Cloud computing: considerazioni ed altri aspetti (legali)

1093174_47022534 Da qualche tempo si fa un gran parlare di cloud computing, soprattutto oltreoceano, dove le tendenze in materia di information technology, generalmente, si delineano e diffondono per prime.

Il termine fa riferimento ad uno sviluppo ed utilizzo delle tecnologie dell'informazione basato su Internet e, da qui, la metafora dell'immagine della nuvola (cloud) impiegata nei diagrammi per indicare, appunto, la rete.

Non si tratta, per la verità, di un idea innovativa ma di una rivisitazione di concetti, forse un pò datati, tecnologicamente parlando, come, ad esempio, quelli del network computing, degli application service provider, del software-as-a-service, ecc...

I vantaggi del cloud computing

Al di là delle immancabili discussioni che precedono o accompagnano spesso l'adozione di una determinata tecnologia, questo modello presenta delle caratteristiche che lo rendono appetibile da più punti di vista:

  • le capacità di archiviazione ed elaborazione delle informazioni vengono fornite sotto forma di servizio online accessibile, in quanto tale, anche a chi è privo delle conoscenze, dell'esperienza e delle capacità necessarie per il controllo e la gestione di una infrastruttura IT
  • il risparmio sui costi di acquisto dell'hardware, delle licenze software e di supporto
  • la mancanza di oneri di gestione della infrastruttura
  • la grande flessibilità che permette di creare applicazioni di capacity-on-demand, soprattutto in combinazione con la tecnologia della virtualizzazione, in grado di supportare in modo efficiente data center o nuove linee di business

Considerati questi vantaggi, la tecnologia potrebbe suscitare l'interesse delle startup e delle piccole e medie imprese, normalmente alle prese con problemi di budget e con la mancanza, al loro interno, di figure in possesso delle competenze tecnologiche adeguate.

Gli aspetti legali

La perdita di controllo, a causa della centralizzazione delle architetture hardware e software di data storage e processing, pone però alcune questioni di natura legale, di non facile risoluzione.

Cominciamo con la privacy, ovviamente: l'obbligo, da parte di chi tratta dati personali, di esercitare su questi ultimi uno stretto controllo e di adottare idonee e preventive misure di protezione non si concilia affatto con la gestione da parte di terzi della infrastruttura nella quale gli stessi dati sono memorizzati.

Visto che la responsabilità del titolare permane, anche nel caso in cui i dati siano gestiti  e conservati presso un fornitore di servizi, nel contratto sarà necessario prevedere, a carico di quest'ultimo - probabilmente in qualità di responsabile esterno - l'obbligo di attenersi alle misure di sicurezza individuate.

Inoltre non è da sottovalutare il fatto che il mantenimento dei dati su server esterni possa comportare una violazione del divieto di trasferimento verso paesi, fuori dell'Unione Europea, il cui quadro normativo non assicura adeguati livelli di tutela.

Si tratta di un rischio tutt'altro che remoto, considerato che i fornitori di servizio possono adottare meccanismi di storage ridondanti, distribuiti in posti geograficamente distanti, per far fronte alle inevitabili esigenze di disaster recovery.

Ulteriori esigenze potrebbero poi avere origine nella necessità di garantire la sicurezza di tutti gli altri dati, diversi da quelli personali, e la conformità (compliance) a standard e normative, anche di settore o regolamentari.

Per tutti questi aspetti è ovvio che il contratto assume un ruolo essenziale: è quindi fondamentale è che i rapporti tra le parti risultino inquadrati sulla base di clausole molto dettagliate concernenti:

  • tutte le condizioni che regolano la fruizione del servizio/i (modalità di accesso, strumenti, controlli, durata degli accordi, pagamenti, garanzie, eccezioni, obblighi specifici, ecc...)
  • i livelli di servizio (Service Level Agreement) per la cui erogazione vi dovrebbe essere una garanzia di conformità a parametri di funzionamento, quantitativi e qualitativi, ben definiti e compatibili con le varie esigenze

Un ultimo aspetto, infine, è quello relativo alla difficoltà di identificare, a priori, l'autorità giudiziaria competente a decidere in materia di eventuali controversie od illeciti, anche penali, derivanti dal contratto od attinenti alla sua esecuzione.

Photo credit: Lucretious

0 commenti: