documenti nelle ipotesi in cui intendesse esercitare una determinata facoltà, in modo da consentirgli eventuali opposizioni.

Ma come stanno le cose realmente rispetto alla vigente normativa sulla privacy ?

Certamente possiamo affermare che, se da un lato, da tali disposizioni sono esclusi gli utenti che agiscono per finalità personali (non operanti nei loro confronti ai sensi dell'art. 5 comma 3 del Codice della Privacy), dall'altro, il problema si pone, per coloro che utilizzano i servizi di storage on line per finalità professionali effettuando trattamento dati di terzi, sia personali che sensibili.

Si pone, dunque, il problema di comprendere, in questo casi, chi sia il soggetto titolare e chi, invece, sia il soggetto responsabile del trattamento ed ossia quali differenze ci sono tra il fornitore dei servizi (Google) e l’utente che immette i contenuti in rete.

A modesto parere di chi scrive appare evidente che il titolare del trattamento non possa che essere considerato il soggetto che appunto "tratta"i dati ed ossia il professionista al quale i clienti affidano i loro dati personali che provvede alla loro archiviazione on line.

Allo stesso modo, seguendo tale ragionamento, il fornitore del servizio assume la qualità di responsabile dei dati memorizzati, sui quali, però viene effettuato un ulteriore trattamento.

Si pone così un vero e proprio conflitto di attribuzioni tra il soggetto "titolare" del trattamento ed il responsabile (Google) che, sebbene rivesta tale qualifica, di fatto, assume veri e propri poteri da titolare perché le facoltà di trattamento dei dati non vengono esercitare in base alle istruzioni date dall’utente (così come previsto dall’art. 29 comma 5 del Codice Privacy), bensì con un certo margine di autonomia e discrezionalità.

Tale problema, sebbene in sede europea si stia discutendo di possibili forme di corresponsabilità nel trattamento dei dati, pertanto, rimane ancora aperto.

Ulteriore difficoltà comune, peraltro, non solo a Google, ma a tutti i servizi di Cloud Computing, è rappresentata dalla "conservazione" dei dati e cioè dal luogo fisico in cui gli stessi vengono archiviati.

Come è noto, ai sensi dell'art. 45 del Codice della Privacy "fuori dei casi di cui agli articoli 43 e 44, il trasferimento anche temporaneo fuori del territorio dello Stato, con qualsiasi forma o mezzo, di dati personali oggetto di trattamento, diretto verso un Paese non appartenente all'Unione europea, è vietato quando l'ordinamento del Paese di destinazione o di transito dei dati non assicura un livello di tutela delle persone adeguato".

Dunque, ai sensi di tale normativa, fatte sempre salve le ipotesi di cui agli art. 43 e 44 che elencano i casi tassativi in cui il trasferimento dei dati extra UE è consentito, non è possibile gestire i dati personali fuori dal territorio dell'Unione Europea, tranne quando il Paese in cui viene effettuato il trasferimento assicuri un livello di tutela adeguato delle persone.

I dati inseriti su Google Drive vengono conservati all'interno di server fisicamente ubicati per la maggior parte in aree Extra europee (in prevalenza Stati Uniti) pur esistendo alcuni server anche in Europa (es: Belgio o Olanda) o in Asia e, dunque, è necessario porsi il problema della liceità del trasferimento dei dati verso tali Paesi fuori dall'ambito comunitario.

Da sempre l'Unione Europea ha ritenuto le modalità di gestione dei dati effettuati in tali paesi generalmente non pienamente conformi agli standard europei e, per tali motivi, sono state promulgate varie disposizioni per la protezione dei dati personali tra cui la direttiva 95/46/CE del Parlamento e del Consiglio europeo del 24 ottobre 1995.

Tale direttiva richiama i principi secondo i quali i sistemi di elaborazione dei dati sono stati sviluppati per servire l’uomo e devono - a prescindere dalla nazionalità e dal luogo di residenza delle persone fisiche - rispettarne la libertà e i diritti fondamentali, in particolare il diritto alla privacy.

A seguito di tanto e per consentire un adeguato ed equilibrato rapporto tra aziende europee ed americane, negli Stati Uniti è stato creato il protocollo Safe Harbor che si basa sull’autocertificazione delle imprese americane, che devono rispettare una serie di requisiti per la protezione dei dati personali e per la tutela della privacy. 

Questi principi, basati su quelli indicati dalla direttiva 95/46 del 24 ottobre 1995, sono stati negoziati tra le autorità americane e la Commissione Europea, e sono stati pubblicati dall’U.S. Department of Commerce.

Il 26 luglio 2000, quindi, la Commissione Europea ha preso una decisione sull’adeguatezza dei principi del Safe Harbor, per garantire una protezione adeguata per il trasferimento dei dati personali provenienti dall’Unione Europea.

Ciò premesso va, però, aggiunto che tutte le imprese americane, in base ad una normativa successiva  del 26.10.2001, promulgata, per finalità anti terroristiche in attuazione dell'Usa Patriot Act (Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism Act) con validità fino a giugno 2015 sono obbligate a consentire l’accesso a ogni dato personale da parte delle agenzie di intelligence degli Stati Uniti.

In particolare, la sezione 215 del Patriot Act e le sezioni 504, 505 e 358 autorizzano le ricerche, sia sotto la supervisione di un giudice che senza e tali azioni possono rimanere segrete per un tempo indeterminato. Nel frattempo l’interessato ignora se i suoi dati siano stati consultati o confiscati a seguito di una ricerca, nonché sull’uso che ne viene fatto.

Pertanto, sebbene la Commissione Europea, abbia ritenuto il programma Safe Harbor, al quale aderisce anche Google, adeguato agli standard di protezione europei la normativa inserita nel Patriot Act del 26 ottobre 2001 è successiva e, quindi, comunque applicabile alle aziende americane.

Di conseguenza, allo stato attuale, il meccanismo del Safe Harbor, sebbene sia potenzialmente idoneo a garantire medesimi standard di riservatezza e protezione richiesti in Europa rischia di essere vanificato per la contemporanea e prevalente operatività del Patriot Act. 

Dunque se è da considerare circostanza positiva almeno il fatto che Google aderisca al programma Safe Harbour garantendo, ciò almeno in linea di principio una maggiore tutela della riservatezza nel trattamento dei dati, d'altro canto, trovandosi i suoi server principali negli Stati Uniti, tale circostanza, rende i dati e i documenti ivi conservati potenzialmente visualizzabili e consultabili per i motivi appena indicati.

Come risolvere, dunque, tali problemi ?

Innanzitutto appare indispensabile per chiunque voglia avvalersi dei servizi di archiviazione on line in maniera professionale, acquisire il consenso dei soggetti nei confronti dei quali viene effettuato il trattamento dei dati stessi.

Ai sensi dell'art. 43 del Codice della Privacy, infatti, il problema del trasferimento Extra UE può essere superato con il consenso espresso dell'interessato al quale andrà, dunque, fatta sottoscrivere un'informativa più completa, all'interno della quale, inserire la clausola della possibile trasferibilità dei dati personali anche fuori dall'Unione Europea indicando espressamente, attraverso quali servizi si intende effettuare tale trattamento dei dati.

In tal modo, dunque, il soggetto interessato verrà informato anche delle condizioni che regolamentano il servizio potendole direttamente consultare sul sito dell'erogatore del servizio stesso e, se del caso, esercitare i propri diritti.
Come detto, però, per i motivi sopra esposti, anche tale accorgimento, potrebbe non essere sufficiente permanendo il rischio, in ambito Stati Uniti, pur in presenza del Safe Harbor accettato dall'Unione Europea, di un accesso ai dati, permanendo la vigenza del Patriot Act.

Una buona soluzione nell'immediato, in attesa di decisioni dell'Unione Europea, potrebbe essere rappresentata dall'introduzione, da parte di Google, al momento dell'attivazione del servizio, almeno per gli utenti europei, di un'opzione di scelta dei server situati in ambito comunitario, al fine di consentire a quest'ultimi di indirizzare i propri dati verso Paesi con adeguato standard di protezione, superando così ogni problema di compatibilità normativa.

Nel frattempo, visto il notevole incremento nell'utilizzo dello strumento, alcuni organismi rappresentativi delle varie categorie professionali si sono mossi cercando di dare alcune indicazioni pratiche e suggerimenti per limitare i rischi.

E' il caso del Consiglio nazionale forense che, in relazione all'attività legale ha prodotto un apposito documento dal titolo "Linee guida per l'utilizzo del cloud computing da parte degli avvocati" nel quale viene evidenziato come Il cloud computing sia un' opportunità di gestione di uno studio legale che consente di ridurre i costi, a condizione però di valutare tutti i rischi e dotarsi di provider all’altezza del compito.

Nel nostro piccolo, almeno per ora, abbiamo provato a fare qualche riflessione su quanto offre Google e, naturalmente, se sia o meno all'altezza del compito potranno e dovranno valutarlo proprio i suoi utenti.

In ogni caso, concludendo possiamo affermare che i vantaggi che offrono i servizi di Google e, in genere, tutti quelli in Cloud Computing, sono innegabili e rappresentano un'ottima occasione di sviluppo e di miglioramento delle attività professionali, ma è importante che l'approccio agli stessi vada effettuato con una certa cautela cominciando a creare maggiore consapevolezza proprio negli utenti stessi.