Temi

Shape 5 Live Search

logo

Cloud è un neologismo che indica qualsiasi servizio di elaborazione realizzato direttamente nella rete Internet. In sostanza, invece di trattare i dati sul nostro computer (aziendale o di casa), i dati vengono inviati ad un fornitore di servizi esterno che opera l'elaborazione direttamente sui suoi server. In tal modo l'azienda può avere contemporaneamente un risparmio di costi e una maggiore potenza di elaborazione. 

Numerosi servizi sono offerti tramite elaborazione in cloud, non solo le mail, ma anche i servizi di storage (backup online), di contabilità, anagrafe, prenotazione, word processing e così via. L'adozione di tali tecnologie può, però, comportare rischi per i dati personali che sono inviati a terze parti: 
- i dati non risiedono più sui server del titolare ma sono allocati su quelli del fornitore di cloud, i quali server potrebbero anche trovarsi fisicamente al di fuori dello spazio SEE; 
- l'infrastruttura è condivisa con diversi committenti per cui va garantita la separazione almeno logica dei dati e la sicurezza degli stessi; 
- l'utilizzo avviene via Internet, per cui la velocità di connessione impatta sulla qualità del servizio, inoltre entrano in gioco le questione della sicurezza delle comunicazioni. 

 

Cloud computing

Il cloud potrebbe essere un'infrastruttura dedicata alla singola azienda (private cloud), ma più spesso è un'infrastruttura fornita da un'azienda terza a una serie di soggetti doversi (public cloud). Il cloud computing rende possibile l'utilizzazione di servizi di vario tipo semplicemente collegandosi a server remoti gestiti dal cloud provider, senza quindi caricare le risorse sul proprio sisema informatico. L'unica risorsa necessaria è la connessione alla rete in modo da potersi collegare ai server del cloud provider. In quest'ottica è fondamentale il contratto di fruizione del servizio, non essendo più l'utente il proprietario della risorsa (cioè il software).

Si distinguono tre tipi: 
- SaaS (Software as a Service): fornisce l'accesso al software applicativo (software on demand), senza necessità di installazione, confugurazione o altro (esempi: Google Apps, Microsoft Office 365); 
- PaaS (Platform as a Service): fornisce piattaforme di eleborazione con sistema operativo, ambiente di esecuzione del linguaggio di programmazione, database, server web, ecc... (esempi: AWS Elastic Beanstalk, Google App Engine); 
- IaaS (Infrastructure as a Service): è fornita l'infrastruttura informatica, le macchine fisiche o virtuali e altre risorse quali firewall, sistemi di bilanciamento del carico, indirizzi IP, ecc... (esempi: Amazon EC2, Windows Azure). 

 

Contratto di cloud computing

Il contratto di cloud computing non ha una struttura propria ma ricorre a diversi schemi negoziali tipici (contratto misto), spesso l'appalto di servizi e il contratto di licenza. L'appalto di servizi consiste nella prestazione di un'attività che si realizza nell'obbligo di fornire un servizio a fronte di un corrispettivo, quindi un obbligo di facere. Ad esempio potrebbe essere la fornitura di memoria di massa (hosting) sui server del provider e di altri servizi collegati. Ovviamente l'obbligazione assunta dal provider dovrà essere inevitabilmente di risultato. Occorre però dire che, a differenza dell'appalto, il contratto di cloud computing non riguarda un servizio realizzato ad hoc per il cliente. 
Il contratto di licenza specifica, invece, le modalità di utilizzazione del servizio da parte dell'utente (contratto d'uso), indicando eventuali modalità di ridistribuzione e imponendo dei vincoli. Ovviamente è necessario che il cloud provider assicuri la continuità della prestazione. 

Nella redazione dei contratti di cloud è frequente l'inserimento di ulteriori clausole, come l'esternalizzazione (outsourcing) di servizi, specialmente per le aziende. Anche l'outsourcing è una forma di appalto di servizi qualificato con il quale vengono esternalizzate attività produttive dell'azienda, quindi non solo strutture ma anche risorse umane.

I contratti di cloud computing sono costituiti da vari documenti:
- le condizioni generali del servizio (Terms of service)
- Service Levev Agreement (SLA); 
- la policy relativa al comportamento delle parti (acceptable use policy);
- il contratto di elaborazione dati (DPA), che contiene le clausole riguardanti la protezione dei dati personali. 

I contenuti concernono i profili generali del contratto, cioè durata, corrispettivo, giurisdizione, e i profili informativi, cioè la gestione delle informazioni immesse nel cloud. 

 

Soggetti del trattamento

Il fornitore di servizi cloud si pone quale responsabile esterno del trattamento rispetto all'azienda titolare del trattamento. In tal senso dovrà essere stipulato un contratto di elaborazione dati (Data Protection Agreement), e il titolare risponderà delle scelte dei responsabili (ad esempio se il fornitore di cloud non è conforme alle norme). Esistono anche specifici obblighi di trasparenza relativamente ai soggetti che offrono servizi di elaborazione al titolare. Di contro il fornitore di servizi cloud ha specifici obblighi in materia di misure di sicurezza e organizzative per tutelare i dati personali elaborati per conto del titolare. 

Il fornitore di cloud, quale responsabile, risponde per i danni occorsi ad un interessato solo in caso di non corretto adempimento degli obblighi previsti dalle norme in capo al responsabile stesso, oppure se ha agito in modo difforme rispetto alla istruzioni del titolare del trattamento. Nel caso in cui ne risponda, il fornitore di cloud risponde in solido col titolare per l'intero danno (potendo però avere eventuale diritto di regresso per la quota). 

In alcuni casi il fornitore deve essere, però, più correttamente inquadrato come titolare del trattamento, se agisce anche in base a finalità proprie. 

Il fornitore, inoltre, in genere si serve di una serie di sub-responsabili del trattamento, e di autorizzati, tutti soggetti che accedono ai dati personali. E' ovvio che il fornitore deve osservare la massima trasparenza sui soggetti della catena del trattamento che accedono ai dati, indicando a quali soggetti (almeno per categorie) i dati sono comunicati. 

 

Trasferimento di dati

Generalmente i cloud provider hanno i server all'estero, per cui occorre attentamente analizzare le problematiche relative al trasferimento dei dati. La regolamentazione in materia è dettata dal regolamento europeo GDPR (Capo V). In particolare per gli Stati Uniti, dove sono stabilite le principali aziende del web, è in vigore attualmente il Privacy Shield, a garantire la possibilità di trasferire i dati verso quel paese. 

Il fornitore di servizi cloud deve osservare la massima trasparenza in materia di luoghi dove il trattamento viene effettivamente posto in essere. In considerazione del fatto che i grandi fornitori di tali servizi gestiscono in maniera dinamica i dati, per cui possono essere spostati con facilità da un server all'altro, casomai in regioni completamente differenti, essi offrono aree regionali nelle quali si assicura permangono i dati dell'utente. 

 

Giurisdizione

Le norme europee (regolamento CE n. 593/2008, sostitutivo della Convenzione di Roma del 19 giugno 1980, e Convenzione di Bruxelles) stabiliscono l'applicabilità al contratto della legge dello Stato in cui risiede il consumatore. Inoltre il legislatore italiano esclude che il consumatore possa essere privato della tutela minima richiesta dal Codice del Consumo (art. 143: 1. I diritti attribuiti al consumatore dal codice sono irrinunciabili. E' nulla ogni pattuizione in contrasto con le disposizioni del codice. 2. Ove le parti abbiano scelto di applicare al contratto una legislazione diversa da quella italiana, al consumatore devono comunque essere riconosciute le condizioni minime di tutela previste dal codice).

Frequenti, però, sono le clausole per limitare la responsabilità del cloud provider, principalmente quelle derogatorie del foro competente. Ovviamente spesso si tratta di clausole vessatorie e come tali vanno trattate. 

 

Misure di sicurezza

Un aspetto fondamentale riguarda le misure di sicurezza implementate dal fornitore di cloud computing. Sia delle strutture fisiche (locali) che dell'architettura hardware e software. 

Un'azienda che ha intenzione di utilizzare un servizio di cloud dovrà necessariamente mappare i dati che saranno elaborati esternamente, per stabilire il livello di tutela relativo alle varie categorie di dati. E' ovvio che dati a trattamento speciale richiedono una sicurezza decisamente maggiore rispetto ai normali dati personali. 
In tale prospettiva sarà, quindi, necessario ottenere le seguenti informazioni dal provider di cloud: 
- l'eventuale utilizzo di tecnologie di archiviazione con separazione (fisica o logica) dei dati tra i vari "clienti" del provider; 
- l'eventuale utilizzo di sistemi di etichettatura per impedire che i dati vengano replicati in determinati paesi o regioni; 
- l'eventuale utilizzo di sistemi di cifratura dei dati e di gestione delle policy di accesso, con registrazione degli accessi tramite log; 
- l'eventuale utilizzo di sistemi di comunicazione sicura (SSL/TLS) per l'accesso ai dati via browser;