Serviciile de tip cloud computing sunt privite ca noua sursa de crestere pentru companiile active pe piata tehnologiei. In acest context, in ultima perioada a crescut foarte mult atat numarul serviciilor si aplicatiilor de tip "cloud" disponibile pe piata, cat si numarul utilizatorilor acestora.
Cloud-ul ridica insa o serie de probleme de securitate, procesare si stocare a datelor cu caracter personal ale utilizatorilor (e.g. nume, telefon, CNP, adresa, etc.), care sunt mai putin luate in seama in actualul context legislativ, unde, cel putin in Romania, nivelul sanctiunilor aplicate pentru incalcarea prevederilor legale este relativ scazut.
In viitorul apropiat insa se intentioneaza adoptarea la nivelul Uniunii Europene a unui Regulament privind protectia persoanelor fizice referitor la prelucrarea datelor cu caracter personal si libera circulatie a acestor date. In forma actuala a Regulamentului, se prefigureaza infiintarea unei autoritati de supraveghere a datelor cu caracter personal la nivel UE, precum si amenzi usturatoare, raportate la cifra de afaceri globala anuala a unei companii, in cazul nerespectarii regimului protectiei datelor cu caracter personal. Odata adoptat, Regulamentul se va aplica direct in statele membre ale Uniunii Europene.
Avizul nr. 5/2012 privind "cloud computing"
In acest context, a fost adoptat relativ recent Avizul nr. 5/2012 privind "cloud computing" de catre Grupul de Lucru instituit in temeiul articolului 29 Directiva 95/46/CE privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si libera circulatie a acestor date.
Avizul analizeaza, printre altele, o serie de implicatii negative ale serviciilor de tip "cloud" asupra protectiei datelor cu caracter personal, printre care (i) lipsa controlului utilizatorului asupra datelor respective, precum si (ii) informatii insuficiente cu privire la modalitatea, locul si entitatea de prelucrare/sub-prelucrare a datelor.
Riscuri asociate "cloud computing"
Astfel (i) lipsa transparentei asupra lantului de externalizare/subcontractare a prelucrarii de date cu caracter personal de catre furnizorul de servicii de tip "cloud"; (ii) lipsa unui cadru global comun al portabilitatii datelor si (iii) incertitudinea cu privire la admisibilitatea transferului de date cu caracter personal catre furnizorii de servicii de cloud computing stabiliti in afara SEE, sunt riscuri de care utilizatorul trebuie sa fie constient sau trebuie facut constient atunci cand doreste sa utilizeze serviciile de tip "cloud".
(i) Subcontractarea
Furnizorul serviciilor de tip "cloud" de cele mai multe ori subcontracteaza catre terti o serie de servicii care implica prelucrare de date cu caracter personal. In aceasta situatie, contractele dintre furnizorii de servicii si clientii serviciilor de cloud computing ar trebui sa includa garantii suplimentare privind subcontractorii. Una dintre solutii, preluata de Comisie in propunerea de Regulament privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si libera circulatie a acestor date, ar fi impunerea unor clauze contractuale intre furnizorul de servicii si utilizator, conform carora subcontractarea prelucrarii de date este permisa numai cu autorizarea prealabila a utilizatorului.
(ii) Conformitatea cu principiile fundamentale
Prelucrarea de date in cadrul serviciilor de cloud computing trebuie sa garanteze respectarea principiilor fundamentale ale legislatiei UE privind protectia datelor, cum ar fi: (i) transparenta, (ii) specificarea si limitarea scopului (iii) stergerea datelor cu caracter personal imediat ce pastrarea lor nu mai este necesara precum si (iv) adoptarea de masuri tehnice si organizationale in scopul asigurarii unui nivel adecvat de protectie si securitate a datelor (i.e., disponibilitatea, integritatea, confidentialitatea, transparenta, izolarea ¬ limitarea scopului, posibilitatea de interventie, portabilitatea, responsabilitatea).
Respectarea fiecaruia dintre aceste principii trebuie detaliata si reglementata in contractul dintre furnizorul de servicii si utilizator. De asemenea, furnizorul de servicii trebuie sa-si structureze activitatea si serviciul oferit astfel incat sa poata asigura respectarea acestor principii.
(iii) Transferuri internationale
Libera circulatie a datelor cu caracter personal catre tarile din afara SEE este conditionata de un nivel adecvat de protectie a datelor oferit de tara sau destinatarul datelor, iar in lipsa acestora, de operatorul si co-operatorii sai si/sau de persoanele imputernicite. Conform Grupului de Lucru, in contextul in care cloud computing se bazeaza pe o lipsa totala a unei locatii stabile a datelor in cadrul retelei furnizorului de cloud computing, datele se pot afla intr-un centru de date la ora 14.00 si in alta parte de pe glob la ora 16.00, utilizatorul aflandu-se foarte rar in pozitia de a putea cunoaste in timp real unde sunt localizate, stocate sau transferate datele sale.
Prin urmare, contractele incheiate cu utilizatorii ar trebui sa includa un set de garantii standardizate privind protectia datelor (e.g. audituri si certificari independente de catre terti ale serviciilor unui furnizor).
Concluzie
In actualul context legislativ, furnizorii de servicii de tip "cloud" ar trebui sa verifice in ce masura structura serviciului "cloud" oferit ridica problemele semnalate mai sus. In masura in care sunt identificate probleme, acestea ar trebui remediate.
Si mai important insa este sa urmareasca procesul legislativ la nivelul Uniunii Europene si sa se pregateasca pentru noua schimbare de regim juridic care va duce cu sine mai multa protectie pentru utilizatori si mai multe riscuri juridice pentru furnizorii de servicii.
1
2
