Home Economia Tecnologia Cloud computing: quale legge tra le nuvole?

Cloud computing: quale legge tra le nuvole?

Ernesto Belisario

Il cloud computing sembra essere una delle tecnologie destinate a rivoluzionare il nostro modo di vivere e lavorare; quali sono le problematiche giuridiche più rilevanti da tenere in considerazione?

Tutti pazzi per il cloud computing: è la tecnologia del momento, milioni di persone già la usano e – da più parti – se ne prevede una crescita esponenziale nei prossimi anni, sia in ambito privato che pubblico, anche grazie alla sempre maggiore diffusione di tablet e smartphone.

In molti non ne conoscono ancora il nome, pur utilizzandolo ogni giorno: infatti, servizi come Gmail, GoogleDocs, Dropbox e Mobile.me sono già le soluzioni preferite da molti per la gestione e l’archiviazione di mail, foto, file musicali e documenti.

Cloud (letteralmente “nuvola”) è il termine con cui metaforicamente si indica la Rete; la nube, infatti, è il simbolo spesso utilizzato per descrivere la Rete nei diagrammi tecnici. Più in generale, con l’espressione “cloud computing” si è soliti indicare la nuova gamma di risorse e servizi IT (infrastrutture, piattaforme e software) distribuiti in remoto.

Come noto, in considerazione dei vantaggi del cloud computing (maggiore facilità di condivisione di documenti e informazioni, riduzione dei costi, semplificazione della gestione, trasferimento del rischio sul fornitore) milioni di utenti (amministrazioni, aziende e semplici consumatori) già fruiscono di tali servizi, attratti dai benefici in termini di comodità, risparmio e maggiore efficienza. Sotto questo profilo, il cloud computing è indubbiamente un effetto del processo iniziato già da qualche anno per cui alcuni beni (come il software) hanno progressivamente perduto il loro status di prodotti per divenire servizi.

(fonte: Wikibon)

Tuttavia, la convenienza dei servizi di cloud computing deve essere valutata attentamente anche alla luce delle criticità e delle problematiche giuridiche sollevate da questa nuova tecnologia: sicurezza, privacy, livelli minimi di servizio, proprietà dei dati e dei contenuti sono tutti aspetti potenzialmente insidiosi e – nelle scorse settimane – più di qualcuno ha ammonito sui rischi causati dalla perdita del controllo su dati e documenti.

In principio fu Richard Stallman (fondatore della Free Software Foundation) ad affermare che il cloud computing è pericoloso e che è quindi stupido utilizzarlo; nelle scorse settimane, e con un certo ritardo, anche le istituzioni (comunitarie ed italiane) hanno preso coscienza dei rischi della “nuvola”. Neelie Kroes, Vice-Presidente della Commissione Europea e Commissario per l’Agenda Digitale, ha sostenuto la necessità di una strategia europea relativa alla diffusione del cloud computing e, nel nostro Paese, il Garante per la protezione dei dati personali – dopo aver ammonito sui rischi di tali servizi – ha recentemente annunciato che sul cloud si concentrerà l’attività ispettiva per il 2011.

Tali prese di posizione, pur commendevoli nelle loro finalità (stimolare una riflessione sui rischi di questi servizi), sembrano tuttavia esagerate e – in parte – addirittura fuorvianti.

Non si vuole certo negare che affidare ad altri i nostri dati e documenti non sia privo di pericoli e che questi siano addirittura aggravati dalla circostanza che la gran parte dei servizi di cloud computing che utilizziamo siano offerti da pochi soggetti (Google, Amazon, Microsoft e IBM) che hanno operato una standardizzazione delle condizioni contrattuali spesso non favorevoli per l’utente. Tuttavia, si ritiene che non sia opportuno impiegare anni per definire standard perfetti che non saranno mai rispettati dai fornitori e che sia, piuttosto, preferibile fare ricorso alle norme che già esistono, prestando molta attenzione alla formazione dei consumatori in merito alla verifica dell’affidabilità dei fornitori e all’uso consapevole dei servizi.

Inoltre, non si può fare a meno di osservare come la “perdita di controllo” sui dati non sia fenomeno del tutto nuovo; già da tempo affidiamo a terzi alcuni servizi sia in informatica sia nel mondo fisico. Ad esempio, affidiamo i nostri soldi alle banche e i nostri dati fiscali ai commercialisti, senza ritenerci stupidi perché – in astratto – potrebbero non restituirceli o farne un uso diverso da quelli per i quali glieli abbiamo forniti.

Altro aspetto che va tenuto in conto è che la “nuvola” non è un Far West in cui non esistono leggi da rispettare; al contrario è possibile definire un’apposita check list per la valutazione di un potenziale fornitore che tenga in conto tutte le problematiche giuridiche più rilevanti.

a) l’importanza dei termini di servizio

Innanzitutto appare utile soffermarsi sulla natura del contratto di fornitura dei servizi di cloud per affermare che si tratta di un contratto di appalto di servizi avente ad oggetto prestazioni continuate o periodiche.

Nella prassi contrattuale, i fornitori hanno cercato di imporre (e ci sono riusciti) contratti-tipo in cui la regola è rappresentata da clausole in cui il servizio viene fornito “as is”, senza alcuna garanzia di raggiungere un certo livello di performance. Si tratta di disposizioni particolarmente critiche: cosa succederebbe, ad esempio, se un avvocato non fosse in condizione di accedere all’agenda dei propri impegni e delle proprie udienze per un lungo lasso di tempo?

Pertanto, dovranno preferirsi quei fornitori che, al contrario, si impegnino a garantire un livello minimo di servizio misurabile in base a parametri oggettivi; specialmente gli utenti professionali dovranno prestare grande importanza alla disponibilità costante dei servizi che evitino interruzioni nell’erogazione. In proposito, è raccomandabile che vengano definiti parametri tecnici oggettivi e misurabili (tra cui uptime, tempi di risposta, tempo di presa in carico dei servizi, ecc.); è altresì opportuno che l’atto con il quale le parti esprimono il loro accordo in merito (c.d. SLA, Service Level Agreement) venga allegato al contratto.

Sul punto particolarmente importante dovrà essere la regolamentazione della responsabilità nel caso di eventuali violazioni o incidenti, nella consapevolezza che nel nostro ordinamento – in base all’art. 1229 Codice Civile – è nullo di qualsiasi patto diretto ad escludere o limitare preventivamente la responsabilità del fornitore per dolo o colpa grave.

b)sicurezza dei dati e privacy

Tra le maggiori criticità del fenomeno cloud computing vi sono indubbiamente quelle rappresentate dalle implicazioni in materia di riservatezza e sicurezza dei dati trattati dalle Amministrazioni.

Il problema della sicurezza è uno dei gangli principali di tutti i sistemi informativi ma, se possibile, è ancora più importante per chi ne fa un uso professionale; alla luce di tali norme, sarà necessario ottenere dal fornitore l’adozione dei migliori standard e delle misure di sicurezza idonee a proteggere la riservatezza, disponibilità e integrità delle informazioni.

In materia di sicurezza, l’Amministrazione dovrà verificare che il fornitore rispetti gli obblighi di protezione imposti dal Codice Privacy (D. Lgs. n. 196/2003); inoltre, bisognerà doverosamente verificare che l’outsourcing non comporti il trasferimento dei dati in un Paese posto al di fuori dei confini della Comunità Europea a causa dei limiti imposti dalla normativa vigente.

c)legge applicabile e foro competente

In assenza di una normativa che individui sempre chiaramente la legge applicabile, bisognerà verificare che il fornitore indichi in quale Paese sono situati i server che ospitano i dati; per l’utente è importante sapere se eventuali controversie potranno essere decise dal giudice italiano piuttosto che da un giudice straniero (con l’ovvio aggravio di costi). La collocazione fisica del server è importante anche in relazione alla possibilità di ottenere l’esecuzione dei provvedimenti ottenuti dal giudice italiano (senza bisogno di complessi procedimenti) oltre che sotto il profilo dell’autonomia del fornitore rispetto all’ingerenza dei pubblici poteri e al grado di democraticità di questi ultimi.

d) proprietà dei dati e dei contenuti

E’ importante, infine, verificare che la proprietà dei dati rimanga all’utente mediante apposite clausole di riservatezza, salvaguardia e rivendicazione dei diritti di proprietà intellettuale. Dovranno essere quindi indicate le procedure e le modalità per la restituzione, all’atto della cessazione del rapporto, dei dati e dei documenti di titolarità degli utenti (ad esempio, degli atti redatti dall’avvocato nell’interesse dei propri clienti).

L’esame preventivo di questi aspetti da parte dell’utente è già oggi in grado di limitare molti dei principali inconvenienti giuridici legati al cloud; in attesa di nuove leggi specifiche, che non sappiamo se e quando arriveranno, bisogna puntare sulla consapevolezza del consumatore, dell’azienda, dell’amministrazione.

Bisogna avere i dati, non la testa, tra le nuvole!



© RIPRODUZIONE RISERVATA


CONDIVIDI

3 COMMENTI

  1. Caro Ernesto,
    nel tuo articolo mi pare che ti focalizzi sul Saas su Public Cloud e tutte le considerazioni fatte sono pertinenti e utili.
    Io, forte della passione per il Software Libero, punterei a spingere per i Private Cloud su piattafome Open in contesti abbastanza dimensionati da rendere appetibili queste soluzioni (aziende medio-grandi e PA).

    Vincenzo

  2. Nella parte finale del tuo articolo, evidenzi che i dati devono rimanere in Europa. A quali norme ti riferisci e in particolare questo vale anche per il trasferimento delle caselle di posta di un ente pubblico?
    Grazie saluti

SCRIVI UN COMMENTO

Please enter your comment!
Inserisci il tuo nome