Di cloud computing si parla ormai da qualche anno, e come testimoniano le principali analisi a livello nazionale e internazionale queste soluzioni iniziano ad avere una notevole diffusione nelle aziende, anche in Italia. Restano però aperte molte questioni, per esempio riguardo alla gestione e collocazione fisica dei dati sensibili, e alla conformità alle normative sulla privacy dei Paesi dell’Unione Europea. In quest’intervista Massimiliano Pappalardo, avvocato e socio dello Studio Legale D&P, specialista di Diritto della Proprietà Intellettuale, di privacy e di telecomunicazioni, e Stefano Tagliabue, CIPP/E, Privacy Department di Telecom Italia (che parla a titolo personale, e non per rappresentare posizioni ufficiali della azienda) fanno il punto sui possibili sviluppi a breve termine in quest’ambito.
In uno scenario che presenta ancora profili di incertezza, specie sotto il profilo della gestione dei dati personali, come si annuncia questo 2013 per il cloud computing?
Massimiliano Pappalardo: il 2013 può finalmente essere l’anno della svolta per lo sviluppo del cloud computing in ambito europeo. Appare infatti chiaro lo sforzo di creare le condizioni di base per consentire a soggetti pubblici e privati di poter beneficiare dei vantaggi competitivi che una soluzione cloud può garantire, senza essere esposti ai rilevanti rischi che un quadro normativo ancora incerto e strumenti contrattuali inadeguati potrebbero comportare.
Stefano Tagliabue: a livello mondiale, IDC prevede che il mercato del cloud computing raggiunga il valore di quasi 40 miliardi di euro nel 2014, con una crescita media in Europa occidentale nel periodo 2010-2014 di oltre il 36% annuo, contro il 26% circa a livello mondiale. Sul mercato italiano le piccole e medie imprese sono generalmente più interessate a soluzioni del tipo SaaS (Software as a Service), perché non hanno necessità di complesse personalizzazioni dei software e spesso non hanno le competenze necessarie per sviluppare applicazioni proprietarie. La componente dei servizi infrastrutturali è invece dominante nel mercato per le grandi aziende, che in genere hanno necessità di applicazioni personalizzate e possiedono rilevanti competenze tecniche.
In breve, il cloud computing è molto attraente per le aziende che desiderano una rapida erogazione e un’alta efficienza dai propri servizi IT, ma come noto non offre solo vantaggi, ma pone anche nuove sfide sotto il profilo della sicurezza e della privacy dei dati personali. Ad esempio, per la loro stessa natura i servizi cloud non sono limitati dai confini degli Stati e delle legislature, ma anzi incrementano i flussi internazionali di dati. La normativa europea presenta vincoli particolarmente stringenti che mirano a tutelare maggiormente i cittadini comunitari, ma d’altro canto rischiano di penalizzare le imprese europee rispetto ad altre che operano in ambiti meno regolamentati. Nel medio periodo, questi squilibri potrebbero causare lo spostamento di quote significative di mercato verso fornitori stabiliti in Stati extra-UE, nonostante i rischi di minori tutele per i dati dei cittadini europei.
Gli operatori globali utilizzano data center situati in svariati Paesi anche extraeuropei: come possono risolvere i problemi di compliance con la normativa europea in materia di data protection?
Pappalardo: le problematiche normative connesse alla localizzazione dei dati gestiti in cloud e, in particolare, al trasferimento di dati personali verso Paesi Extra UE, potrebbero essere superate con l’adozione delle cosiddette Binding Corporate Rules (BCR) da parte dei fornitori di servizi cloud. Le BCR, già da anni utilizzate nell’ambito dei trasferimenti di dati infragruppo, sono infatti un insieme di regole interne di condotta soggette al controllo preventivo di un’Authority nazionale, le quali – una volta approvate – vengono ritenute idonee a garantire un livello di protezione dei dati personali adeguato rispetto agli standard europei.
Solo con un recente provvedimento del 21 dicembre 2012, le Autorità Garanti dei Paesi UE, riunite nel Gruppo ex Articolo 29 , hanno deciso l’entrata in vigore dal 1 gennaio 2013 delle BCR, quale strumento facoltativo, anche in favore dei soggetti che operano quali responsabili esterni del trattamento, ivi inclusi quindi i fornitori di servizi cloud. Questi ultimi hanno quindi ora a disposizione un importante strumento per ovviare ai problemi di compliance connessi al trasferimento dei dati personali fuori dal territorio dell’Unione Europea.
Sempre con riguardo alla compliance sotto il profilo privacy vi sono differenze di rilievo tra servizi cloud rivolti alle aziende e ai consumatori?
Tagliabue: imprese e pubblica amministrazione utilizzano il cloud computing per trattare dati di cui sono titolari ai sensi della norma sulla privacy, relativi per esempio a clienti, dipendenti ecc. Perciò gli interventi normativi in quest’ambito dovrebbero rivolgersi principalmente ai clienti dei servizi cloud. Ciò avrebbe il vantaggio di imporre indirettamente misure adeguate per la protezione dei dati, indipendentemente dal fornitore e dal Paese ove opera, perché tali obblighi sarebbero trasferiti dal cliente al fornitore attraverso accordi di servizio.
Lo scenario è diverso per i servizi cloud rivolti ai clienti consumer, che riguardano, per esempio, la conservazione e condivisione di file multimediali, spesso offrendo anche servizi di social networking. Qui le questioni da risolvere sono molte. Eccone alcune: come garantire la tutela dei minori, senza limitare il loro accesso ai servizi cloud e alle loro funzioni di social networking? Un utente ha il diritto di trattare dati relativi a terzi, per esempio immagini di parenti e amici? È veramente possibile assicurare il diritto all’oblio, quando un utente decide di interrompere l’uso del servizio? La possibile profilazione dei clienti per finalità commerciali mirate pone inoltre questioni significative su come bilanciare il diritto dell’individuo di controllare i dati che lo riguardano, e i possibili vantaggi derivanti dal ricevere pubblicità correlata ai propri interessi e preferenze.
Da queste considerazioni emerge che, nel caso dei servizi cloud per il mercato consumer, il quadro regolatorio dovrebbe considerare il cliente come il soggetto meritevole della tutela della legge e non come il destinatario degli obblighi normativi. Di conseguenza, la legge dovrebbe prevedere un livello minimo di regole valide per tutti i fornitori, indipendentemente dalla loro nazionalità o dalla tecnologia impiegata.
Considerate anche queste complessità, ci sono elementi che fanno pensare che questo 2013 possa essere l’anno della svolta per il cloud, specie in ambito comunitario?
Pappalardo: una strategia comune in materia di cloud computing è stata posta dalla Commissione Europea al centro dell’Agenda Digitale europea. La strategia sulla nuvola informatica annunciata lo scorso settembre prevede, infatti, tra l’altro le seguenti azioni: elaborare entro il 2013 gli standard tecnici volti a favorire l’interoperabilità e portabilità dei dati; sostenere i sistemi di certificazione a livello europeo destinati a fornitori affidabili di servizi cloud; elaborare clausole contrattuali-tipo che siano “sicure ed eque” per i contratti relativi ai servizi cloud; creare una “partnership europea per la nuvola informatica” che coinvolga Stati membri e industria per orientare il mercato europeo del cloud computing e incrementare la competitività dei provider europei. Un altro aspetto di notevole importanza per lo sviluppo del cloud è il fatto che iniziano ad essere disponibili prodotti assicurativi specificamente creati per la copertura dei rischi informatici connessi all’adozione di questo tipo di servizi.