IL WEB HOSTING

Chiunque gestisce un sito web deve tenere presente che il servizio di web hosting, del quale si serve, è giuridicamente il responsabile del trattamento dei dati (nel contempo, però, è sempre il titolare del trattamento dei propri dati), in quanto il web hosting elabora i dati per conto del titolare. Ciò comporta innanzitutto la necessità di un vero e proprio contratto scritto (o equivalente) tra titolare e web hosting, nel quale sarà precisato cosa può fare il web hosting con i dati e quali misure di sicurezza (tecniche e organizzative) deve predisporre, tenendo conto che devono essere adeguate al rischio valutato. L’hosting dovrà, ovviamente, attenersi alle istruzioni di cui al contratto, anche se rimane una certa discrezionalità, ad esempio nella scelta degli strumenti tecnici ed organizzativi più adatti. E’ un punto fondamentale, perché se l’hosting va oltre le istruzioni diventa data controller (cioè titolare) con tutte le conseguenze del caso.

L’hosting deve conservare il registro dei trattamenti effettuati per conto del cliente (titolare), nel quale deve includere il nome e i dati di contatto dei titolari del trattamento dei dati, i suoi responsabili e eventuali incaricati, le categorie dei dati trattati, gli eventuali trasferimenti internazionali di dati, e una descrizione generale delle misure di sicurezza tecniche e organizzative adottate. Dalla tenuta del registro in teoria sarebbero esentate le imprese con meno di 250 dipendenti, ma le esenzioni sono particolarmente stringenti e difficilmente applicabili ad un hosting. 

L’hosting, inoltre, ha l’obbligo di notificare al titolare le eventuali violazioni di dati. E’ buona prassi, quindi, inserire tale obbligo anche nel contratto (che diventerà violazione legale e contrattuale). Poiché l’obbligo a carico del titolare di notificare la violazione agli interessati scatta a partire dal momento in cui ne viene a conoscenza (tramite la comunicazione da parte dell’hosting, in questo caso), si può utilizzare lo stesso termine del GDPR (72 ore). Il titolare comunque è responsabile nei confronti delle autorità per eventuali violazioni commesse dal web hosting.

E’ pacifico che il web hosting è responsabile del trattamento con riferimento ai soli trattamenti realizzati per conto del gestore del sito (quale titolare), cliente dell’hosting. Ma se l’hosting va oltre i limiti del mandato, trattando i dati al di là delle istruzioni ricevute, ne diventa contitolare.

Nel caso in cui ci si serve di un web hosting che si trova al di fuori dello Spazio Economico Europeo (SEE), siamo in presenza di un vero e proprio flusso transfrontaliero dei dati.