L’incendio di un importante data center ha probabilmente spinto qualcuno a farsi quella domanda che, purtroppo raramente, chi dovrebbe invece farlo, si pone al momento di creare un sito web o acquistare un gestionale per la propria azienda. Allo stesso modo è raro che sviluppatori di software o anche una web agency si pongano il problema: dove sono conservati realmente i dati immagazzinati e che usiamo quotidianamente? Chi fornisce quello spazio su cui un titolare di trattamento conserva uno dei più importanti elementi del patrimonio aziendale e al quale quasi mai ha la possibilità di accedere, intervenire e operare? Altro elemento che a volte passa in secondo piano: come si sviluppa la catena e chi interviene a livello non solo operativo, ma anche nei rapporti contrattuali nella gestione di un data center? 

La logica conseguenza di questa domanda dovrebbe essere quella di verificare come vengono disciplinati i rapporti contrattuali tra le parti e le differenti responsabilità (e assicurazioni) in caso di una perdita di dati che potrebbe derivare da un fatto del quale un titolare del trattamento non ha responsabilità diretta alcuna ma alle cui conseguenze si vedrà costretto a far fronte.

Che cosa potrebbe accadere per un’impresa se i dati venissero persi per un evento accidentale quale, ad esempio, proprio l’incendio di un server importante situato magari non in Italia? Ma, prima di tutto, quanti titolari del trattamento si preoccupano di chiedere ai fornitori di servizi internet se i cloud e i server sono sotto il loro diretto controllo o se, a loro volta, mettono a disposizione spazi virtuali o materiali acquistati da altri fornitori? Che cosa potrebbe verificarsi e come ne risponde il titolare?

In primo luogo, e sembra questo il pensiero più importante per un imprenditore, vengono sicuramente le difficoltà di dover attendere il ripristino del servizio e questa esperienza dopo l’incendio di OHV, è stata sperimentata da alcune pubbliche amministrazioni non solo in Italia; dalle prime notizie sembra che saranno necessarie circa due settimane per il ritorno alla piena funzionalità. Ma non è certo questo il problema principale che si trovano ad affrontare i titolari del trattamento che avevano i dati dei loro clienti in una cassaforte altrui: il primo dato di fatto è che ne hanno perso il controllo e ciò configura un data breach di cui dovrebbe essere informato il Garante.

La questione, anche alla luce dell’esperienza, è più complessa e molto sottovalutata perché molti fornitori di servizi informatici dimenticano di essere responsabili esterni del trattamento e come tali dovrebbero essere designati già nella fase contrattuale e, dallo stesso momento, prevedere clausole e le misure di sicurezza nonché una policy in caso di criticità a qualsiasi livello e ciò sia per la salvaguardia dei dati sia per evitare possibili sanzioni o, quantomeno, contenerle. Ricordiamo che in caso di violazioni imputabili al fornitore di un cloud o di un server non vengono meno le responsabilità del titolare del trattamento che rimane, tra l’altro, il soggetto che deve interfacciarsi con il Garante.

Sono peraltro frequenti situazioni in cui i titolari non hanno marginalità negoziali nelle trattative per la fornitura di servizi, ma è allo stesso modo oggettivamente vero che in moltissimi casi gli stessi fornitori “dimenticano” più o meno scientemente di far presente che gli spazi di immagazzinamento e conservazione dati non sono forniti direttamente da loro bensì da altre aziende magari con sede e spazi proprio all’estero. Si tratta di elementi essenziali non solo nella fase costitutiva del contratto, di cui diventano aspetti essenziali, ma che devono essere tenuti presenti in caso di variazioni per l’intera durata del rapporto. Il fatto che il titolare non abbia alcuna possibilità di controllo sui server non lo esime da responsabilità nei confronti degli interessati e del Garante, ed essersene disinteressato configura un’aggravante.