Implicazioni giuridiche in materia di cloud computing
Definito da poco meno di due anni il quadro normativo, che vede il provider come responsabile del trattamento dei dati, rimangono aperte delicate questioni pratiche cui si connettono non trascurabili responsabilità
17/04/2014
Volendo sintetizzare al massimo, il cloud sta tutto dentro a una formula semplice: trasformare un bene informatico in un servizio. Niente costi fissi per hardware o licenze software, né costi ulteriori di manutenzione, aggiornamento, sicurezza: ciò che serve viene fornito dal cloud provider, in cambio di un canone. Il modello non è certo nuovo, ma nuove sono le modalità e alcune caratteristiche, che segnano un'evoluzione rispetto a schemi più tradizionali (IT outsourcing, Asp, hosting, ecc.).
Alcuni termini chiave: virtualizzazione estrema; scalabilità in base alle effettive esigenze di utilizzo e di crescita aziendale; ubiquità, ossia indipendenza dal luogo fisico, con possibilità di gestione di gruppi di lavoro distribuito e uffici virtuali; accessibilità con qualsiasi dispositivo, dunque forte connotazione in termini di mobilità; sincronizzazione.
Di qui la crescita costante del s
ettore e la ricchezza di offerte cloud.
E dal punto di vista giuridico? Dobbiamo limitarci a brevissimi cenni in materia di protezione dei dati personali.
Definito da poco meno di due anni il quadro giuridico applicabile, con l'allocazione del cloud provider nel ruolo di responsabile di trattamento (così i garanti privacy europei e il garante italiano), rimangono aperte delicate questioni pratiche cui si connettono non trascurabili responsabilità giuridiche.
Valutazione delle clausole contrattuali
Prima fra tutte, quella relativa al possibile transito dei dati personali anche in territorio extra-Ue/See o in Paesi con inadeguato livello di protezione. Ciò è tanto più rilevante quando i dati trattati siano dati sensibili o supersensibili (es. dati sanitari), come è frequente nel set tore assicurativo. In tali ultimi casi è di regola necessario il consenso scritto dell'interessato al trasferimento. In alternativa, il cloud provider può basare l'offerta su schemi piuttosto complessi, quali il ricorso alle Bcr (Binding corporate rule) o alle cosidette Model clause della Commissione Europea. La stessa allocazione del cloud provider nel ruolo di responsabile del trattamento postula l'adozione di clausole contrattuali, che richiedono accurato vaglio. Grande attenzione va poi posta alle garanzie in termini di continuità operativa, disaster recovery, portabilità dei dati, ai parametri dichiarati negli Sla (Service level agreement, o Pla, in ambito privacy), alla giurisdizione, legge e foro applicabili.
L'attenzione verso i servizi on line
Concludendo, il ricorso al cloud non deve spaventare: è la tecnologia del momento, semplifica l'organizzazione e abbatte i costi, tuttavia gli schemi contrattuali proposti necessitano di una grande attenzione e vanno accuratamente compresi e valutati. Sono raccomandabili verifiche preliminari e un dettagliato esame sia della documentazione sia dei servizi online eventualmente offerti (es. livello di trasparenza dei controlli effettuabili dal cliente, eventuali mutamenti in itinere delle risorse accessibili online). Potrebbe essere opportuno valutare anche strutture cloud ibride e selezionare le tipologie di dati da migrare al cloud, ove ciò sia agevole.
Luciana Grieco, Enrico Pelino
Alcuni termini chiave: virtualizzazione estrema; scalabilità in base alle effettive esigenze di utilizzo e di crescita aziendale; ubiquità, ossia indipendenza dal luogo fisico, con possibilità di gestione di gruppi di lavoro distribuito e uffici virtuali; accessibilità con qualsiasi dispositivo, dunque forte connotazione in termini di mobilità; sincronizzazione.
Di qui la crescita costante del s
ettore e la ricchezza di offerte cloud.
E dal punto di vista giuridico? Dobbiamo limitarci a brevissimi cenni in materia di protezione dei dati personali.
Definito da poco meno di due anni il quadro giuridico applicabile, con l'allocazione del cloud provider nel ruolo di responsabile di trattamento (così i garanti privacy europei e il garante italiano), rimangono aperte delicate questioni pratiche cui si connettono non trascurabili responsabilità giuridiche.
Valutazione delle clausole contrattuali
Prima fra tutte, quella relativa al possibile transito dei dati personali anche in territorio extra-Ue/See o in Paesi con inadeguato livello di protezione. Ciò è tanto più rilevante quando i dati trattati siano dati sensibili o supersensibili (es. dati sanitari), come è frequente nel set tore assicurativo. In tali ultimi casi è di regola necessario il consenso scritto dell'interessato al trasferimento. In alternativa, il cloud provider può basare l'offerta su schemi piuttosto complessi, quali il ricorso alle Bcr (Binding corporate rule) o alle cosidette Model clause della Commissione Europea. La stessa allocazione del cloud provider nel ruolo di responsabile del trattamento postula l'adozione di clausole contrattuali, che richiedono accurato vaglio. Grande attenzione va poi posta alle garanzie in termini di continuità operativa, disaster recovery, portabilità dei dati, ai parametri dichiarati negli Sla (Service level agreement, o Pla, in ambito privacy), alla giurisdizione, legge e foro applicabili.
L'attenzione verso i servizi on line
Concludendo, il ricorso al cloud non deve spaventare: è la tecnologia del momento, semplifica l'organizzazione e abbatte i costi, tuttavia gli schemi contrattuali proposti necessitano di una grande attenzione e vanno accuratamente compresi e valutati. Sono raccomandabili verifiche preliminari e un dettagliato esame sia della documentazione sia dei servizi online eventualmente offerti (es. livello di trasparenza dei controlli effettuabili dal cliente, eventuali mutamenti in itinere delle risorse accessibili online). Potrebbe essere opportuno valutare anche strutture cloud ibride e selezionare le tipologie di dati da migrare al cloud, ove ciò sia agevole.
Luciana Grieco, Enrico Pelino
© RIPRODUZIONE RISERVATA
👥
