Linee guida per orientarsi tra i contratti per i servizi cloud

Abbiamo parlato più volte in questa rubrica di alcuni aspetti specifici dei servizi cloud sviluppati dalle reti della ricerca che li distinguono dall’offerta commerciale, come la presenza dell’infrastruttura su territorio nazionale, l’integrazione con la rete accademica sotto controllo della rete della ricerca e la flessibilità e l’impegno dedicato nel supporto agli utenti.

Ora vediamo come queste caratteristiche sono d’importanza vitale nella stesura dei contratti di fornitura di servizi cloud. Ne parliamo con l’avvocato Fulvio Sarzana, specialista in Diritto Amministrativo, Civile e Penale dell’informatica e delle telecomunicazioni dei media.

Fulvio Sarzana
Studio Legale Sarzana&Associati
Esperto in Internet Law
Questo indirizzo email è protetto dagli spambots. E' necessario abilitare JavaScript per vederlo.

Quali sono gli elementi critici in un contratto di fornitura di servizi cloud?

Naturalmente bisogna leggere attentamente tutto il contratto. Gli elementi fondamentali da controllare sono la disponibilità, l’accessibilità, la sicurezza; e infine la responsabilità, ovvero chi risponde se c’è un problema e in che modo viene effettuato il disaster recovery. Ma, soprattutto, bisogna porre l’attenzione sulla gestione dei dati e la privacy. Infatti, molti servizi che possono sembrare gratuiti, o molto economici, in realtà non lo sono, in quanto vengono pagati con i dati personali. Come osserva Jeremy Rifkin, i dati sono la moneta del futuro, e per i grandi provider commerciali lo sono già ora. Queste considerazioni sono importanti in particolare per enti come una pubblica amministrazione che gestisce dati di terzi; molte PA non si pongono il problema dei dati personali, ma dovrebbero.

Come possono essere usati i dati personali personali? Possono generare ricchezza?

Si pensi al caso di un Comune che vuole digitalizzare i dati della propria anagrafe, ma gli mancano i soldi. Il Comune trova un accordo con delle società americane che gestiscono dati genealogici e li rendono disponibili online su piattaforme estremamente popolari; essenzialmente dei social network genealogici. Il comune in questione quindi cede i dati senza preoccuparsi di capire come verranno utilizzati, ma essendo questi dati disponibili a chiunque a pagamento, le possibilità di utilizzo sono illimitate. Oppure, si pensi ai dati sulla spesa sanitaria di una certa città, ceduti a una azienda farmaceutica per il loro piano di marketing. O ancora il caso del cosiddetto fappening, in cui le foto private di vari attori di Hollywood, messe sugli account iCloud personali, sono state rese pubbliche da un hacker. Poi c’è ovviamente la questione dello spionaggio generalizzato condotto dai servizi di sicurezza come la National Security Agency (NSA) statunitense, il cui programma di sorveglianza PRISM ha permesso di ottenere dati dei cittadini di tutto il mondo raccolti dalle grandi compagnie americane come Google e Facebook. Infine, c’è la questione della proprietà intellettuale; soprattutto nelle università, il tema dei brevetti e di altri tipi di proprietà intellettuale è molto attraente per il mondo industriale.

Secondo la legge italiana, chi è responsabile per la tutela dei dati personali?

Se un’università si avvale dei servizi di un fornitore cloud, essa rimane comunque titolare del trattamento dei dati e deve rispondere di eventuali compromissioni; il responsabile per questa funzione all’interno dell’ente non può delegare la responsabilità per il trattamento dei dati. In particolare, il fornitore commerciale tipicamente non si prende questa responsabilità. È importante notare che le norme italiane ed europee sui dati personali dettano che se i dati sono trattati all’estero, in paesi terzi rispetto all’UE, il titolare si deve accertare che in quel Paese ci siano garanzie equivalenti a quelle del nostro paese. Ora, questo è impossibile che accada perché in Italia abbiamo la disciplina più severa nel mondo. Il principio del trattamento dei dati personali è uno degli elementi di maggiore tensione tra l’America e gli Stati europei, visto anche quello che è accaduto con la NSA. Negli USA la sicurezza, si pensi alle leggi antiterrorismo, prevale sulla privacy, mentre in Europa la sensibilità è molto diversa. È quindi di vitale importanza assicurarsi nel contratto di fornitura di servizi cloud che i propri dati vengano mantenuti sul territorio nazionale, o perlomeno europeo.

Quindi se il fornitore accetta queste condizioni possiamo restare tranquilli?

Relativamente. Ci sono almeno due ulteriori accorgimenti da considerare. Il primo è che può esserci un momento in futuro in cui il fornitore viene acquisito da un altro ente commerciale, e il nuovo fornitore potrebbe non mantenere intatte le stesse garanzie ottenute dal primo. Questo è uno dei problemi più frequenti che si riscontrano in questo ambito. Quindi è opportuno che all’interno del contratto originario si segnali che qualsiasi tipo di fusione o scissione del fornitore comporterà automaticamente il passaggio in capo alla nuova entità del contratto che si sta stipulando; il nuovo ente deve garantire il medesimo livello di servizio – incluso il trattamento dei dati personali – che è stato stipulato nel momento in cui si è firmato il contratto iniziale.

Il secondo aspetto da tenere presente è che in un sistema cloud, è normale che i dati vengano trasferiti tra due o più località; in questi casi, pur mantenendo tutte le località coinvolte su territorio nazionale, è altrettanto normale che il percorso lungo il quale avvengono i trasferimenti possa uscire dall’Italia; in questo caso i dati possono passare per un territorio in cui certe protezioni non vengono rispettate e quindi possono essere vulnerabili. Per evitare questo tipo di evento, un fornitore cloud dovrebbe avere il controllo della rete lungo la quale avvengono questi trasferimenti, ma tipicamente questo non è possibile. In un’economia sempre più data-driven sono praticamente palpabili le crescenti problematiche legate alla protezione dei dati. I grandi provider commerciali come Google si stanno attivando per fornire maggiori garanzie da questo punto di vista, ma alla fine della giornata il loro modello di business è basato sulla vendita di dati. In questo contesto non è un caso che le NREN stiano dando risposta a una domanda sempre crescente per servizi veramente sicuri, erogati lungo una rete interamente controllata.

Maggiori informazioni: www.fulviosarzana.it