Software as a Service (Saas) e GDPR. Considerazioni per gli utenti e per una software house

Saas vs GDPR, una bella guerra tra acronimi!

Con Software as a Service si intende la fornitura di servizi attraverso software in modalità cloud-based: anziché fornire materialmente un programma che il cliente installerà sul proprio computer offro la possibilità di accedere al software in cloud (detto con estrema semplificazione). L'accesso può avvenire tramite browser o installando un programma apposito sul proprio dispositivo.

Questa modalità ha molti vantaggi che la rendono appetibile e ne hanno consentito una grandissima diffusione (grazie anche al diffondersi di banda larga e strutture IT più solide). Tra questi vi è indubbiamente il minor costo di distribuzione, la possibilità di rendere il servizio scalare e quindi adattabile alle esigenze del cliente, la possibilità di usufruirne tramite dispositivi mobile, il trasferimento di una serie di costi al distributore del servizio, che quindi potrà usufruire di economie di scala.....

Vi sono però anche alcuni aspetti da considerare. Tra questi la necessità di una maggior attenzione nella scelta del fornitore e di una maggior solidità dal punto di vista della sicurezza informatica, una diversa disciplina contrattuale (di cui parleremo in altro post) e una maggiore incidenza della normativa privacy.

Quest'ultimo è il profilo su cui mi voglio soffermare oggi ricordando un aspetto: l'utilizzatore che sceglie un servizio Saas per trattare dei dati personali sta consegnando quei dati al fornitore del servizio!

Come tutti sanno GDPR è invece l'acronimo di General Data Protection Regulation, il Regolamento Europeo n. 679/16 in materia di protezione dei dati, che pone una serie di responsabilità in capo a coloro che operano dei trattamenti di dati personali.

Facciamo allora un esempio per essere maggiormente chiari: pensiamo ad un gestionale per studi medici.

Se è stato distribuite in maniera "tradizionale" e quindi viene installato sui sistemi dell'utilizzatore (il titolare del trattamento dati), quest'ultimo sarà l'unico responsabile circa i dati personali che restano nella sua disponibilità e spetterà a lui garantirne la sicurezza. La software house dovrà "solo" garantire che il programma funzioni e sia strutturato correttamente (anche su di un piano privacy; parleremo in altro post della privacy by design e by default).

Se invece il titolare del trattamento usa un programma in modalità Saas consegnerà i dati al fornitore del servizio; avrà quindi una responsabilità in eligendo nei confronti del fornitore del servizio, il quale avrà a sua volta una responsabilità circa la conservazione dei dati.

Vediamo i due profili.

Responsabilità del fruitore del servizio

Il fruitore del servizio (nel nostro esempio un centro medico) ha dei doveri morali e giuridici verso i propri pazienti, cioè gli interessati al trattamento.

Il primo consiste nello scegliere dei fornitori di servizi che garantiscano adeguata competenza e il rispetto della normativa.

Stabilisce infatti l’art. 28 del GDPR che il titolare debba ricorrere “unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato”.

Dovrete quindi scegliere soggetti competenti ed i cui data center presentino sufficiente resilienza. Se il gestionale smettesse di funzionare o avesse una falla la responsabilità verso i pazienti (interessati al trattamento) sarebbe prima di tutto vostra.

Il secondo dovere consiste nel nominare il fornitore responsabile esterno. Questo dovrà essere fatto attraverso un contratto o altro atto giuridico che operi la distribuzione interna delle responsabilità.

Infine i titolari del trattamento dati dovranno indicare la presenza del responsabile esterno nelle proprie informative privacy, specificando in quale modo avvengono i trattamenti dati. Quando io vado in uno studio medico è mio interesse sapere chi processerà se i dati circa la mia salute e se questi saranno salvati su di un Data Center, ad esempio, in Cina!

Responsabilità della software house.

Se distribuite il gestionale in maniera "tradizionale" dovete garantirne il funzionamento, la resistenza da attacchi esterni, che sia strutturato in modo da garantire la privacy (privacy by design e privacy by default) dei dati ma poi la responsabilità per i dati personali lì inseriti sarà dell'utilizzatore.

Se invece voi fornite il software in modalità Saas siete custodi dei dati personali che vengono inseriti nel vostro programma e che saranno probabilmente salvati nei vostri data center o in quelli di un vostro sub fornitore!

Il vostro ruolo è quello di Responsabili esterni e dovete esser nominati mediante contratto. Tale contratto, molto probabilmente, sarete voi a doverlo approntare nell'ambito delle condizioni d'uso del servizio.

Ricordate che in tale ruolo dovete garantire la riservatezza, la correttezza, l'accessibilità e la disponibilità dei dati che vi sono consegnati.

Oltre alla privacy by design e by default del vostro programma dovrete garantire quindi l'affidabilità e la resilienza delle vostre strutture informatiche (delle certificazioni in tal senso sono estremamente utili), l'affidabilità e la competenza delle persone che lavorano con voi (da nominare incaricati del trattamento, tracciandone i limiti di competenza e le responsabilità) , l'affidabilità di chi vi presta sub-servizi (da nominare sub-responsabili esterni).

Un problema particolare riguarda la localizzazione dei data center e dei data center di disaster recovery. Se questi sono fuori dallo spazio Ue (e quindi dall'applicazione del GDPR) il loro utilizzo comporterà un trasferimento transfrontaliero di dati, soggetto a limiti e condizioni molto particolari dettate dagli artt. 44 e ss. GDPR (si vedano sul punto le vicende legate al Privacy shield).

Se si opera tale trasferimento, oltre a verificarne le condizioni legali, si deve avvisare il titolare e l'interessato. E' quindi necessario prestare particolare attenzione a dove sono collocati i Data Center dei vostri sub-fornitori.

Conclusioni

Quindi la modalità Saas ha indubbi vantaggi ma deve essere correttamente strutturata ed inquadrata sotto vari profili giuridici, a partire da quello privacy, per soddisfare il principio di accountability, applicando soluzioni che le sono del tutto proprie e particolari.

Una sfida indubbiamente interessante.