Cloud e nuvole

di V. Frediani - Se l'Europa si sta muovendo, il nostro paese non Ŕ dotato di una normativa che abbracci tutti gli aspetti del cloud computing adottato su scala aziendale. Che garanzie legali cercare?

Cloud e nuvoleRoma - Cloud computing, parole ricorrenti ultimamente per chi opera nel settore informatico. Fornitori ad elencare vantaggi, potenziali clienti a volte scettici. E la parte legale? Tutta da chiarire. Partiamo da un concetto: la normativa è ovviamente disallineata rispetto alle esigenze che un modello di cloud computing può avere. Nel senso che la particolarità del servizio può avvicinarsi vagamente all'outsourcing ma non lo è, e genera sotto il profilo giuridico tutta una serie di questioni - per alcuni problematiche, ma in fondo cosa non lo è? - come minimo da focalizzare quando si intenda portare in cloud un po' della nostra azienda.

Intanto gli attori coinvolti sono quasi sempre tre: il fornitore di servizi; il cliente amministratore, ovvero colui che seleziona e configura i servizi funzionali al cliente finale offrendo talvolta un valore aggiunto dato da software; e lui, il cliente finale, il fruitore diretto del cloud. I rapporti a tre per loro natura danno sempre un po' da fare, ecco perché la contrattualistica nel cloud è fondamentale.
Premetto che sono consapevole come i contratti spesso proprio per i servizi cloud si prestino pochissimo a modifiche, considerando che sono in grande percentuale, gli standard che i fornitori internazionali di servizi di cloud utilizzano per vendere il prodotto. Ma perlomeno capiamo i punti di maggior vulnerabilità per poter scegliere avendo tutte la carte in tavola girate dalla parte giusta!

Disponibilità dei dati
Intanto il tema fondamentale è quello della disponibilità delle informazioni da gestire in cloud. Per disponibilità si deve intendere l'accessibilità ai dati, la loro reperibilità ed asportabilità qualora si renda necessario, secondo un piano idoneo a rispondere alle esigenze del cliente secondo la natura della propria attività. ╚ ovvio che se da una parte il concetto di cloud è proprio basato sulla delocalizzazione dei dati, dall'altro occorre prevedere tutte le ipotesi secondo cui potremmo avere necessità di riportare su server locale i dati, da una ricognizione generale dei DB all'interruzione dei rapporti stessi con il fornitore, per cui occorre verificare tempistiche e modalità di presa in carico definitiva ed esclusiva dei propri dati.

Legge da applicare
Secondariamente, serve determinare a priori la normativa nazionale da applicarsi in caso di contenzioso: quella clausola alla quale poco si pensa sulle ali dell'entusiasmo del nuovo servizio, ma della cui assenza ci si può amaramente pentire in caso di problemi. Nei rapporti B2B è sempre rimesso alla libera e congiunta scelta delle parti determinare se in caso di controversie si debba applicare la legge di un paese piuttosto che di un altro. Per molti sembrerà scontato che ogni interesse sia quello di indicare la legge italiana come unica applicabile, ma non è sempre è così. Molto può dipendere dall'oggetto del contratto, molto può dipendere da quanto sia "evoluta", sotto il profilo del diritto informatico, la normativa vigente nel paese del fornitore. Indubbiamente, dal lato dei costi, fare una causa nel nostro paese ha i suoi vantaggi e quindi prevalentemente cerchiamo di esigere che il Foro applicabile sia quello italiano.
Sicurezza e privacy
Poi abbiamo le due grandi tematiche del cloud: sicurezza e privacy. La sicurezza può essere indice di valore aggiunto nel valutare il fornitore finale: sicurezza come protezione dei dati, piani di ripristino, dislocazione in paesi sicuri, non esposti a rischi che possano pregiudicare accessi. La privacy invece apre scenari sconfinati! Abbiamo voglia di abolire il DPS! Le tematiche normative sono tutte lì ad aspettarci in caso di cloud, con una bella lista da spuntare.

Intanto: il cloud per sua natura comporta pressoché integralmente la dislocazione dei dati in paesi fuori dall'Italia, sia paesi europei che extraeuropei. La nostra normativa, il Codice Privacy, fa un distinguo tra i due casi: "le disposizioni del presente codice non possono essere applicate in modo tale da restringere o vietare la libera circolazione dei dati personali fra gli stati membri dell'Unione Europea, fatta salva l'adozione, in conformità allo stesso codice, di eventuali provvedimenti in caso di trasferimenti di dati effettuati al fine di eludere le medesime disposizioni". Il legislatore ritiene garantita la normativa a tutela dei dati nel caso in cui gli stessi restino nel perimetro europeo, in quanto tutti i paesi appartenenti bene o male sono allineati alle regole comunitarie che garantiscono quel "minimo sindacale" di protezione indispensabile per il legislatore.

Fuori dai confini europei, invece, "Il trasferimento anche temporaneo fuori del territorio dello Stato, con qualsiasi forma o mezzo, di dati personali oggetto di trattamento, se diretto verso un Paese non appartenente all'Unione europea è consentito quando: a) l'interessato ha manifestato il proprio consenso espresso o, se si tratta di dati sensibili, in forma scritta; b) è necessario per l'esecuzione di obblighi derivanti da un contratto c) è necessario per la salvaguardia di un interesse pubblico d) è necessario per la salvaguardia della vita o dell'incolumità fisica di un terzo e) è necessario ai fini dello svolgimento delle investigazioni difensive f) è effettuato in accoglimento di una richiesta di accesso ai documenti amministrativi g) è necessario per esclusivi scopi scientifici o statistici, ovvero per esclusivi scopi storici h) il trattamento concerne dati riguardanti persone giuridiche, enti o associazioni" (con la nuova modifica normativa quest'ultimo punto è caduto considerato che la definizione di interessato è limitata alla persona fisica).

E qui si apre un mondo. Il trasferimento dei dati nei paesi cosiddetti sicuri comporta comunque l'onere del Titolare (quindi del cliente che acquisisce i servizi) di garantire - anche attraverso la garanzia contrattuale del fornitore - il rispetto delle misure di sicurezza basilari per la nostra normativa (sistemi di autorizzazione per gli accessi, ripristino dati, adozione sistemi antintrusione ecc.) mentre la disciplina cui si fa riferimento a livello internazionale (delineata nei rapporti con gli Stati Uniti) è quella dei cosiddetti principi di approdo sicuro, il Safe Harbor. Principi logici ma impegnativi: non solo l'obbligo di informazione nei confronti degli interessati i cui dati andranno in cloud, ma anche l'obbligo di prendere il loro consenso, di protezione "da perdita ed abusi nonché da accesso, rivelazione, alterazione e distruzione non autorizzati", diritto degli interessati di "accedere alle informazioni personali che li riguardano in possesso di una data organizzazione, ed altresì poterle correggere, emendare o cancellare" (ovviamente tramite il cliente).
È inoltre indubbiamente gravoso far rispettare al fornitore i principi di approdo sicuro se già a monte non li ha riconosciuti nei contratti di servizi che disciplineranno i rapporti.

Poi abbiamo il famigerato provvedimento in materia di amministratore di sistema: e questo, privacy o non privacy, dovrebbe interessarci non poco. Avere i dati in cloud può voler dire esporre il proprio know-how, il cuore del proprio business, quindi occorre avere garanzie sui profili e le modalità di accesso affinché non si verifichino abusi, in particolare in materia di concorrenza sleale o che configurino comportamenti commerciali scorretti. A fronte della sostanza dovremo comunque verificare l'inserimento di una clausola contrattuale che riconosca sussistente un sistema di logging degli ADS che storicizzi gli interventi e dia modo in caso di necessità di operare un monitoraggio.

Niente allarmismi: tutti noi abbiamo usufruito fino ad oggi del cloud in un modo o nell'altro: Facebook, LinkedIn, Twitter, la posta elettronica stessa. Bisogna insomma capire quanto e cosa possiamo portare in cloud. L'analisi giuridica spesso deve stare a monte dell'acquisizione dei servizi ed essere messa sulla bilancia rispetto alla selezione del patrimonio aziendale che intendiamo portare in cloud. Il livello di affidabilità del fornitore e del cliente amministratore è ovviamente fondamentale, la sussistenza di certificazione che garantisca determinati processi applicati ai dati in cloud può essere strumento di valutazione rispetto ai servizi promossi dal fornitore, come del resto l'aver già previsto a priori l'attenzione alla normativa italiana rilasciando documenti funzionali ad eventuali controlli della Guardia di Finanza in materia di privacy, piuttosto che l'inserimento di clausole contrattuali inerenti la cessazione dei servizi con un piano di trasferimento dati chiaro, è sintomo di particolare sensibilità agli aspetti contrattuali.

Purtroppo il legislatore italiano non è al passo con lo sviluppo di questi servizi (invece il Garante in materia di privacy ha pubblicato alcune osservazioni, ma non è il legislatore ed alcune precisazioni poco spostano le questioni rilevanti), mentre la Commissione Europea sta portando avanti una riforma radicale della privacy che, oltre alle semplificazioni dagli oneri burocratici, sta analizzando tutti gli aspetti connessi al cloud in modo da avere una disciplina uniforme a livello di paesi europei, con la possibilità di raccordi alla disciplina internazionale. Nel frattempo, senza snaturare il senso del cloud, porsi qualche domanda e cercare un po' di risposte nel fornitore può perlomeno servire a mettere sul piatto tutti gli aspetti, vantaggi e non, di un servizio destinato certamente a sempre maggiori utilizzi.

Avv. Valentina Frediani
www.consulentelegaleinformatico.it
41 Commenti alla Notizia Cloud e nuvole
Ordina
  • Aggiungo le mie 5 lire (ah, il vecchio conio..)
    Il cloud computing, prima di essere quello che è su internet, è un modo di distribuire le risorse su un numero "n" di server.
    Può quindi esistere una cloud privata, composta anche da sole 3 macchine, in una azienda anche piccolissima, senza outsorcing. Ciò non porrebbe quindi alcun problema di privacy, etc.. eppure parliamo comunque correttamente di cloud.
    Suppongo non sia quindi la cloud (uso il femminile in quanto nuvola) il problema di cui si parla in questo articolo, bensì:
    1. il problema della condivisione delle risorse (stesso hardware per più utenti) esistente anche nel vecchio hosting, ma prima non andava di moda
    2. il problema della dislocazione geografica delle risorse, esistente anche prima bastava avere un account hotmail
    3. il problema della sicurezza (sempre esistito, da clava e caverna in poi)
    L'autore non me ne voglia, mi tolgo due sassolini dalle scarpe.
    1. Pretendere qualcosa dal punto di vista contrattuale, in un mercato composto dal 100% di contratti per adesione, fa un po' sorridere.
    2. Pensare in ottica hosting (condivisione di risorse) e in contemporanea parlare di sicurezza e privacy è come voler passare una tranquilla prima notte di nozze in un vagone letto a 6 posti.
    Buon proseguimento da un informatico vecchio, (censura) e stanco
  • ... dalla vicenda Megaupload, ve ne siete già scordati ? A bocca aperta
    non+autenticato
  • L'articolo è fumoso, e con approccio markettaro e, onestamente, un po' inconcludente e fuorviante.

    Si parte dal presupposto che il cosiddetto cloud sia cosa buona e giusta: beh, non sempre lo è. Anzi senz'altro in molti casi è meglio tenersi i propri asset digitali in casa. E questo è vero non solo per la singola azienda ma forse per l'Italia nel suo complesso: meglio capire bene la tipologia di servizi che propone e non rischiare ciò che è avvenuto già in altri settori economico/produttivi. Ovvero una delocalizzazione selvaggia che dietro la promessa di un (possibile) risparmio immediato ha poi portato un (sicuro) impoverimento in termini di competenze, lavoro, livello tecnologico etc etc. E' ovvio, d'altra parte, che ben vengano le cloud italiane: quello (dal nostro punto di vista) è il tradizionale outsourcing potenziato con gli steroidi. Anzi, l'ideale sarebbe se le cloud italiane, sviluppassero offerte di una tale qualità da attirare gli investimenti (i dati) esteri! Perché noi italiani giochiamo sempre in difesa? Stiamo sempre lì a pensare a come risparmiare comprando cinece (americano, brasiliano o quello che volete), piuttosto che ragionare su come far venire gli altri a comprare a casa nostra.

    Care aziende, cara pubblica amministrazione, pensaci bene prima di affidare i Tuoi dati ai vari oracoli del cloud. Non credere alle false promesse dei risparmi immediati. Prima di spendere soldi certi per risparmi possibili, fai una seria analisi. Avvia progetti seri che affrontino l'investimento in termini di studio di fattibilità, di analisi dei costi/benefici, analisi dei rischi. Paga il personale interno o magari un buon consulente per darti consigli competenti, non ti affidare a schiere di commerciali che bussano alla tua porta. Investi sulla "professionalità" non sul fumo. E se decidi per il cloud, compra italiano!!

    E basta avvocati che cercano di fare il mestiere degli altri: di roba tecnica (informatico/ingegneristica e gestionale/economico) se ne occupino i tecnici che magari scrivono meno articoli di dubbia fattura però prediligono l'aspetto concreto e pragmatico.

    Per quanto riguarda l'aspetto giuridico, voglio pensare che l'autrice dell'articolo avesse necessità di allungare il brodo, e non che non ha capito il nocciolo della questione: il cloud è un aspetto "globale", che non si può affrontare con regole locali. Per questo il legislatore italiano non si è ancora mosso e si è limitato ad un documento informativo: sta aspettando di capire cosa dice l'europa.
  • Non fatevi prendere per il culo, detto da qualcuno che dalla fine degli anni 70 già utilizzava i sistemi informatici disponibili (Vax, microvax, librerie di dati a Ginevra, etc.) . Quello che vi propongono come innovazione è in realtà la tristezza di quegli anni in cui l'informatica viveva l'era preistorica ... oggi è solo finalizzata al possesso dei vostri dati.
    non+autenticato
  • E dei pagamenti in abbonamento. Cioè soldi certi, TUTTI I MESI per quelle aziende.
    No grazie. Il computer è mio e me lo gestisco io.
    non+autenticato
  • Altro che versione LIVE delle email ... i clienti "Non puoi leggere le mie email ... vuol dire che non hai bisogno di lavorare" ... pensare dopo 40 anni ad una idiozia simile, mi fa pensare con benevolenza ai programmi di eugenetica tedeschi e americani di quel tempo ... anche se è un OT una tips storica: prima dell'inizio della seconda guerra mondiale gli USA plaudirono pubblicamente ai programmi di eugenetica della Germania di qquel tempo... meditate gente, meditate.
    non+autenticato
  • - Scritto da: prova123
    > Altro che versione LIVE delle email ... i clienti
    > "Non puoi leggere le mie email ... vuol dire che
    > non hai bisogno di lavorare" ... pensare dopo 40
    > anni ad una idiozia simile, mi fa pensare con
    > benevolenza ai programmi di eugenetica tedeschi e
    > americani di quel tempo ... anche se è un OT una
    > tips storica: prima dell'inizio della seconda
    > guerra mondiale gli USA plaudirono pubblicamente
    > ai programmi di eugenetica della Germania di
    > qquel tempo... meditate gente, meditate.

    http://www.privacy.it/ueechelon.html
    krane
    22544
  • Io mi occupo di integrazione sistemi da 10 anni, e penso che la cloud sia una grande possibilità per i clienti, soprattutto per quelli che non possono permettersi l'acquisto e la manutenzione di un sistema in house. Da la possibilità di accedere a servizi di valore consistente solamente pagando un canone. Niente costi iniziali, niente costi di manutenzione, niente consumi (corrente elettrica), sistema sempre aggiornato all'ultima versione senza acquistare neanche una licenza, possibilità di annullare tutto in qualunque momento. si chiama FLESSIBILITA.
  • - Scritto da: Callisto Software
    > Io mi occupo di integrazione sistemi da 10 anni,
    > e penso che la cloud sia una grande possibilità
    > per i clienti, soprattutto per quelli che non
    > possono permettersi l'acquisto e la manutenzione
    > di un sistema in house. Da la possibilità di
    > accedere a servizi di valore consistente
    > solamente pagando un canone. Niente costi
    > iniziali, niente costi di manutenzione, niente
    > consumi (corrente elettrica), sistema sempre
    > aggiornato all'ultima versione senza acquistare
    > neanche una licenza, possibilità di annullare
    > tutto in qualunque momento. si chiama
    > FLESSIBILITA.

    si chiama CI LAVORO DENTRO e faccio pubblicita' per me stesso.
    non+autenticato
  • No mi dispiace, semplicemente la ritengo una possibilità interessante, e ripeto, soprattutto per le piccole imprese, di cui l'italia è colma. Non ci lavoro dentro, non vendo servizi cloud, non prendo commissioni sulle vendite. Il mio lavoro è soddisfare i miei clienti e trovare soluzioni affidabili ed economiche per le esigenze di tutti. Bisogna avere una visione globale. Per quanto riguarda il mio lavoro è anche controproducente il cloud in quanto lavoro e guadagno molto meno, ma a livello puramente tecnologico ed econimio (per i clienti) è un ottima soluzione.
  • Il problema che l'interruttore di ON/OFF non ce l'ha la tua azienda, quindi i servizi della tua azienda valgono nulla...
    non+autenticato
  • non ho capito il significato
  • Domani mattina i servizi della tua azienda posso essere disabilitati da qualcun altro (ovviamente uno Stato) senza che la tua azienda possa fare niente ... ed io cliente la prendo in saccoccia ... ovviamente la tua azienda non sarà responsabile, ma la mia azienda rimane bloccata ... poi vallo a dire ai miei clienti, tanto quello che li perde sono io, ma va là...
    non+autenticato
  • ...la numero 9.345.3456.2754.567
    Lo volete capire che dobbiamo semplificare, che di leggi, leggine, decreti attuativi stiamo morendo?
    Il problema non è la mancanza di leggi, ma l'abbondanza di avvocati.
    non+autenticato
  • tutte le leggi che abbiamo sono scritte in modo da poter essere interpretate a seconda del caso... QUESTO è il grosso problema.
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 7 discussioni)