Cloud computing, parole ricorrenti ultimamente per chi opera nel settore informatico. Fornitori ad elencare vantaggi, potenziali clienti a volte scettici. E la parte legale? Tutta da chiarire. Partiamo da un concetto: la normativa è ovviamente disallineata rispetto alle esigenze che un modello di cloud computing può avere . Nel senso che la particolarità del servizio può avvicinarsi vagamente all’outsourcing ma non lo è, e genera sotto il profilo giuridico tutta una serie di questioni – per alcuni problematiche, ma in fondo cosa non lo è? – come minimo da focalizzare quando si intenda portare in cloud un po’ della nostra azienda.
Intanto gli attori coinvolti sono quasi sempre tre: il fornitore di servizi; il cliente amministratore, ovvero colui che seleziona e configura i servizi funzionali al cliente finale offrendo talvolta un valore aggiunto dato da software; e lui, il cliente finale, il fruitore diretto del cloud. I rapporti a tre per loro natura danno sempre un po’ da fare, ecco perché la contrattualistica nel cloud è fondamentale.
Premetto che sono consapevole come i contratti spesso proprio per i servizi cloud si prestino pochissimo a modifiche, considerando che sono in grande percentuale, gli standard che i fornitori internazionali di servizi di cloud utilizzano per vendere il prodotto. Ma perlomeno capiamo i punti di maggior vulnerabilità per poter scegliere avendo tutte la carte in tavola girate dalla parte giusta!
Disponibilità dei dati
Intanto il tema fondamentale è quello della disponibilità delle informazioni da gestire in cloud. Per disponibilità si deve intendere l’accessibilità ai dati, la loro reperibilità ed asportabilità qualora si renda necessario, secondo un piano idoneo a rispondere alle esigenze del cliente secondo la natura della propria attività. È ovvio che se da una parte il concetto di cloud è proprio basato sulla delocalizzazione dei dati, dall’altro occorre prevedere tutte le ipotesi secondo cui potremmo avere necessità di riportare su server locale i dati, da una ricognizione generale dei DB all’ interruzione dei rapporti stessi con il fornitore , per cui occorre verificare tempistiche e modalità di presa in carico definitiva ed esclusiva dei propri dati.
Legge da applicare
Secondariamente, serve determinare a priori la normativa nazionale da applicarsi in caso di contenzioso : quella clausola alla quale poco si pensa sulle ali dell’entusiasmo del nuovo servizio, ma della cui assenza ci si può amaramente pentire in caso di problemi. Nei rapporti B2B è sempre rimesso alla libera e congiunta scelta delle parti determinare se in caso di controversie si debba applicare la legge di un paese piuttosto che di un altro. Per molti sembrerà scontato che ogni interesse sia quello di indicare la legge italiana come unica applicabile, ma non è sempre è così. Molto può dipendere dall’oggetto del contratto, molto può dipendere da quanto sia “evoluta”, sotto il profilo del diritto informatico, la normativa vigente nel paese del fornitore. Indubbiamente, dal lato dei costi, fare una causa nel nostro paese ha i suoi vantaggi e quindi prevalentemente cerchiamo di esigere che il Foro applicabile sia quello italiano .
Sicurezza e privacy
Poi abbiamo le due grandi tematiche del cloud: sicurezza e privacy. La sicurezza può essere indice di valore aggiunto nel valutare il fornitore finale: sicurezza come protezione dei dati, piani di ripristino, dislocazione in paesi sicuri, non esposti a rischi che possano pregiudicare accessi. La privacy invece apre scenari sconfinati! Abbiamo voglia di abolire il DPS ! Le tematiche normative sono tutte lì ad aspettarci in caso di cloud, con una bella lista da spuntare.
Intanto: il cloud per sua natura comporta pressoché integralmente la dislocazione dei dati in paesi fuori dall’Italia, sia paesi europei che extraeuropei . La nostra normativa , il Codice Privacy, fa un distinguo tra i due casi: ” le disposizioni del presente codice non possono essere applicate in modo tale da restringere o vietare la libera circolazione dei dati personali fra gli stati membri dell’Unione Europea, fatta salva l’adozione, in conformità allo stesso codice, di eventuali provvedimenti in caso di trasferimenti di dati effettuati al fine di eludere le medesime disposizioni “. Il legislatore ritiene garantita la normativa a tutela dei dati nel caso in cui gli stessi restino nel perimetro europeo, in quanto tutti i paesi appartenenti bene o male sono allineati alle regole comunitarie che garantiscono quel “minimo sindacale” di protezione indispensabile per il legislatore .
Fuori dai confini europei, invece, ” Il trasferimento anche temporaneo fuori del territorio dello Stato, con qualsiasi forma o mezzo, di dati personali oggetto di trattamento, se diretto verso un Paese non appartenente all’Unione europea è consentito quando: a) l’interessato ha manifestato il proprio consenso espresso o, se si tratta di dati sensibili, in forma scritta; b) è necessario per l’esecuzione di obblighi derivanti da un contratto c) è necessario per la salvaguardia di un interesse pubblico d) è necessario per la salvaguardia della vita o dell’incolumità fisica di un terzo e) è necessario ai fini dello svolgimento delle investigazioni difensive f) è effettuato in accoglimento di una richiesta di accesso ai documenti amministrativi g) è necessario per esclusivi scopi scientifici o statistici, ovvero per esclusivi scopi storici h) il trattamento concerne dati riguardanti persone giuridiche, enti o associazioni ” (con la nuova modifica normativa quest’ultimo punto è caduto considerato che la definizione di interessato è limitata alla persona fisica).
E qui si apre un mondo. Il trasferimento dei dati nei paesi cosiddetti sicuri comporta comunque l’onere del Titolare (quindi del cliente che acquisisce i servizi) di garantire – anche attraverso la garanzia contrattuale del fornitore – il rispetto delle misure di sicurezza basilari per la nostra normativa (sistemi di autorizzazione per gli accessi, ripristino dati, adozione sistemi antintrusione ecc.) mentre la disciplina cui si fa riferimento a livello internazionale (delineata nei rapporti con gli Stati Uniti) è quella dei cosiddetti principi di approdo sicuro , il Safe Harbor. Principi logici ma impegnativi: non solo l’obbligo di informazione nei confronti degli interessati i cui dati andranno in cloud, ma anche l’obbligo di prendere il loro consenso, di protezione “da perdita ed abusi nonché da accesso, rivelazione, alterazione e distruzione non autorizzati”, diritto degli interessati di “accedere alle informazioni personali che li riguardano in possesso di una data organizzazione, ed altresì poterle correggere, emendare o cancellare” (ovviamente tramite il cliente).
È inoltre indubbiamente gravoso far rispettare al fornitore i principi di approdo sicuro se già a monte non li ha riconosciuti nei contratti di servizi che disciplineranno i rapporti.
Poi abbiamo il famigerato provvedimento in materia di amministratore di sistema : e questo, privacy o non privacy, dovrebbe interessarci non poco. Avere i dati in cloud può voler dire esporre il proprio know-how, il cuore del proprio business, quindi occorre avere garanzie sui profili e le modalità di accesso affinché non si verifichino abusi, in particolare in materia di concorrenza sleale o che configurino comportamenti commerciali scorretti. A fronte della sostanza dovremo comunque verificare l’inserimento di una clausola contrattuale che riconosca sussistente un sistema di logging degli ADS che storicizzi gli interventi e dia modo in caso di necessità di operare un monitoraggio .
Niente allarmismi: tutti noi abbiamo usufruito fino ad oggi del cloud in un modo o nell’altro: Facebook, LinkedIn, Twitter, la posta elettronica stessa. Bisogna insomma capire quanto e cosa possiamo portare in cloud. L’analisi giuridica spesso deve stare a monte dell’acquisizione dei servizi ed essere messa sulla bilancia rispetto alla selezione del patrimonio aziendale che intendiamo portare in cloud . Il livello di affidabilità del fornitore e del cliente amministratore è ovviamente fondamentale, la sussistenza di certificazione che garantisca determinati processi applicati ai dati in cloud può essere strumento di valutazione rispetto ai servizi promossi dal fornitore, come del resto l’aver già previsto a priori l’attenzione alla normativa italiana rilasciando documenti funzionali ad eventuali controlli della Guardia di Finanza in materia di privacy, piuttosto che l’inserimento di clausole contrattuali inerenti la cessazione dei servizi con un piano di trasferimento dati chiaro, è sintomo di particolare sensibilità agli aspetti contrattuali.
Purtroppo il legislatore italiano non è al passo con lo sviluppo di questi servizi (invece il Garante in materia di privacy ha pubblicato alcune osservazioni , ma non è il legislatore ed alcune precisazioni poco spostano le questioni rilevanti), mentre la Commissione Europea sta portando avanti una riforma radicale della privacy che, oltre alle semplificazioni dagli oneri burocratici, sta analizzando tutti gli aspetti connessi al cloud in modo da avere una disciplina uniforme a livello di paesi europei, con la possibilità di raccordi alla disciplina internazionale . Nel frattempo, senza snaturare il senso del cloud, porsi qualche domanda e cercare un po’ di risposte nel fornitore può perlomeno servire a mettere sul piatto tutti gli aspetti, vantaggi e non, di un servizio destinato certamente a sempre maggiori utilizzi.
Avv. Valentina Frediani
www.consulentelegaleinformatico.it