Il contratto di cloud computing, criticità e vantaggi

Avvocato del Web™

Uno strumento ad altissimo potenziale per le aziende se saranno semplificate le procedure, rese eque e sicure le clausole contrattuali e promosse le competenze e l’imprenditoria digitale ad esso connesse

Il cloud computing, o nuvola informatica, è uno strumento che permette l’archiviazione, l’elaborazione e l’uso di dati su computer remoti e il relativo accesso via Internet. Perché è così vantaggioso? Semplice, perché con il cloud gli utenti possono utilizzare una potenza di elaborazione quasi illimitata, non sono tenuti ad investire grandi capitali – pagando in base all’uso, evitando quindi costi fissi – e soprattutto possono accedere ai loro dati ovunque vi sia una connessione Internet.
I consumatori utilizzano il cloud per archiviare informazioni (ad es. foto, mail) e per utilizzare dei software (ad es. social network, video, musica in streaming, giochi).
Le organizzazioni, incluse le amministrazioni pubbliche, usufruiscono del cloud nell’ottica di sostituire i dipartimenti interni che gestiscono i centri dati e le tecnologie di informazione e comunicazione. Attraverso la “nuvola” anche le più piccole imprese possono essere protagoniste dei grandi mercati e fare la differenza perché possono testare rapidamente e aumentare la propria offerta ai clienti senza creare, né investire in infrastrutture fisiche.
In questa tecnologia e nelle opportunità straordinarie che essa offre l’Europa del resto ha creduto sin dagli inizi, predisponendo una serie di azioni sul commercio elettronico e sui servizi on line tramite la Commissione Europea. Potrebbe, infatti, essere predisposto nel 2020 un ulteriore investimento diretto nella nuvola informatica di 45 miliardi di euro per tutto il territorio UE che porterebbe alla creazione di 3,8 milioni di posti di lavoro.

Veniamo alle caratteristiche specifiche del cloud.
Esso si compone di tre elementi: middleware o piattaforma, software applicativo e hardware. Quest’ultimo, costituito dai PC e da dispositivi per archiviazione dati, sono di proprietà del provider dei servizi di cloud computing e non dell’utente.

I providers sovente spostano i dati di loro utenti da un PC all’altro o da un centro dati all’altro per metterli a disposizione degli utenti medesimi, ovunque si trovino, come e quando desiderano. Bisogna però ottimizzare questo strumento competitivo per l’economia globale chiarendo la normativa applicabile e riducendo i rischi, dal punto di vista della cybersicurezza, dato che le giurisdizioni applicabili potrebbero essere diverse.

Le problematiche del contratto di cloud riguardano, infatti, l’accesso e la portabilità dei dati, nonché il controllo e la proprietà dei dati stessi. Si pensi alla responsabilità per le ipotesi di interruzioni del servizio o di perdita dei dati o alla tutela dei diritti degli utenti in caso di aggiornamenti del sistema decisi dal provider senza un’informazione preventiva.In particolare, la portabilità dei dati è la facoltà del consumatore di poter cambiare servizio portando con sé i propri dati personali, senza subire “ostruzionismi” rispondenti alla logica concorrenziale del mercato. Il Regolamento Europeo della privacy 679/2016 (che verrà applicato da maggio 2018) ha disciplinato, all’art. 20, il diritto generale alla portabilità, che non però non si applica al trattamento necessario fatto per interesse pubblico o connesso all’esercizio di poteri pubblici di cui il titolare del trattamento è investito. Gli interessati possono chiedere i propri dati al fornitore dei servizi on line e se intendono chiudere il proprio account, o servirsi di altro fornitore, hanno il diritto, appunto, di “portarli con sé”.

In relazione ai servizi di cloud, già nel 2011 il Garante della Privacy nell’utilizzo di tali servizi ha suggerito come passaggio fondamentale quello di mantenere una copia (locale, eventualmente come archivio compresso) dei dati, anche non personali, dalla cui perdita o indisponibilità potrebbero derivare danni economici ingenti all’utente, ove ci si avvalga di servizi gratuiti o a basso costo. Importante, altresì, è verificare se i dati restano nella disponibilità fisica del provider oppure se questi faccia da intermediario, cioè se offre un servizio che si basa su tecnologie di un terzo, nel qual caso l’utente deve sapere il luogo in cui i dati effettivamente si trovano. Sapere in quale Stato sono allocati fisicamente i server ci farà capire, in caso di controversia, quale sarà la giurisdizione e la legge applicabile, ergo se in quello Stato la legge contempla la possibilità di eseguire ordini di esibizione, accesso o sequestro.

L’utente deve altresì verificare se il trasferimento dei dati da un Paese UE ad un Paese extra UE avvenga secondo le linee guida europee in materia di protezione dei dati personali, quindi con standard di tutela elevati. Secondo l’art. 44 del Reg. UE 679/2016 la Commissione europea può stabilire che il livello di protezione offerto in un determinato Paese terzo è adeguato e che pertanto è possibile trasferirvi dati personali. É la “decisione di adeguatezza”, che ha alla base la valutazione di elementi quali lo stato di diritto, il rispetto dei diritti umani e delle libertà fondamentali, la legislazione di settore, l’esistenza e funzionamento di un’autorità indipendente a protezione dei dati personali, gli impegni internazionali assunti da quel Paese Terzo in materia.

Ad oggi i Paesi riconosciuti dalla Commissione Europea come Paesi terzi che garantiscono un livello adeguato di protezione dei dati sono: Svizzera, Andorra, Argentina, Canada, Israele, Isola di Man, Isole Fær Øer, Baliato di Jersey e Baliato di Guernsey, Nuova Zelanda, Uruguay. Per quanto riguarda gli Stati Uniti esisteva l’accordo del c.d. Safe Harbor (decisione della Commissione Europea n. 520 del 26 luglio 2000), con il quale i fornitori statunitensi aderenti potevano ricevere dati personali dall’UE autocertificando il proprio impegno a rispettare i principi stabiliti per la legittimità al trattamento dei dati personali. Nel 2015 la Corte di Giustizia dell’UE ha però ritenuto inadeguato il sistema di protezione all’interno del Safe Harbor. Sono, infatti, in corso i negoziati della Commissione per concludere un nuovo accordo con gli USA. Un’oculata scelta del contratto con l’ISP del cloud non può poi prescindere dall’analisi degli obblighi e delle responsabilità in caso di perdita o smarrimento dei dati custoditi nella nuvola o di indisponibilità degli stessi per malfunzionamenti. Il contratto deve cioè prevedere, in maniera chiara, penali a carico del fornitore inadempiente.

Non solo. Dovrebbero essere indicati i tempi di persistenza dei dati nel cloud e le modalità di conservazione, in particolare il termine entro cui, scaduto il contratto, il provider ne effettuerà la cancellazione.

Quanto ai rischi per la sicurezza dei dati, occorre privilegiare i servizi che per l’accesso si avvalgono di procedure di autenticazione sofisticate e affidabili, rispetto a semplici password composte dai singoli, unitamente all’adozione di misure tecnico-organizzative idonee a gestire i rischi dei cd. data breach (violazioni dati personali), in considerazione della tipologia dei dati custoditi. Nel quadro dell’Agenda digitale europea, le azioni strategiche della Commissione sono tutte volte a potenziare il cloud negli Stati membri e a trasferirlo nel settore pubblico, prevedendo che nei prossimi 3 anni l’uso delle offerte di cloud computing pubblicamente disponibili potrebbe arrivare a un tasso di crescita annuo medio del 38%.

Semplificare le procedure, senza abbassare gli standard di tutela, rendere eque e sicure le clausole contrattuali, “uniformare” la disciplina del cloud nel settore pubblico, promuovere le competenze e l’imprenditoria digitale connesse al cloud sono azioni strategiche necessarie nella sfida che vede l’Europa possibile polo mondiale della “nuvola” e protagonista vincente nella rivoluzione 4.0.