Cloud Computing & Diritto: quello che un manager deve sapere

By
Ernesto Belisario
-

Alzi la mano chi, negli ultimi mesi, non ha sentito parlare di Cloud Computing.

Articoli che illustrano le potenzialità della nuova gamma di risorse e servizi IT (infrastrutture, piattaforme e software) riempiono ormai le pagine delle stampa sia specializzata che generalista, per non parlare delle pubblicità del Cloud che tappezzano stazioni e aeroporti. I guru ci spiegano che i servizi sulla nuvola, usati già da milioni di persone, avranno una crescita esponenziale nel corso del 2012, grazie alla sempre maggiore diffusione di tablet e smartphone.

I fornitori magnificano i vantaggi del Cloud Computing: maggiore facilità di condivisione di documenti e informazioni, riduzione dei costi di licenze, semplificazione degli oneri di gestione, trasferimento del rischio di esercizio.

Cloud Computing: molti ne parlano, pochi si fidano

Tuttavia, numerose ricerche e indagini, dimostrano che, a fronte di tali vantaggi, vi sono alcune criticità che fermano le aziende nella strada verso la nuvola; primo tra tutti, il timore che i servizi non siano sufficientemente sicuri. Affidare ad altri i propri dati e documenti non è privo di pericoli e questi risultano addirittura aggravati dalla circostanza che la gran parte dei servizi di Cloud Computing sono offerti da pochi soggetti (Google, Amazon, Microsoft e IBM) che hanno operato una standardizzazione delle condizioni contrattuali.

Tuttavia, si ritiene che le criticità giuridiche del Cloud Computing (su cui già si è ampiamente soffermata l’ENISA) non non debbano spingere le aziende a non usare i servizi Cloud, quanto – semmai – a verificare preventivamente l’affidabilità dei fornitori cui intendono affidarsi.

Non si può fare a meno di osservare come la “perdita di controllo” sui dati non sia fenomeno del tutto nuovo; già da tempo affidiamo a terzi alcuni servizi sia in informatica sia nel mondo fisico. Ad esempio, affidiamo i nostri soldi alle banche e i nostri dati fiscali ai commercialisti, senza ritenerci stupidi perché – in astratto – potrebbero non restituirceli o farne un uso diverso da quelli per i quali glieli abbiamo forniti. Semplicemente, facciamo attenzione ai contratti che stipuliamo e preferiamo il fornitore che ci fornisce più garanzie.

Cosa valutare quando si sceglie un Cloud Provider

Per coloro che devono decidere se affidarsi a servizi di Cloud Computing è possibile definire un’apposita check list per la valutazione di un potenziale fornitore che tenga in conto tutte le principali problematiche giuridiche.

I contratti sono importanti

Nella prassi contrattuale, i fornitori hanno cercato di imporre (e ci sono riusciti) contratti-tipo in cui la regola è rappresentata da clausole in cui il servizio viene fornito “as is”, senza alcuna garanzia di raggiungere un certo livello di performance. Si tratta di disposizioni particolarmente critiche: cosa succederebbe, ad esempio, se un manager non fosse in condizione di accedere all’agenda dei propri impegni e delle proprie udienze per un lungo lasso di tempo?

Pertanto, dovranno preferirsi quei fornitori che, al contrario, si impegnino a garantire un livello minimo di servizio misurabile in base a parametri oggettivi; specialmente le aziende dovranno prestare grande importanza alla disponibilità costante dei servizi che evitino interruzioni nell’erogazione dei servizi. In proposito, è raccomandabile che vengano definiti parametri tecnici oggettivi e misurabili (tra cui uptime, tempi di risposta, tempo di presa in carico dei servizi, ecc.); è altresì opportuno che l’atto con il quale le parti esprimono il loro accordo in merito (c.d. SLA, Service Level Agreement) venga allegato al contratto.

Sul punto particolarmente importante dovrà essere la regolamentazione della responsabilità nel caso di eventuali violazioni o incidenti di sicurezza, nella consapevolezza che nel nostro ordinamento è nullo di qualsiasi patto diretto ad escludere o limitare preventivamente la responsabilità del fornitore per dolo o colpa grave.

Attenzione alla Privacy

Tra le maggiori criticità del fenomeno cloud computing vi sono indubbiamente quelle rappresentate dalle implicazioni in materia di riservatezza e sicurezza dei dati.

Il problema della sicurezza è comune a tutti i sistemi informativi ma, se possibile, è ancora più importante per chi ne fa un uso professionale; alla luce di tali norme, sarà necessario ottenere dal fornitore l’adozione dei migliori standard e delle misure di sicurezza idonee a proteggere la riservatezza, disponibilità e integrità delle informazioni.

 In materia di sicurezza, l’azienda dovrà verificare che il fornitore rispetti gli obblighi di protezione imposti dal Codice Privacy (D. Lgs. n. 196/2003); inoltre, bisognerà doverosamente verificare che l’outsourcing non comporti il trasferimento dei dati in un Paese posto al di fuori dei confini della Comunità Europea a causa dei limiti imposti dalla normativa vigente.

Bisogna quindi preferire i fornitori che siano più trasparenti nei confronti dei propri clienti.

Il dato è mio e lo uso solo io

E’ importante, inoltre, verificare che la proprietà dei dati rimanga all’azienda mediante apposite clausole di riservatezza, salvaguardia e rivendicazione dei diritti di proprietà intellettuale. Dovranno essere quindi indicate le procedure e le modalità per la restituzione, all’atto della cessazione del rapporto, dei dati e dei documenti di titolarità del cliente.

Verificare la legge applicabile ed il Foro competente

In assenza di una normativa che individui sempre chiaramente la legge applicabile, bisognerà verificare che il fornitore indichi in quale Paese sono situati i server che ospitano i dati; per l’impresa è importante sapere se eventuali controversie potranno essere decise dal giudice italiano piuttosto che da un giudice straniero (con l’ovvio aggravio di costi).

La collocazione fisica del server è importante anche in relazione alla possibilità di ottenere l’esecuzione dei provvedimenti ottenuti dal giudice italiano (senza bisogno di complessi procedimenti) oltre che sotto il profilo dell’autonomia del fornitore rispetto all’ingerenza dei pubblici poteri e al grado di democraticità di questi ultimi.

L’esame preventivo di questi aspetti da parte del manager è già oggi in grado di limitare molti dei principali inconvenienti giuridici legati al Cloud.

Di conseguenza, fate attenzione a non scegliere un servizio solo in base alle caratteristiche tecniche o al prezzo: in caso di problemi, potreste pentirvene!

 

 

Facebook Comments

Previous articleIl 2012 sarà l’anno del mobile marketing
Next articleUn software per creare eBook: la novità di Apple in cantiere
Ernesto Belisario
http://blog.ernestobelisario.it
Avvocato, specializzato con lode in Diritto Amministrativo e Scienza dell’Amministrazione. Si occupa, per professione e per passione, di diritto delle nuove tecnologie e di diritto amministrativo. Docente presso l’Università degli Studi della Basilicata, è relatore in convegni, incontri e seminari sulle materie di attività e tiene lezioni in Master Universitari, corsi di formazione e specializzazione. Autore di numerose pubblicazioni (cartacee e digitali) sui temi del Diritto Amministrativo e dell’Information Technology Law, è Vice Direttore del Quotidiano di informazione giuridica “LeggiOggi.it” e componente del Comitato Scientifico della Rivista “E-Gov” di Maggioli. È referente del Consiglio dell’Ordine degli Avvocati di Potenza presso la Fondazione Italiana per l’Innovazione Forense (FIIF) e componente del Gruppo di Lavoro per i giovani avvocati del Consiglio Nazionale Forense. È socio fondatore e segretario generale dell’Istituto per le Politiche dell’Innovazione e Presidente dell'Associazione Italiana per l'Open Government; oltre al proprio blog (“Diritto 2.0”), è tra i curatori di "TheNextGov", uno spazio sul sito de "L'espresso" in cui parla di nuove tecnologie e innovazione in ambito pubblico.

RELATED ARTICLESMORE FROM AUTHOR

2 COMMENTS

  1. L’argomento è molto interessante e molto attuale. Condivido la preoccupazione sull’importanza di un buon contratto che il cliente del servizio deve riuscire a negoziare andando a derogare, laddove possibile, alle condizioni generali che il fornitore cercherà sempre di imporre. Le garanzie sulle misure di sicurezza sono senz’altro molto importanti, specie ora che, se i dati personali memorizzati sulla nuvola riguarassero solo persone giuridiche, in teoria il fornitore potrebbe non essere tenuto ad applicare, come potrebbe rifiutare la nomina a responsabile del trattamento (questioni, queste, comunque, molto discutibili, anche perchè è difficile che i dati riguardino solo persone giuridiche). A mio parere diventa determinante negoziare, dove siano contrattualmente previsti gli SLA, adeguate penali per l’inosservanza di questi livelli di servizio e, soprattutto, in caso di perdita dei dati o di loro abusivo utilizzo da parte di terzi e che il fornitore garantisca adeguata polizza assicurativa al cliente.

  2. Il cloud é divenuto un “fenomeno” commerciale, prima che si affermasse la consapevolezza (non solo nei clienti) dei vantaggi tecnologici ed economici. L’intensa strategia di comunicazione, adottata largamente nel periodo 2009-2010, ha contribuito a moderare la doverosa attenzione verso le “barriere” contrattuali, legali ed assicurative. In particolare, noto, manca nel dibattito nazionale una certa trattazione dei danni conseguenti ad una possibile indisponibilità degli ambienti e/o dei servizi. La società attuale é certamente sempre più digitale, e deve alle ICT il miglioramento di differenti settori economici: proprio alla luce di questa “dipendenza”, non dovrebbe mancare la giusta attenzione ai risvolti economici e reputazionali, in caso di disservizi delle soluzioni di cloud computing (applicazioni, piattaforme).

LEAVE A REPLY

Please enter your comment!
Please enter your name here