di CHRISTIAN D’ACUNTI –

Buoni propositi e incertezza più o meno giustificata. Si è conclusa con questi ambivalenti risultati la consultazione pubblica presso la Commissione europea sul cloud computing. Servizio che offre la possibilità di accedere, da qualsiasi terminale, ai propri servizi e file archiviati chissà dove in qualche luogo remoto del cyberspazio. Aperta il 16 maggio scorso, la consultazione ha visto 538 partecipanti divisi in due grandi gruppi. Del primo, più consistente, hanno fatto parte le aziende del settore informatico (230 su 538). Del secondo grande gruppo hanno fatto parte 182 singoli intervistati. I rimanti, invece, sono divisi tra appartenenti alla pubblica amministrazione (33), 42 al mondo accademico e altri 51 senza una connotazione specifica. Su di una cosa però, quasi all’unanimità, gli intervistati si sono trovati d’accordo: la mancanza di chiarezza sui diritti e le responsabilità in ambito transfrontaliero. Punto di vista sostenuto da 135 aziende, 122 individui, 25 amministratori, 30 docenti e 31 altri. Altra opinione ampiamente condivisa è quella sull’armonizzazione delle leggi tra i vari paesi europei. C’è dunque un bisogno impellente di un accordo internazionale di base che regoli la responsabilità dei provider che operano al di fuori del proprio paese.
Altro grande tema affrontato è l’applicazione delle leggi. Le leggi di quale paese debbono essere applicate? Una risposta significativa di un intervistato chiama in causa delle direttive approntate a  Roma nel 2008, secondo le quali si applica la legge dello Stato in cui avviene il reato. Metà delle aziende ha ostentato chiarezza in materia di legislazione applicata alle proprie operazioni di cloud. 99 aziende hanno affermato di essere consapevoli degli articoli di legge applicati. Mentre 102 aziende hanno confessato di non conoscere affatto le leggi che regolano il cloud. Si può scorgere però una certa differenza, sulla questione dell’applicazione delle leggi, tra le risposte fornite dalle compagnie e quelle fornite dagli individui. Per le prime il problema è legato alla disomogeneità della legislazione tra i vari paesi, mentre per i secondi è il contratto stipulato, tra chi fornisce il servizio e l’utente, a esaurire la regolamentazione di diritti e responsabilità. A meno che non ci siano, afferma un intervistato, delle leggi vincolanti non derogabili da un semplice accordo contrattuale. Come far fronte dunque a questa incertezza? Aziende e individui sembrano concordare sul fatto che direttive e liste di controllo, riguardo i modelli contrattuali, sia molto utile adottarle. Una soluzione sembra affiorare proprio da un interrogativo posto dagli intervistati nel corso della consultazione: sarebbe utile adottare il modello SLA (Service Level Agreements) o EUA (End User Agreements) esistente per i servizi di cloud, così che le condizioni e i termini di base potrebbero venire facilmente inglobati negli accordi contrattuali. È opinione largamente condivisa tra gli intervistati di tutti e due i gruppi, il desiderio di individuare, a livello europeo, modelli contrattuali per SLA e EUA.

Un’altra importante questione è stata sollevata sempre dagli intervistati a proposito delle clausole. È stato osservato opportunamente che esse devono essere semplici e chiare, per essere accettate dai contraenti. Una delle risposte più comuni, infatti, è stata: un modello SLA e EUA potrebbe aiutare i servizi di cloud a definire diritti e responsabilità per tutte le parti interessate. Una spaccatura tra gli intervistati si è creata, invece, circa l’utilità degli aggiornamenti dell’UE Data Protection Directive (DP). E, in particolare, se essi possano facilitare il cloud computing preservando la privacy.
Le aziende di cloud computing hanno spesso rilevato che le trasposizioni delle direttive Data Protection dei diversi stati membri hanno creato ostacoli alla crescita del cloud computing tra i paesi extracomunitari.

Sono state raccolte informazioni su 13 importanti paesi europei (tra cui l’Italia) sulle regole di protezione dei dati. Risultato di questa indagine: non si è travato, tra questi paesi, alcun regolamento sulla protezione dei dati o legislazione preventiva sull’uso e le forniture di servizi di cloud computing. L’autorità italiana sulla protezione dei dati, ad esempio, ha impartito una risoluzione di carattere generale, come si legge dalla Gazzetta Ufficiale n° 153 del 4 luglio 2011. Le società esterne alle banche, ad esempio, che gestiscono in outsourcing sistemi informativi contenenti i dati della clientela, sono chiamate a mantenere non già la titolarità dei dati personali, ma la responsabilità dei dati trattati.

È importante notare che i provider di cloud computing non sempre adattano i propri servizi alle specifiche regole di ogni paese della UE, dove hanno fornito i loro servizi. E ciò è dimostrato dal fatto che i  termini dei servizi sono i medesimi per tutti i paesi, mentre l’incertezza per la questione della giurisdizione e l’applicazione della legge viene spesso usata dai fornitori di cloud computing  come una scusante.
La spinosa questione del trasferimento internazionale dei dati personali, tiene banco presso tutti i paesi membri. E così l’Europa ha cercato di individuare una soluzione condivisa al problema della protezione dei dati, e soprattutto ha cercato di individuare una legislazione omogenea tra i 27 paesi della UE. Ulteriormente complicato, il quadro della protezione di dati provenienti da paesi extraeuropei, dove la questione dell’esecutività dei diritti degli utenti diventa un autentico miraggio. Per questo i cloud provider, immersi in questa nebulosa burocratica, non sapendo se e come usare i dati degli utenti, reclamano maggiore chiarezza in materia di trattamento dei dati personali. Dalla consultazione i partecipanti sono usciti con la convinzione che il cloud sia un’infrastruttura globale. A patto che venga dotato di regole di funzionamento unitarie.

Christian D’Acunti

media2000@tin.it