Il cloud computing sembra essere una delle tecnologie destinate a rivoluzionare il nostro modo di vivere e lavorare; quali sono le problematiche giuridiche più rilevanti da tenere in considerazione?
Tutti pazzi per il cloud computing: è la tecnologia del momento, milioni di persone già la usano e – da più parti – se ne prevede una crescita esponenziale nei prossimi anni, sia in ambito privato che pubblico, anche grazie alla sempre maggiore diffusione di tablet e smartphone.
In molti non ne conoscono ancora il nome, pur utilizzandolo ogni giorno: infatti, servizi come Gmail, GoogleDocs, Dropbox e Mobile.me sono già le soluzioni preferite da molti per la gestione e l’archiviazione di mail, foto, file musicali e documenti.
Cloud (letteralmente “nuvola”) è il termine con cui metaforicamente si indica la Rete; la nube, infatti, è il simbolo spesso utilizzato per descrivere la Rete nei diagrammi tecnici. Più in generale, con l’espressione “cloud computing” si è soliti indicare la nuova gamma di risorse e servizi IT (infrastrutture, piattaforme e software) distribuiti in remoto.
Come noto, in considerazione dei vantaggi del cloud computing (maggiore facilità di condivisione di documenti e informazioni, riduzione dei costi, semplificazione della gestione, trasferimento del rischio sul fornitore) milioni di utenti (amministrazioni, aziende e semplici consumatori) già fruiscono di tali servizi, attratti dai benefici in termini di comodità, risparmio e maggiore efficienza. Sotto questo profilo, il cloud computing è indubbiamente un effetto del processo iniziato già da qualche anno per cui alcuni beni (come il software) hanno progressivamente perduto il loro status di prodotti per divenire servizi.
(fonte: Wikibon)
Tuttavia, la convenienza dei servizi di cloud computing deve essere valutata attentamente anche alla luce delle criticità e delle problematiche giuridiche sollevate da questa nuova tecnologia: sicurezza, privacy, livelli minimi di servizio, proprietà dei dati e dei contenuti sono tutti aspetti potenzialmente insidiosi e – nelle scorse settimane – più di qualcuno ha ammonito sui rischi causati dalla perdita del controllo su dati e documenti.
In principio fu Richard Stallman (fondatore della Free Software Foundation) ad affermare che il cloud computing è pericoloso e che è quindi stupido utilizzarlo; nelle scorse settimane, e con un certo ritardo, anche le istituzioni (comunitarie ed italiane) hanno preso coscienza dei rischi della “nuvola”. Neelie Kroes, Vice-Presidente della Commissione Europea e Commissario per l’Agenda Digitale, ha sostenuto la necessità di una strategia europea relativa alla diffusione del cloud computing e, nel nostro Paese, il Garante per la protezione dei dati personali – dopo aver ammonito sui rischi di tali servizi – ha recentemente annunciato che sul cloud si concentrerà l’attività ispettiva per il 2011.
Tali prese di posizione, pur commendevoli nelle loro finalità (stimolare una riflessione sui rischi di questi servizi), sembrano tuttavia esagerate e – in parte – addirittura fuorvianti.
Non si vuole certo negare che affidare ad altri i nostri dati e documenti non sia privo di pericoli e che questi siano addirittura aggravati dalla circostanza che la gran parte dei servizi di cloud computing che utilizziamo siano offerti da pochi soggetti (Google, Amazon, Microsoft e IBM) che hanno operato una standardizzazione delle condizioni contrattuali spesso non favorevoli per l’utente. Tuttavia, si ritiene che non sia opportuno impiegare anni per definire standard perfetti che non saranno mai rispettati dai fornitori e che sia, piuttosto, preferibile fare ricorso alle norme che già esistono, prestando molta attenzione alla formazione dei consumatori in merito alla verifica dell’affidabilità dei fornitori e all’uso consapevole dei servizi.
Inoltre, non si può fare a meno di osservare come la “perdita di controllo” sui dati non sia fenomeno del tutto nuovo; già da tempo affidiamo a terzi alcuni servizi sia in informatica sia nel mondo fisico. Ad esempio, affidiamo i nostri soldi alle banche e i nostri dati fiscali ai commercialisti, senza ritenerci stupidi perché – in astratto – potrebbero non restituirceli o farne un uso diverso da quelli per i quali glieli abbiamo forniti.
Altro aspetto che va tenuto in conto è che la “nuvola” non è un Far West in cui non esistono leggi da rispettare; al contrario è possibile definire un’apposita check list per la valutazione di un potenziale fornitore che tenga in conto tutte le problematiche giuridiche più rilevanti.
a) l’importanza dei termini di servizio
Innanzitutto appare utile soffermarsi sulla natura del contratto di fornitura dei servizi di cloud per affermare che si tratta di un contratto di appalto di servizi avente ad oggetto prestazioni continuate o periodiche.
Nella prassi contrattuale, i fornitori hanno cercato di imporre (e ci sono riusciti) contratti-tipo in cui la regola è rappresentata da clausole in cui il servizio viene fornito “as is”, senza alcuna garanzia di raggiungere un certo livello di performance. Si tratta di disposizioni particolarmente critiche: cosa succederebbe, ad esempio, se un avvocato non fosse in condizione di accedere all’agenda dei propri impegni e delle proprie udienze per un lungo lasso di tempo?
Pertanto, dovranno preferirsi quei fornitori che, al contrario, si impegnino a garantire un livello minimo di servizio misurabile in base a parametri oggettivi; specialmente gli utenti professionali dovranno prestare grande importanza alla disponibilità costante dei servizi che evitino interruzioni nell’erogazione. In proposito, è raccomandabile che vengano definiti parametri tecnici oggettivi e misurabili (tra cui uptime, tempi di risposta, tempo di presa in carico dei servizi, ecc.); è altresì opportuno che l’atto con il quale le parti esprimono il loro accordo in merito (c.d. SLA, Service Level Agreement) venga allegato al contratto.
Sul punto particolarmente importante dovrà essere la regolamentazione della responsabilità nel caso di eventuali violazioni o incidenti, nella consapevolezza che nel nostro ordinamento – in base all’art. 1229 Codice Civile – è nullo di qualsiasi patto diretto ad escludere o limitare preventivamente la responsabilità del fornitore per dolo o colpa grave.
b)sicurezza dei dati e privacy
Tra le maggiori criticità del fenomeno cloud computing vi sono indubbiamente quelle rappresentate dalle implicazioni in materia di riservatezza e sicurezza dei dati trattati dalle Amministrazioni.
Il problema della sicurezza è uno dei gangli principali di tutti i sistemi informativi ma, se possibile, è ancora più importante per chi ne fa un uso professionale; alla luce di tali norme, sarà necessario ottenere dal fornitore l’adozione dei migliori standard e delle misure di sicurezza idonee a proteggere la riservatezza, disponibilità e integrità delle informazioni.
In materia di sicurezza, l’Amministrazione dovrà verificare che il fornitore rispetti gli obblighi di protezione imposti dal Codice Privacy (D. Lgs. n. 196/2003); inoltre, bisognerà doverosamente verificare che l’outsourcing non comporti il trasferimento dei dati in un Paese posto al di fuori dei confini della Comunità Europea a causa dei limiti imposti dalla normativa vigente.
c)legge applicabile e foro competente
In assenza di una normativa che individui sempre chiaramente la legge applicabile, bisognerà verificare che il fornitore indichi in quale Paese sono situati i server che ospitano i dati; per l’utente è importante sapere se eventuali controversie potranno essere decise dal giudice italiano piuttosto che da un giudice straniero (con l’ovvio aggravio di costi). La collocazione fisica del server è importante anche in relazione alla possibilità di ottenere l’esecuzione dei provvedimenti ottenuti dal giudice italiano (senza bisogno di complessi procedimenti) oltre che sotto il profilo dell’autonomia del fornitore rispetto all’ingerenza dei pubblici poteri e al grado di democraticità di questi ultimi.
d) proprietà dei dati e dei contenuti
E’ importante, infine, verificare che la proprietà dei dati rimanga all’utente mediante apposite clausole di riservatezza, salvaguardia e rivendicazione dei diritti di proprietà intellettuale. Dovranno essere quindi indicate le procedure e le modalità per la restituzione, all’atto della cessazione del rapporto, dei dati e dei documenti di titolarità degli utenti (ad esempio, degli atti redatti dall’avvocato nell’interesse dei propri clienti).
L’esame preventivo di questi aspetti da parte dell’utente è già oggi in grado di limitare molti dei principali inconvenienti giuridici legati al cloud; in attesa di nuove leggi specifiche, che non sappiamo se e quando arriveranno, bisogna puntare sulla consapevolezza del consumatore, dell’azienda, dell’amministrazione.
Bisogna avere i dati, non la testa, tra le nuvole!
Caro Ernesto,
nel tuo articolo mi pare che ti focalizzi sul Saas su Public Cloud e tutte le considerazioni fatte sono pertinenti e utili.
Io, forte della passione per il Software Libero, punterei a spingere per i Private Cloud su piattafome Open in contesti abbastanza dimensionati da rendere appetibili queste soluzioni (aziende medio-grandi e PA).
Vincenzo
Nella parte finale del tuo articolo, evidenzi che i dati devono rimanere in Europa. A quali norme ti riferisci e in particolare questo vale anche per il trasferimento delle caselle di posta di un ente pubblico?
Grazie saluti
Articolo, devo dire, anche questa volta molto interessante (l’ho inoltrato, come hai visto, anche alla mia Legalit).
Come forse saprai, io sono passato alla «cloud» circa un anno fa.
Al giorno d’oggi, essendo ancora in una fase abbastanza acerba, conviene a mio giudizio rivolgersi esclusivamente a grandi e ben piantati operatori come Google, ma anche altre realtà che se pur più piccole dimostrano di aver azzeccato buone idee e di sapere bene cosa stanno facendo, come Dropbox.
Personalmente, sono convinto che sia il modo di lavorare del futuro, considerato che offre comodità assolutamente eccezionali per i liberi professionisti, tra cui segnatamente la possibilità di lavorare da qualsiasi terminale in qualsiasi posto in cui si possa aprire un browser collegato alla rete internet.
I problemi giuridici di base sono sicuramente quelli che hai elencato tu, anche qui come giustamente hai detto, siamo solo agli inizi e ci sarà modo di approfondire e lavorare ulteriormente su questi punti nei prossimi anni. Dal canto mio, mi sono tutelato per il momento limitandomi a far firmare ai clienti anche il consenso al trasferimento dei dati all’estero, considerando che i dati conservati da Google non si sa nemmeno bene dove si trovino – e quasi sicuramente, per ridondanza, si trovano in più server fisicamente collocati in paesi diversi.
Buona giornata.
– cordialmente,
tiziano solignani, da Mac
http://bit.ly/gdi2ZX, http://bit.ly/gwjT6c, http://bit.ly/ie8rvv
Ritengo che solo utilizzando tecnologie capaci di crittogrgafare a doppia chiave e con algoritmi sicuri i dati, e facendo frequenti bak up dei dati sul proprio disco, questa metodologia risolve i problemi che hai evidenziato, e se coloro che forniscono il servizio ne tengono conto, offrendo la tecnologia necessaria a far questo insieme ai servizi, le cose si risolverebbero da sole…
basterebbe che un solo operatore offrisse questo che gli atrli dovrebbero adattarsi perchè il mercato professionale e imprenditoriale utilizzerebbe senz’altro i servizi visti i loro indubbi vantaggi…
attenzione come sempre alla dipendenza a senso unico… però… una volta che tutta la nostra vita dipende dai dati messi su un server altrui, se non li salviamo anche per conto nostro, rischiamo grosso.