Questo sito utilizza cookies tecnici (propri e di terze parti) come anche cookie di profilazione (di terze parti) sia per proprie necessità funzionali, sia per inviarti messaggi pubblicitari in linea con tue preferenze. Per saperne di più o per negare il consenso all'uso dei cookie di profilazione clicca qui. Scorrendo questa pagina, cliccando su un link o proseguendo la navigazione in altra maniera, acconsenti all'uso dei cookie Ok, accetto

Cinquantamila.it La storia raccontata da Giorgio Dell'Arti

 2012  giugno 18 Lunedì calendario
La storia raccontata da Giorgio Dell'Arti 

Federico Unnia, ItaliaOggi 18/6/2012; Ilaria Fusco, La Repubblica 18/6/2012, 18 giugno 2012

CLOUD COMPUTING

Proteggere i dati per non cadere dalle nuvole. Il decalogo del Garante dell’Autorità sulla privacy [Leggere anche "Appunti" – Allegato pdf con il decalogo]

UN CONTRATTO PER IL CLOUD COMPUTING–
Uno strumento in continua crescita ma che pone alcuni problemi sia d’inquadramento giuridico sia contrattuale. Senza parlare poi dei temi della responsabilità per la gestione delle informazioni e, soprattutto delle diverse implicazioni in termini di privacy.

Sono questi alcuni dei problemi che gli esperti del settore intravedono nel cloud computing, mercato che in Italia vale tra i 271 e i 441 milioni di euro e che nei prossimi 3 anni crescerà ancora.

Inevitabile che anche il mondo del diritto e dei professionisti legali s’interroghi su quali problemi giuridici possano sorgere da questo autentico boom.

Ovvero la migrazione di tutti i dati ed applicativi dal proprio pc ad un server su internet.

Se ne è discusso nei giorni scorsi a Milano in occasione di un convegno promosso dall’Università Bocconi in collaborazione con lo Studio Graziadei e Maschietto Maggiore Studio legale. Un’occasione per passare in rassegna diverse questioni aperte.

In primo luogo, l’inquadramento giuridico del fenomeno. «Il fenomeno del cloud computing ha carattere prismatico, nel senso che esso, forse più di quanto non accada per altre realtà economiche, presenta numerosi profili di rilievo giuridico, e tutti ad uno stesso livello di importanza o criticità» spiega Massimo Maggiore, partner di Maschietto Maggiore.

Si pensi ai profili di tutela dei dati personali e delle informazioni riservate, cruciale per il cloud visto che il suo uso comporta una delocalizzazione di tali dati che normalmente risiedono sull’hardware del titolare su server remoti; ai profili di giurisdizione e identificazione della legge applicabile, acuiti dalla transnazionalità dei servizi cloud, ai profili di tutela della proprietà intellettuale a quelli di qualificazione giuridica del contratto nonché in ultimo ai profili di concorrenza, atteso il fatto che i servizi cloud potrebbero qualificarsi come una sorta di monopoli naturali.

«Questa complessità è figlia delle caratteristiche strutturali del cloud, che è una modalità di erogazione di servizi integralmente basata sulla rete, in cui il rapporto tra client (ossia il computer dell’utente) e infrastruttura esterna (ossia tutto quello che è al di fuori del controllo dell’utente) si inverte secondo un moto che potremmo definire centripeto», aggiunge Maggiore.

Una delle questioni più insidiose è certamente la tutela della privacy. Secondo Pasquale Di Gennaro, funzionario del dipartimento risorse tecnologiche del Garante per la protezione dei dati personali, «il problema consiste nel riconoscere le responsabilità legali e di sicurezza tecnica dei vari attori che concorrono alla realizzazione di nuove e sofisticate soluzioni applicative, e cioè di quei servizi che siano il risultato di catene di trasformazione dei servizi cloud. Queste responsabilità vanno inquadrate nell’attuale framework giuridico, non più del tutto adeguato a una realtà di mercato che sta maturando modelli di servizio in grado di modificare significativamente il modo in cui le aziende e i consumatori utilizzano la rete e il web.

Nella speranza che il lavoro sul nuovo regolamento per la data protection in fase di discussione nell’ambito dell’Unione Europea fornisca adeguate e tempestive risposte alle nuove sfide».

Altro tema, la relazione nel trasferimento delle informazioni dalla postazione del singolo utente al sistema remoto del fornitore di servizi. Secondo Aura Bertoni, docente di diritto per il marketing all’Università Bocconi, «l’affermazione di questa nuova modalità di circolazione dei flussi informativi amplifica alcune difficoltà derivanti dalla dimensione transnazionale della Rete ma determina altresì peculiari problematiche giuridiche proprio a causa della caratteristica architettura dei servizi cloud.

Questi aspetti critici sono evidenti in occasione del trasferimento transfrontaliero di dati di natura personale».

Come si coniugano e tutelano le privative in materia di proprietà industriale? Secondo Maria Lillà Montagnani docente di Advanced intellectual property law all’Università Bocconi, «il diritto d’autore già non era attrezzato per la distribuzione online di opere dell’ingegno, tanto meno lo è quando questo fenomeno si trasferisce sulla nuvola, la qual cosa modifica profondamente le modalità con cui gli utenti fruiscono dei contenuti, si consideri ad esempio la differenza tra iTunes prima maniera e i c.d. music digital locker. Ciò non vuol certo dire che il diritto d’autore in Rete debba soccombere e lasciare senza protezione le opere dell’ingegno e senza remunerazione i titolari dei diritti, vuol dire piuttosto che la capacità inclusiva del diritto d’autore deve essere esaltata, a discapito di quella esclusiva, ovvero che il diritto d’autore si deve trasformare da diritto a negare l’autorizzazione alla circolazione dei contenuti protetti a diritto ad essere remunerati per la circolazione delle opere dell’ingegno».

Ma chi risponde, e con quali sanzioni, dell’uso scorretto di dati ed informazioni personali nel cloud computing? Secondo Di Gennaro «l’attuale legge sulla protezione dati prevede che le responsabilità ricadano, in prima battuta, sul soggetto da cui dipendono le decisioni in merito alle finalità e alle modalità di utilizzo dei dati personali, definito appunto il “titolare” del trattamento. Il titolare, che può coincidere ad esempio con l’azienda o la pubblica amministrazione che trasferisce del tutto o in parte il trattamento nella cloud di un fornitore di servizi, dovrà sempre prestare molta attenzione a come saranno conservati i dati. A tal proposito, è utile ricordare l’importanza attribuita dalle norme all’adozione di misure di sicurezza che siano minime o comunque idonee a garantire la riservatezza e la corretta conservazione dei dati personali. Misure dalla cui inosservanza possono scaturire illeciti rilevanti sia sul profilo amministrativo che, in alcuni casi, sul profilo penale».

Infine, il tema della natura di questo contratto. Secondo Maggiore «il contratto di servizi cloud computing è stato fino ad oggi oggetto di scarsa considerazione dal punto di vista della qualificazione giuridica. Il contratto di servizi cloud, in particolare il Software as a service e il Platform as a service, è riconducibile alla categoria dei contratti di concessione d’uso o di godimento di cosa altrui (come licenza software, locazione di beni mobili) e non invece a quelli di appalto di servizi, come invece sembra essere opinione dei pochi che fino ad oggi si sono pronunciati sul tema. La struttura di quest’ultimo modello contrattuale secondo il codice civile italiano è particolarmente rigida e fondata sul presupposto che il servizio sia sviluppato e reso ad hoc per il committente, mentre il cloud è una soluzione business ready o off-the shel, che in realtà non richiede alcun momento di interazione tra cliente e provider».

Ci sono stati e su quali temi, cause che hanno riguardato il cloud computing in Italia? Secondo Giuseppe Rizzo, partner di Graziadei Studio Legale, ricordato come non esista una casistica neanche su scala europea, non è difficile tuttavia prevedere le aree critiche entro cui gli interessi delle parti potrebbero in futuro collidere. «Il rispetto dei Sla (Service Level Agreement) contrattuali, dato che non sempre emerge chiaramente dai contratti quale sia il grado di vincolatività per il Csp (Cloud Service Provider) nei confronti dell’utente ed il monitoraggio è spesso molto complesso; poi le ampie clausole di esonero o limitazione della responsabilità del Csp per violazioni della riservatezza o della integrità dei dati; infine possibili casi in cui incorra l’utente e che rendano a quest’ultimo impossibile o antieconomico migrare da un Csp all’altro». Come dire, occorre ancora molta chiarezza.

***

IN UNA GUIDA PUBBLICATA DAGLI UFFICI DEL GARANTE TUTTI GLI ACCORGIMENTI E I CONSIGLI PER EVITARE DI VEDER VIOLATI I PROPRI DATI NELLA NUOVA REALTÀ DELL’INFORMATICA


Il termine cloud dilaga sempre più, associandosi alla vasta area di prodotti e servizi Ict. Tutte le società informatiche si sono attrezzate per offrire servizi gestiti tramite le “nuvole”. Ciò che ancora non è chiaro però è cosa si trova dentro la nuvola, quali sono i rischi, i vantaggi, le modalità di utilizzo sicuro. A chiarire le idee interviene il Garante della privacy pubblicando la guida “Cloud computing, proteggere i dati per non cadere dalle nuvole” disponibile sul portale garanteprivacy.it e in formato cartaceo per chi ne fa richiesta. L’obiettivo della tecnologia cloudè la gestione delle attività con efficienza e risparmio: la velocità d’espansione del fenomeno, si legge nella guida, non ha dato però il tempo di intervenire su aspetti economici e giuridici legati alla protezione dei dati, che rischiano di lasciare aziende e Pa senza tutela. L’Autorità ha strutturato la guida in modo che i fruitori del servizio e i potenziali tali, persone o organizzazioni, comprendano la tecnologia che vogliono usare e siano in grado di fare scelte consapevoli. C’è chi si trova inserito in un sistema cloud senza saperlo: servizi di posta elettronica, di elaborazione testi, di geolocalizzazione, nonché gran parte delle app per smartphone sono gestiti con questo sistema. Utili le distinzioni tra private cloud (infrastruttura privata interna alle organizzazioni); public cloud (erogazione di servizi condivisa); hybrid cloud (che combina le caratteristiche
dei due modelli). La triade di nuvole è proponibile secondo le esigenze del cliente con tre modelli di servizio: IaaS (fornitura di infrastruttura “a consumo”); SaaS (software erogato come servizio) e Paas (piattaforma software fornita via web). La direttiva 136/2009 appena recepita, prevede l’obbligo per le società di tlc e i provider di notificare alle autorità nazionali le violazioni di sicurezza sui dati trattati. Il regolamento generale proposto dalla Commissione Europea uniformerà la disciplina interna all’Ue modificando parti del codice della privacy italiano, ed obbligando alla notifica sulle violazioni di sicurezza tutti i titolari del trattamento dati (banche, asl, enti locali, assicurazioni). In attesa di una regolamentazione più uniforme e per i rapporti extra-Ue è possibile evitare i rischi di un utilizzo inconsapevole del cloud seguendo il decalogo messo a punto dal Garante: si va dall’affidabilità del fornitore quanto a protezione ai piani d’emergenza in caso di disconnessione temporanea, dalle procedure di recupero dati alla portabilità dei dati stessi. Il Garante uscente della Privacy, Francesco Pizzetti: