Legal Toolbox
Accordo di Servizi Cloud
Accordo per il Trattamento dei Dati
Misure transfrontaliere
Misure relative al Subcontraente
Informativa al cliente per una maggiore trasparenza




Fase 1
Nella prima fase del CPC, verifichiamo se la fattispecie ricomprende qualsivoglia informazione personale identificabile.
No
Se la risposta è NO, non sono richieste misure per la protezione dei dati. Il solo strumento da tenere in considerazione è il contratto di servizi tra il cloud service provider ed il cloud service customer.
Si
Se la risposta è SI, è necessario effettuare il secondo test del Cloud Privacy Check.
Fase 2
Nella seconda fase del CPC, verifichiamo se un terzo, coinvolto nella gestione del cloud, tratta dati personali o ha accesso a dati personali.
No
Lo schema tecnico del servizio, così come fornito, è fondamentale. Pertanto, un legale deve analizzare e comprendere il setup tecnico, come ad esempio il design del servizio offerto. In tale design, può essere definito un punto di variazione. Se il punto di variazione non è superato, il setup non ha una specifica rilevanza per la protezione dei dati. Quindi, l‘analisi in base al CPC può concludersi. Il solo strumento rilevante sarà l‘accordo di servizi tra il cloud service customer ed il cloud service provider.
Si
Laddove, invece, la linea di demarcazione indicata dal punto di variazione sia stata superata sarà necessario effettuare ulteriori controlli. In particolare, deve essere posto in essere un accordo per il trattamento dei dati. Ciò, in aggiunta al contratto di servizi. Dopo la seconda fase, devono essere effettuati il terzo ed il quarto test.
Fase 3
Nella terza fase del CPC, verifichiamo se i dati lasciano la giurisdizione locale del cloud service customer.
No
Se la risposta è NO, non sono richiesti misure per la protezione dei dati in base a questo test e la verifica può procedere con il quarto test.
Si
Se la risposta è SI, deve essere attivato il “pacchetto“ transfrontaliero. Questo pacchetto comprende alcuni documenti (il modello di contratto europeo con il cloud service provider, l‘attivazione del regime di Safe Harbour e le rispettive notifiche alle autorità competenti, ove richieste). Successivamente è necessario passare al quarto step.
Fase 4
Nella fase 4, verifichiamo se il cloud provider utilizza subcontraenti.
No
Se la risposta è NO, il cloud privacy check può considerarsi completato e non occorre attivare ulteriori misure.
Si
Se la risposta è SI, occorre implementare l‘insieme delle misure descritte nel “pacchetto del subcontraente“.
Questo pacchetto richiede che il cloud service provider trasferisca le obbligazioni che ha nei confronti del cloud service costumer al proprio subcontraente. In aggiunta a ciò, il cloud service costumer dovrebbe essere informato del fatto che sono utilizzati subcontraenti e del luogo in cui essi operano. L‘oggetto dell‘azione qui in questione è “L‘informativa al Cloud Service Costumer“. Lo scopo di questa misura è aumentare la trasparenza.
Contributors
IT submission contributed by:

Gianluca Morretta
+39-028807208
R&P Legal
gianluca.morretta@replegal.it

Iacopo Destri
+390249538150
C-LEX STUDIO LEGALE
iacopo.destri@c-lex.it