Categorie approfondimento: Ricerca e innovazione
6 Giugno 2012

Aspetti legali del Cloud Computing

Di cosa si tratta

La recente pubblicazione da parte del Garante della Privacy di un vademecum sulla materia del cloud computing ci permette di approfondire un tema già parzialmente trattato nell’articolo “Software nelle imprese: razionalizzazione dei costi di gestione” pubblicato nel sito nel giugno 2011.
Se ben si ricorda, l’articolo menzionato aveva come oggetto l’analisi dei nuovi modelli organizzativi delle aziende basati sull’utilizzo di software o di applicativi che non si trovino fisicamente nelle loro risorse hardware ma che siano messi a disposizione da soggetti terzi e che siano accessibili in via telematica.
Trattando del solo software, l’articolo prendeva in considerazione solo uno degli aspetti del cloud computing; con questa espressione, infatti, ci si riferisce comunemente a un insieme di tecnologie e di modalità di fruizione di servizi informatici che favoriscono non solo l’utilizzo e l’erogazione di software e di applicazioni ma anche l’utilizzo di ambienti operativi virtualizzati o di strutture di networking o di archiviazione con fruizione remota.
Tre sono quindi i modelli di servizi che rientrano nella categoria del cloud:
– lo IaaS, ossia Infrastructure as a Service: è il servizio in cui il fornitore offre risorse hardware e software di base (server, spazio di archiviazione, programmi di virtualizzazione e connettività virtuale). Questi strumenti possono essere utilizzati dall’utente sia in affiancamento sia in sostituzione di quelli già presenti nei locali nell’azienda. Si tratta sostanzialmente della gestione di risorse fisiche.
– il PaaS, ossia Platform as a Service: con questo servizio il fornitore offre, oltre a tutte le componenti previste nello IaaS, anche una piattaforma di elaborazione composta principalmente da un sistema operativo, da un applicativo c.d. Middleware e da data base.
– il SaaS, ossia Software as a Service: in questo caso il fornitore offre, oltre alle componenti tipiche dello Iaas e del Paas, anche una serie di software e applicazioni preesistenti o realizzati su richiesta del fruitore.
E’ evidente che questo tipo di tecnologia garantisca soluzioni innovative per gestire processi operativi aziendali con efficienza economica e abbattimento dei costi. La maggior parte della dottrina ritiene, infatti, di essere in presenza di un vero e proprio paradigma informatico in grado di spiegare i sui effetti favorevoli sia nei confronti delle realtà imprenditoriali sia nei confronti delle pubbliche amministrazioni.
Purtroppo, com’è solito accadere in questi casi, all’evoluzione della tecnologia non è corrisposta un’altrettanto celere attività del legislatore. A oggi manca ancora un quadro normativo di settore, in materia civile e penale ma soprattutto in materia di privacy, che permetta alle aziende di compiere scelte d’investimento nella consapevolezza degli effetti che queste produrranno. Per di più le poche regolamentazioni esistenti sono state adottate dai vari Stati sulla base di scelte spesso difformi.
Allo stato la materia è disciplinata dalle sole norme generali che, non tenendo conto delle specificità delle novità introdotte dal cloud computing, appaiono inadeguate a offrire idonee tutele nei riguardi delle fattispecie giuridiche connesse all’adozione di questi nuovi servizi da parte delle realtà aziendali. In attesa di una normativa nazionale e internazionale aggiornata e uniforme è necessario che le imprese compiano valutazioni particolarmente accorte qualora intendano stipulare un contratto per la fornitura di servizi di cloud computing. Molto spesso, infatti, vengono effettuate delle scelte senza tenere nella dovuta considerazione in primo luogo i rischi intrinseci a un servizio che ha nel flusso di dati e nel loro trasferimento verso sistemi remoti la caratteristica principale e in secondo luogo il fatto che il controllo sui dati, da parte dell’utilizzatore è tendenzialmente ridotto.
Sulla base di queste considerazioni e avendo sempre presente la natura dei dati e delle informazioni che si intendono esternalizzare (dati personali, dati rilevanti per la propria attività, dati coperti da segreto bancario, etc…), è opportuno che il fornitore dei servizi di cloud computing (c.d. Cloud Service Provider) venga scelto non solo in virtù della tipologia dei servizi richiesti ma anche in ragione della sua disponibilità ad assecondare le esigenze dell’impresa. Disponibilità che ovviamente dovrà tradursi in una flessibilità contrattuale volta a garantire le più ampie tutele nei confronti delle principali criticità del cloud computing ossia le metriche del servizio richiesto (qualità del servizio), la sicurezza delle informazioni e la riservatezza dei dati.
Spesso invece accade che l’impresa accetti delle condizioni standard predisposte fornitore.
Per quanto riguarda più in specifico il contenuto del contratto possiamo dire che, in ordine al livello dei servizi resi dal prestatore, è suggeribile la predisposizione di un contratto che incorpori SLA (Service Level Agreement) ben definite. Si tratta di quegli accordi volti a definire, in maniera espressa e da un punto di vista quantitativo più che qualitativo, i livelli minimi o tendenziali che il servizio deve avere. L’adozione di SLA permette in maniera più agevole di pretendere il rispetto dei livelli del servizio e rende più chiara la verifica di un eventuale inadempimento da parte del prestatore.
Per quel che concerne la sicurezza delle informazioni e dei dati oggetto del servizio, è opportuno ricordare il valore economico e strategico che in molti casi questi assumono; spesso la rilevanza delle informazioni trattate è tale da farle rientrare nella categoria del know how aziendale. Per questo motivo è necessario che la negoziazione preveda l’adozione da parte del Cloud Service Provider di misure di sicurezza tecniche e organizzative volte a ridurre al minimo i rischi di distruzione, perdita, accesso non autorizzato o alterazione dei dati.
In particolare le misure di sicurezza dovranno tenere in considerazione un doppio profilo: la sicurezza da eventi accidentali (c.d. safety) e la sicurezza da eventi dolosi (c.d. security). Inoltre le stesse non dovranno inerire le sole modalità di conservazione ma anche quelle di trasmissione del dato.
Anche l’allocazione fisica dei dati dovrà essere oggetto di attenta valutazione. Può accadere infatti che si creino integrazioni tra Cloud Service Provider tali per cui si offra al cliente un servizio (ad esempio la fruizione di un programma gestionale) che si basi su altri servizi (ad esempio un server virtuale) erogati da un fornitore diverso rispetto a quello con il quale il cliente ha stipulato il contratto. In questo caso (più frequente di quanto si creda) i dati del cliente non saranno trattati e archiviati da strumenti del fornitore ma da quello di un fornitore terzo spesso sconosciuto.
L’ipotesi testé evidenziata rileva sotto due punti di vista: in primo luogo è possibile che non si sappia dove i dati siano realmente archiviati e, in secondo luogo, l’ubicazione può incidere sia su questioni giurisdizionali sia circa la legge applicabile.
Per quanto attiene la protezione dei dati personali è da ricordare che i servizi di cloud computing che comportino il trattamento di dati personali sono soggetti alle disposizioni del codice della Privacy.
Ne discende che se il trattamento dei dati verrà effettuato dai sistemi remoti tipici del cloud computing, il fornitore dei servizi dovrà essere designato “responsabile del trattamento”. Da ciò consegue che, qualora il fornitore compia un trattamento dei dati illecito o illegittimo, anche l’impresa che ha richiesto i servizi potrà essere chiamata a risponderne.
Altri effetti dell’applicabilità del codice della Privacy sono relativi al processo di esportazione dei dati, operazione spesso non nota al cliente ma
che si verifica ogniqualvolta i dati trattati siano archiviati o transitino attraverso paesi extra UE. In questo caso:
1) sussiste l’obbligo di adottare procedure per consentire all’interessato l’esercizio dei diritti d’accesso, modifica e cancellazione dei propri dati così come previsto dagli artt. 7 e 8 del codice;
2) è necessario il rispetto delle finalità del trattamento dei dati in ordine ai quali il consenso è stato prestato o l’informativa resa;
3) è necessario il rispetto delle regole per il trasferimento dei dati al di fuori dell’Unione Europea. In particolare, in assenza di consenso espresso in maniera inequivocabile dall’interessato, l’ordinamento del Paese di destinazione o di transito dei dati deve assicurare un livello di tutela adeguato a quello fornito dall’ordinamento italiano.
Un accenno merita in fine il fenomeno del c.d. lock-in cioè la circostanza in cui il cliente divenga col tempo talmente dipendente da un singolo prestatore (“vendor lock-in”) o da un prodotto, per incompatibilità della piattaforma usata con altre piattaforme ovvero per l’impossibilità di procedere all’esportazione dei dati, da non essere in grado di sostituire il fornitore attuale con un altro. Questa ipotesi deve essere sempre tenuta in considerazione dall’imprenditore al fine di evitare che un eccessivo affidamento in fatto possa trasformarsi in un’effettiva dipendenza economica e strutturale.

(Visited 7 times, 6 visits today)