Il Cloud computing si sta diffondendo in ambito aziendale con una straordinaria rapidità e, sebbene a fatica, ci stiamo tutti abituando all’idea che i nostri dati e i nostri sistemi, per essere al sicuro, non debbano necessariamente essere conservati nei server dei nostri uffici. È un passaggio epocale che riflette un’altrettanto straordinaria rivoluzione raccontata e, anzi, forse, profetizzata, ormai da tempo, da Jeremy Rifkin nel suo “L’era dell’accesso”. Per essere ricchi, nella società dell’informazione, non serve più possedere ma basta poter accedere. È un cambio di paradigma con pochi precedenti nella storia al quale, almeno culturalmente, siamo tutti probabilmente, ancora, impreparati.
Chi si sente pronto a rinunciare all’idea di acquistare una macchina e ad accontentarsi di prenderla a noleggio batta un colpo. Siete pronti a rinunciare al vostro ufficio e a lavorare su scrivanie affittate “a tempo”? Ma soprattutto, siete pronti a rinunciare ad archiviare tutti i vostri documenti, le informazioni e i dati della vostra azienda sul vostro Pc e a spedirli tra le nuvole, magari, persino su nuvole battenti bandiere diverse da quella italiana? Difficile rispondere.
Occorre, tuttavia, riconoscere che il diritto è, probabilmente, impreparato al diffondersi di questa tecnologia ed è, forse, per questo che, sotto un profilo giuridico l’espansione delle nuvole stia incontrando importanti resistenze.
Le nuvole sono (se le di guarda da lontano) nemiche giurate del diritto, almeno per due ragioni: sono evanescenti, fumose, immateriali e, soprattutto, sono in un altrove non ricollegabile a nessun territorio. L’Ordinamento, al contrario è pressoché interamente (con la sola importante eccezione del sistema della proprietà intellettuale e industriale) costruito avendo a mente il mondo degli atomi nel quale le cose, i beni giuridici, si toccano, si possiedono, si rompono e, soprattutto, sono e risiedono in luoghi fisici riconducibili al territorio di uno Stato e, quindi, al suo Ordinamento.
Non c’è quindi da sorprendersi se la diffusione del Cloud e la progressiva migrazione del mondo imprenditoriale tra le nuvole determini una sensazione di smarrimento e, talvolta, di paura tra giuristi e legulei. Questi ultimi, è proprio il caso di dirlo, nel mondo delle nuvole si sentono mancare la terra sotto i piedi.
La rivoluzione delle nuvole è, d’altra parte, un fenomeno inarrestabile e, quindi, val la pena di provare a schiarire l’orizzonte giuridico lungo il quale le moderne Cloud digitali si collocano.
È razionale, da un punto di vista giuridico, la paura delle nuvole o è, invece, una delle tante paure che ci portiamo dietro sin da bambini senza un perché come quella degli abissi?
A ben vedere, spedire i nostri dati tra le nuvole non comporta,se si guarda al problema da un punto di vista giuridico, alcun rischio particolare a condizione, naturalmente, di farlo con giudizio e ponderazione.
I nostri dati, ovunque essi siano, restano i nostri dati con la conseguenza che i nostri diritti e i nostri doveri, in particolare quelli connessi alla disciplina in materia di privacy, restano inalterati. Siamo e restiamo titolari di ogni trattamento di dati personali che avvenga sotto la nostra responsabilità anche se decidiamo di effettuarlo attraverso uno dei tanti servizi di Cloud oggi disponibili.
È ovvio, peraltro, che quando si sceglie di andare sulle nuvole, come, d’altra parte, quando si sceglie di esternalizzare ogni genere di servizio aziendale, si coinvolge nella nostra attività di impresa un soggetto terzo con la conseguenza che occorre prestare grande attenzione ai limiti e ai termini delle condizioni contrattuali destinate a governare il rapporto tra noi e il nostro fornitore di nuvole.
Ciò a maggior ragione quando si decide di spedire sulle nuvole dei dati personali perché in tal caso la vigente disciplina in materia di privacy non libera, giustamente, l’originario titolare del trattamento dalle sue responsabilità solo perché ha deciso di servirsi di un fornitore di nuvole. È logico, dunque, che quando decidiamo di affidare a un terzo, in tutto o in parte, il trattamento dei dati personali del quale siamo titolari è di fondamentale importanza preoccuparsi che il nostro fornitore rispetti, e ci consenta di rispettare, in modo puntuale obblighi su di noi incombenti per effetto della disciplina sulla privacy.
Inutile negare che tale esercizio è più semplice quando le nuvole sono sospese su un cielo europeo o gestite da un soggetto con i piedi sul territorio (uno qualsiasi) dell’Unione ma, guai a pensare che sia impossibile disporre di analoghe garanzie se si sceglie di salire su altre nuvole.
In quest’ultimo caso, naturalmente, sarà necessario prestare maggiore attenzione alle previsioni contrattuali perché solo queste ultime obbligheranno il nostro fornitore al rispetto di certe regole non essendo questi chiamato al rispetto delle nostre stesse regole né potendo essere chiamato a rispondere dalle nostre Autorità.
Istruzioni per l’uso
Proviamo, in poche righe, a dare qualche istruzione per l’uso, dal punto di vista giuridico naturalmente, a chi sta pensando di spedire sulle nuvole i propri dati, le proprie informazioni e, magari, anche i propri servizi informatici.
Cominciamo dalla selezione del fornitore di nuvole. Il primo aspetto a cui guardare è certamente la sua solidità sotto il profilo economico e dell’organizzazione. È importante che i nostri dati siano in mani sicure e che il nostro fornitore sia un soggetto in grado di mantenere costantemente aggiornati i propri sistemi al progresso tecnologico e alle insidie che lo accompagnano e, se qualcosa dovesse andare storto, in grado, almeno, di risarcirci il danno sofferto.
Un altro aspetto da non sottovalutare è rappresentato dal contratto (il più delle volte predisposto dal fornitore di nuvole) che è destinato a disciplinare il rapporto.
Ecco alcuni degli aspetti fondamentali ai quali guardare: il livello di servizio, le limitazioni della responsabilità del fornitore e gli obblighi di supporto all’eventuale migrazione.
La definizione dei livelli di servizio è di importanza cruciale: l’accesso sulle nuvole e, dunque, ai dati che esse ospitano, per un’azienda non è un fatto occasionale o procrastinabile ma deve essere costantemente garantito con la conseguenza che è necessario che il contratto stabilisca in modo puntuale quali debbano essere gli standard medi di servizio e quale la continuità con la quale i servizi di Cloud Computing devono essere resi disponibili
. Altra questione centrale per evitare che il contratto con il nostro fornitore di nuvole serva a poco o nulla è quella delle limitazioni responsabilità: ognuno deve assumersi le proprie e, quindi, andrà evitato che il fornitore limiti le proprie, magari, a una misura proporzionata al corrispettivo.
Ultimo aspetto al quale prestare attenzione è che il fornitore si impegni a prestarci la necessaria assistenza nella migrazione verso un altro fornitore qualora, non importa per quale ragione, le cose non andassero per il verso giusto e si decidesse, di comune accordo o meno, di prendere strade diverse. È il custode dei nostri dati e delle nostre informazioni e, senza il suo supporto, sarebbe difficile per chiunque prendere il suo posto.
Nubi all’orizzonte, dunque, ma sono decisamente meno grigie e minacciose di quanto, troppo spesso, capita di sentire.
