Il presente articolo è stato redatto da François Charlet, giurista esperto nella protezione dei dati. Lo scopo è attirare l’attenzione dei lettori su alcuni importanti aspetti legali da considerare quando si valuta di affidare l’hosting dei dati personali o aziendali a un fornitore di servizi IT esterno.

Quando ci troviamo a dover scegliere un fornitore di servizi particolari, puntiamo sempre a ottenere le migliori prestazioni a prezzi vantaggiosi. Questo vale per numerosi settori: dalla telefonia mobile all’artigianato, dalla formazione allo sport. I servizi IT sono in forte espansione in un mercato altamente competitivo. Ormai non è più un segreto: il mercato è al momento dominato da colossi americani come Microsoft e Amazon, ma anche gli operatori locali si stanno muovendo con successo. Vi sono ottime ragioni per optare a favore di servizi di grandi società con sede all’estero, ma vi sono motivi altrettanto eccellenti per scegliere un’azienda svizzera.

Perché l’ubicazione dell’hosting è importante?

Al di là degli aspetti commerciali o relativi al servizio clienti (un fornitore geograficamente vicino sarà probabilmente più disponibile e in grado di offrire un servizio adattato o addirittura su misura), la questione del luogo fisico dell’archiviazione dei dati è di fondamentale importanza. Il luogo dove sono realmente ubicati i dati può comportare particolari conseguenze legali, quali ad esempio la loro esposizione a un sequestro da parte delle autorità straniere. Ovviamente, questo rischio non è escluso anche se i dati sono archiviati in Svizzera, ma le autorità straniere dovranno in tal caso passare attraverso gli appositi meccanismi internazionali e saranno poi le autorità svizzere a eseguire le eventuali misure. È inoltre più facile difendersi legalmente nel proprio Paese, come vedremo di seguito.

Oltre che tra i suoi cittadini, la Svizzera gode di un’eccellente reputazione a livello internazionale. Perché quindi non approfittarne? Quando si offrono servizi in Svizzera, agli svizzeri, questi sono spesso sorpresi di apprendere che i loro dati (siano essi personali o no) non sono archiviati nel loro Paese. Quanto agli stranieri, oltre che per la stabilità giuridica e politica della Svizzera in particolare, ma più in generale anche per la sua buona reputazione, apprezzeranno il fatto che i loro dati siano archiviati sul territorio svizzero. Attenzione però: sebbene possa non essere azzardata per alcune società, l’indicazione che i server sono ubicati in vecchi bunker dell’esercito svizzero appare oggi un po’ folkloristica e solo raramente sarà una reale ragione di acquisto per la stragrande maggioranza dei clienti. Questo genere di prestazioni è inoltre soprattutto utile quando si tratta di archiviare i dati, lo è invece meno per le operazioni di elaborazione quotidiane.

Un fornitore locale per la legge locale

La localizzazione dei dati è importante, ma lo è altrettanto anche la legge che regola le attività del fornitore. In caso di contenzioso, in particolare civile quando vi sono divergenze di interpretazione di un contratto, fermo restando ovviamente il fatto che il contratto di fornitura di servizi non stabilisce un foro e la legge di un Paese straniero, sarà più agevole intraprendere azioni legali davanti a tribunali i cui procedimenti non ci sono del tutto estranei e che applicano la legge alla quale siamo quotidianamente sottoposti. Un’assicurazione di protezione giuridica sarà inoltre probabilmente meno propensa a finanziare cause legali all’estero, se non sono escluse dalle loro condizioni generali.

Lo stesso vale in materia penale. Alcuni avranno sentito parlare del famoso CLOUD Act e di tutte le sciocchezze che sono state dette al riguardo. Molti si sono dati alla fuga dai fornitori americani a causa di questa legge, senza sapere che ne esiste una simile applicata in particolare in Europa e Svizzera: la Convenzione di Budapest sulla criminalità informatica (CCC). Ad esempio se le autorità francesi, tedesche o americane sospettano che le informazioni relative a un crimine si trovino su un server ubicato sul territorio svizzero, le autorità svizzere potranno ordinare al fornitore di servizi IT di comunicare alle autorità straniere le informazioni in suo possesso o sotto il suo controllo. Allo stesso modo, secondo il diritto svizzero, se un fornitore con sede in Svizzera archivia dati all’estero, le autorità svizzere possono ordinare al medesimo di comunicare queste informazioni.

Hosting in Svizzera, ma trasferimento all’estero?

I contratti presentano spesso una clausola riguardante i “trasferimenti temporanei” dei dati (personali o no). Infatti, nonostante i dati siano archiviati in Svizzera, è normale che debbano transitare da server ubicati all’estero per essere sottoposti a vari trattamenti prima di tornare sui server svizzeri ed esservi archiviati nuovamente. Questa situazione si presenta spesso con i fornitori di servizi IT di livello mondiale, più raramente invece con gli operatori locali.

Questo elemento è importante in quanto se il cliente acconsente al trattamento dei dati personali da parte del fornitore di servizi IT e al loro trasferimento all’estero, anche senza esservi archiviati, egli dovrà assicurarsi della legalità di questo trasferimento di fronte alla (nuova) legge federale sulla protezione dei dati (LPD) o anche al RGPD, e informare le persone interessate da questo trasferimento. La nuova LPD esigerà che questa informazione contenga il nome dello o degli Stati verso i quali vengono trasferiti i dati personali.

La nuova LPD

Sul web e nei media, si sono spesso viste persone esprimere parole di elogio per la LPD e il quadro giuridico svizzero, molto rassicurante per quanto riguarda i dati personali, e invitare privati e imprese ad affidare i loro dati a host svizzeri. Ma queste voci si sono messe a tacere da quando nell’Unione Europea è entrato in vigore il RGPD che ha drasticamente aumentato i requisiti richiesti alle imprese di tutto il mondo intenzionate a offrire i loro servizi agli europei o che sarebbero subappaltatori di aziende del vecchio continente.

Queste voci potranno essere ascoltate di nuovo, ma senza spavalderie. La nuova LPD, adottata nell’autunno 2020 e la cui data di entrata in vigore non è ancora nota, porterà tutte le sue novità e attribuirà maggiori responsabilità alle imprese svizzere, in particolare in termini di trasparenza e governance. Pertanto, l’argomento secondo il quale i dati personali sarebbero meglio protetti in Europa che in Svizzera perde di consistenza, in quanto tutti i fornitori svizzeri di servizi IT che non erano sottoposti (legalmente o contrattualmente) al RGPD fino ad oggi saranno sottoposti al regime più severo della nuova LPD.

Questa rafforza in particolar modo l’obbligo di trasparenza dei responsabili del trattamento, impone l’applicazione del principio “Privacy by Design e by Default” e l’attuazione di analisi di impatto, prevede inoltre la comunicazione all’Incaricato federale delle violazioni (della sicurezza) dei dati.

Fornitore che sviluppa proprie soluzioni

Spesso, il fornitore di servizi IT che offre un servizio di hosting affiancherà ai propri clienti un servizio di assistenza per consentire, ad esempio, l’installazione guidata o automatizzata di un CMS o di determinate facilities. Le soluzioni IT offerte in queste modalità proverranno spesso da fornitori terzi che si fanno carico della manutenzione, dell’aggiornamento e della sicurezza delle loro soluzioni. L’host non vi partecipa, per cui non può aiutare i propri clienti a correggere bug, errori o falle di sicurezza di queste soluzioni.

Al contrario, quando l’host è anche sviluppatore delle soluzioni IT offerte ai clienti, questi beneficiano di una prestazione che va al di là del “semplice” servizio di hosting. Il fornitore di servizi IT si assume certamente responsabilità maggiori nei confronti dei propri clienti, ma sarà comunque in grado di rispondere alle loro richieste di sviluppo dei servizi offerti. Il fornitore non svilupperà necessariamente i propri strumenti “from scratch” ma utilizzerà spesso soluzioni open-source che adatterà ai propri sistemi IT, alle esigenze dei clienti e alla gamma di servizi che intende offrire. In tal modo, beneficia delle evoluzioni del codice open-source realizzate dalla comunità (e può contribuirvi) pur mantenendo il controllo della soluzione offerta. Un altro elemento a favore del ricorso a un fornitore che sviluppa propri strumenti è legato alla normativa relativa allo spionaggio, alla quale è sottoposto. L’utilizzo di soluzioni proprietarie sviluppate all’estero può esporre a eventuali backdoor installate su richiesta di un’autorità straniera (vedere questo reportage della RTS). Tuttavia, poiché il fornitore locale non avrà generalmente altra scelta che utilizzare tecnologie e infrastrutture IT sviluppate e prodotte all’estero (server, sistemi operativi, ecc.), il suddetto elemento perde la sua rilevanza, sebbene resti interessante. Ci sono ovviamente delle eccezioni.

Conclusioni

Quanto detto, offre al provider di servizi IT locale maggiore indipendenza e, generalmente, richiede anche un miglior controllo dei dati affidatigli dai clienti. Potrà essere immune a determinati attacchi informatici indirizzati alle sue infrastrutture e soluzioni utilizzate in modo massivo. A seconda dei sub-appaltatori ai quali ricorre, potrà spesso garantire che i dati dei propri clienti non siano né trasferiti all’estero né accessibili a persone che vi si trovano. In caso di controversia, il cliente beneficerà di un foro in Svizzera e il diritto applicabile sarà quello svizzero, il che comporta di fatto garanzie in termini di un processo equo e anche una giustizia di prossimità.

L’autore di questo articolo è rimasto indipendente e non ha subito alcuna richiesta o pressione da parte di Infomaniak network SA, di cui è anche cliente.