Cloud computing: vantaggi e criticità della nuvola

di Valentina Frediani, Avvocato esperto in diritto informatico e privacy

E’ la tecnologia del momento, utilizzata da milioni di persone, la cui crescita esponenziale è destinata a rivoluzionare il nostro modo di lavorare e di vivere, complici smartphone e tablet. Il cloud computing conquista veramente tutti e anche coloro che si dichiarano immuni al fascino della “nuvola”, non possono farne a meno: servizi come Gmail, Mobile.me, Google – giusto per citarne alcuni – sono soluzioni largamente utilizzate per la gestione e l’archiviazione di mail, foto, documenti e file musicali. Se i vantaggi del cloud computing sono innegabili e facilmente individuabili - maggiore facilità di condivisione di documenti e informazioni, riduzione dei costi, semplificazione della gestione, trasferimento del rischio sul fornitore – sotto il profilo giuridico la situazione è tutt’altro che chiara, soprattutto a causa di una normativa disallineata rispetto alle esigenze che può avere un modello di cloud computing, artefice di criticità e problematiche insidiose. Principali attori del processo intorno cui ruota la “nuvola digitale” sono il fornitore di servizi, il cliente amministratore – vale a dire colui che seleziona e configura i servizi in funzione del cliente finale - e il fruitore diretto del cloud, il cliente finale appunto. Per disciplinare questo complesso rapporto a tre, la contrattualistica si rivela fondamentale.

Preme ricordare che spesso i contratti – in particolar modo per i servizi cloud - si prestano pochissimo a modifiche. Tuttavia è sempre utile conoscere i punti di maggior vulnerabilità, così da poter scegliere la soluzione migliore, che meglio risponde alle specifiche esigenze.

Criticità n. 1: asportabilità dei dati

La questione più importante da affrontare riguarda la disponibilità delle informazioni da gestire in cloud, vale a dire la loro reperibilità ed asportabilità, in caso di necessità, secondo un piano idoneo alle esigenze del cliente in riferimento all’attività da lui svolta. Se da un lato infatti la definizione di cloud si basa sulla delocalizzazione dei dati, dall’altro è essenziale prevedere tutte le ipotesi in cui potrebbe essere necessario riportare i dati sul server locale, oppure effettuare una ricognizione dei DB o ancora interrompere i rapporti con gli stessi fornitori.

Criticità n. 2: foro competente

La determinazione di una normativa nazionale da applicare in caso di contenzioso è un’altra questione da affrontare con la massima priorità. Nei rapporti B2B è sempre rimesso alla libera e congiunta scelta delle parti determinare se in caso di controversie si debba applicare la legge di un paese piuttosto che di un altro. A dispetto di quanto si potrebbe credere, l’interesse comune non è sempre quello di indicare la legge italiana come unica applicabile. Molto può dipendere dall'oggetto del contratto, altro può dipendere da quanto sia "evoluta", sotto il profilo del diritto informatico, la normativa vigente nel paese del fornitore. Indubbiamente, dal lato dei costi, fare una causa nel nostro paese ha i suoi vantaggi e quindiprevalentemente cerchiamo di esigere che il Foro applicabile sia quello italiano.

Criticità n. 3: sicurezza e privacy

Sicurezza e privacy sono altre due questioni rilevanti a cui far fronte quando si parla di cloud.  La sicurezza - intesa come protezione dei dati, piani di ripristino e dislocazione in paesi sicuri, non esposti a rischi che possono pregiudicare accessi - è senza dubbio un valore aggiunto nella fase di valutazione del fornitore finale. Diversamente, il fronte della privacy apre scenari sconfinati, un labirinto di normative e leggi da analizzare con la massima attenzione. La prima cosa da sapere è che il cloud per sua natura comporta pressochéintegralmente la dislocazione dei dati in paesi fuori dall'Italia, sia europeiche extraeuropei.  La normativa nazionale vigente, il Codice Privacy, fa una distinzione tra i due casi: "le disposizioni del presente codice non possono essere applicate in modo tale da restringere o vietare la libera circolazione dei dati personali fra gli stati membri dell'Unione Europea, fatta salva l'adozione, in conformità allo stesso codice, di eventuali provvedimenti in caso di trasferimenti di dati effettuati al fine di eludere le medesime disposizioni".

Secondo il legislatore, la normativa a tutela dei dati è garantita nel caso in cui essi restino nel perimetro europeo, in quanto tutti i paesi facenti parte all’Unione, sono – in linea di massima - allineati alle regole comunitarie che garantiscono quel "minimo sindacale" di protezione indispensabile per il legislatore. Al contrario, fuori dai confini europei, "il trasferimento anche temporaneo fuori del territorio dello Stato, con qualsiasi forma o mezzo, di dati personali oggetto di trattamento, se diretto verso un Paese non appartenente all'Unione europea è consentito quando: a) l'interessato ha manifestato il proprio consenso espresso o, se si tratta di dati sensibili, in forma scritta; b) è necessario per l'esecuzione di obblighi derivanti da un contratto c) è necessario per la salvaguardia di un interesse pubblico d) è necessario per la salvaguardia della vita o dell'incolumità fisica di un terzo e) è necessario ai fini dello svolgimento delle investigazioni difensive f) è effettuato in accoglimento di una richiesta di accesso ai documenti amministrativi g) è necessario per esclusivi scopi scientifici o statistici, ovvero per esclusivi scopi storici h) il trattamento concerne dati riguardanti persone giuridiche, enti o associazioni" (con la nuova modifica normativa quest'ultimo punto è caduto, considerato che la definizione di interessato è limitata alla persona fisica).

E qui la situazione si complica. Il trasferimento dei dati nei paesi considerati sicuri comporta comunque l'onere del Titolare (quindi del cliente che acquisisce i servizi) di garantire - anche attraverso la garanzia contrattuale del fornitore - il rispetto delle misure di sicurezza basilari per la nostra normativa(ossia i sistemi di autorizzazione per gli accessi, ripristino dati, adozione sistemi antintrusione ecc.) ,mentre la disciplina cui si fa riferimento a livello internazionale (delineata nei rapporti con gli Stati Uniti) è quella dei cosiddetti principi di approdo sicuro, il Safe Harbor. Principi logici ma impegnativi: non solo l'obbligo di informazione nei confronti degli interessati i cui dati andranno in cloud, ma anche l'obbligo di prendere il loro consenso e di protezione "da perdita ed abusi, nonché da accesso, rivelazione, alterazione e distruzione non autorizzati", ma anche la garanzia del diritto degli interessati di "accedere alle informazioni personali che li riguardano in possesso di una data organizzazione, ed altresì poterle correggere, emendare o cancellare" (ovviamente tramite il cliente).

Criticità n. 4: amministratore di sistema

L’ultima questione – non certo in ordine di importanza - che prenderemo in considerazione riguarda il tanto discusso provvedimento in materia di amministratore di sistema. Inserire i propri dati in cloud significa esporre il proprio know-how. Per tale ragione è fondamentale avere garanzie sui profili e sulle modalità di accesso, per scongiurare il rischio di abusi non autorizzati e potenzialmente dannosi. A fronte di quanto detto, sarebbe opportuno verificare l'inserimento di una clausola contrattuale che riconosca sussistente un sistema dilogging degli ADS che storicizzi gli interventi e dia modo, in caso di necessità, di operare un monitoraggio.

Don't panic

La regola d’oro in questi casi è evitare allarmismi. Tutti ormai facciamo parte del cloud: Facebook, Linkedin, Twitter e la stessa posta elettronica sono solo alcuni esempi di “nuvola” con cui abbiamo a che fare quotidianamente.L'analisi giuridica nella maggior parte dei casi deve stare a monte dell'acquisizione dei servizi ed essere valutata in riferimento al rispetto alla selezione del patrimonio aziendale che intendiamo portare in cloud. Il livello di affidabilità del fornitore e del cliente amministratore è essenziale; la sussistenza di certificazione che garantisca determinati processi applicati ai dati in cloud può essere strumento di valutazione rispetto ai servizi promossi dal fornitore, come del resto l'aver già previsto a priori l'attenzione alla normativa italiana rilasciando documenti funzionali ad eventuali controlli della Guardia di Finanza in materia di privacy, piuttosto che l'inserimento di clausole contrattuali inerenti la cessazione dei servizi con un piano di trasferimento dati chiaro, è sintomo di particolare sensibilità agli aspetti contrattuali.

L’augurio è che il legislatore italiano si conformi quanto prima all’inarrestabile sviluppo del cloud, adeguandosi alla Commissione Europea che, attraverso il famigerato Regolamento Europeo, sta portando avanti una riforma radicale della privacy, sia attraverso la semplificazione dagli oneri burocratici, sia attraverso l’analisi di tutti gli aspetti connessi al cloud, con l’obiettivo di dar vita ad unadisciplina uniforme a livello di paesi europei, con la possibilità di raccordi alla disciplina internazionale.