Il cloud computing applicato alla conservazione digitale nella PA: l’importanza del contratto

Come si coniugano gli obblighi previsti dal codice della PA digitale in materia di continuità operativa e disaster recovery con l’utilizzo di servizi on the cloud? Nell’ambito della collaborazione con lo Studio legale Lisi proponiamo un interessante articolo che sottolinea la necessità di un’attenzione particolare, da parte delle amministrazioni, al procurement dei servizi di cloud computing.

Con il termine “cloud computing” si suole indicare un insieme di tecnologie informatiche che consentono di utilizzare risorse hardware o software in remoto. L’applicazione di tale tecnologia consente a una determinata organizzazione di “virtualizzare” i propri strumenti tecnologici creando delle macchine virtuali e facendo sì che a tutte le applicazioni e servizi (di cui usufruiamo ormai quotidianamente lavorando attraverso i nostri pc) si possa accedere in modalità web.

Il ricorso all’utilizzo di tale tecnologia è stata ritenuta una buona soluzione ad alcune problematiche legate al mondo della digitalizzazione dei dati e documenti della Pubblica Amministrazione che, alla luce del “nuovo” Codice dell’Amministrazione Digitale, sono obbligate ad adottare idonee misure di sicurezza informatica (si ricorda, al proposito, l’adozione di piani di continuità operativa e disaster recovery) e a rendere accessibili ai cittadini i propri servizi in modalità telematica, seppur le stesse spesso non dispongano di adeguate risorse hardware e software al loro interno; in un momento, infatti, in cui si sta cercando di spingere verso la digitalizzazione dei servizi che la pubblica amministrazione deve assicurare ai cittadini, per dare  una “scossa” a un sistema pubblico vecchio e poco funzionale alle aspettative degli stessi, l’applicazione del cloud computing potrebbe costituire una ulteriore possibilità di sviluppo in modalità digitale di tutte le procedure amministrative.

Pertanto, in un clima pressato da una grande crisi economica, anche del settore amministrativo, l’implementazione di tecnologie cloud potrebbe permettere anche alle piccole realtà pubbliche di usufruire di tecnologie innovative, con un forte contenimento dei costi, oltre che di uno snellimento e una riorganizzazione dei processi, che potrà avvenire utilizzando parte degli strumenti tecnologici già esistenti.
Tali cambiamenti dovranno essere necessariamente accompagnati da una regolamentazione dei servizi di cui si intende usufruire, attraverso la contrattualizzazione degli stessi; i servizi accessibili attraverso il cloud computing, infatti, potranno essere costituiti da una commistione di una serie di  contratti quali licenza d’uso software (anche se in maniera relativamente limitata), approvvigionamento hardware, outsourcing, hosting, etc..

Tale regolamentazione è ancora più importante in relazione ai processi di conservazione digitale dei documenti che le pubbliche amministrazioni via via stanno avviando.
Le modalità con cui redigere e predisporre le condizioni generali di contratto, infatti, dovranno essere il risultato di una personalizzazione dello stesso sullo specifico servizio richiesto, evitando accuratamente contratti frutto di clausole standard.

Già il Garante Privacy, in materia di cloud computing, ha fornito alcune prime indicazioni per l’ “utilizzo consapevole dei servizi”, che delineano un primo quadro di cautele al fine di favorire il corretto trattamento dei dati personali attraverso l’utilizzo di questi servizi “virtuali”.
È stato sottolineato, infatti, che deve essere privilegiato, ad esempio, l’utilizzo di una “private cloud” (o nuvola privata), ovvero di un’infrastruttura informatica per lo più dedicata alle esigenze di una singola organizzazione, ubicata nei suoi locali o affidata in gestione a un terzo (nella tradizionale forma dell’hosting dei server) nei confronti del quale il titolare dei dati può spesso esercitare un controllo puntuale (tale forma di esternalizzazione del servizio, infatti, può essere paragonata al tradizionale “data center” nel quale, tuttavia, sono usati degli accorgimenti tecnologici che permettono di ottimizzare l’utilizzo delle risorse disponibili e di potenziarle attraverso investimenti contenuti e attuati progressivamente nel tempo).
Meno adatto per gli scopi legati alla sicurezza e riservatezza dei dati è, invece, secondo l’opinione del Garante, l’utilizzo del “public cloud”, ovvero l’infrastruttura di proprietà di un fornitore specializzato nell’erogazione di servizi che mette a disposizione di utenti, aziende o amministrazioni i propri sistemi attraverso l’erogazione via web di applicazioni informatiche, di capacità elaborativa e di stoccaggio. Poiché la fruizione di tali servizi avviene tramite la rete Internet e implica il trasferimento dell’elaborazione o dei soli dati presso i sistemi del fornitore del servizio, verrebbe meno la garanzia (da parte del terzo fornitore) del rispetto e dell’efficacia delle misure di sicurezza adottate per garantire la protezione dei dati che gli sono stati affidati e l’utente, in questi casi, non può esercitare un costante controllo sui propri dati.

L’Autorità Garante, inoltre, ha ribadito al riguardo un concetto molto importante, ovvero che “la dimensione del fornitore potrebbe condizionare la forza contrattuale dei fruitori del servizio e la loro possibilità di esercitare un controllo diretto, seppur concordato, sui siti e sulle infrastrutture utilizzate per ospitarne i dati”.

La legge applicabile e la giurisdizione competente, le c.d. privacy statement (protezione dei dati personali) e la tutela della riservatezza delle informazioni, la disciplina della proprietà intellettuale o i Livelli di servizio (SLA), l’accesso ai sistemi da parte delle autorità locali, la ripartizione delle responsabilità nei confronti dei vari soggetti coinvolti, l’interoperabilità e/o la portabilità dei dati in caso di passaggio ad altro fornitore[1], gli obblighi e le responsabilità in caso di perdita o smarrimento dei dati custoditi dal fornitore, la policy di gestione del salvataggio (backup) dei dati allocati nella “nuvola” (anche in modalità locale) sono solo alcune a cui si deve prestare molta attenzione nella stesura di un contratto che preveda l’affidamento a terzi dei dati attraverso l’utilizzo di un sistema c.d. “cloud”.

Il contratto, inoltre, oltre a descrivere e regolare il servizio di cui si intende usufruire e le responsabilità dei fornitori dei servizi, nel caso di conservazione digitale dei documenti dovrà tener presente anche l’eventuale richiamo e l’applicazione di norme internazionali o standard ISO di sicurezza informatica; non essendo possibile gestire i dati “in casa”, infatti, poiché i dati si trovano tra le “nuvole” (ovvero distribuiti geograficamente su siti distinti, in modo tale da non permettere al titolare di quel dato di conoscere il luogo effettivo di conservazione degli stessi), si pongono alcune problematiche legate all’applicazione di stringenti misure di sicurezza e di clausole di riservatezza ad hoc. Molto spesso, invece, ci si trova davanti a fornitori che utilizzano una contrattualistica internazionale standard (per di più con clausole privacy non adatte), facendo sorgere problemi di coordinamento con la nostra normativa nazionale. Già il Garante Privacy, infatti, ha sottolineato che l’utilizzo di tali sistemi deve essere il frutto di una “riflessione condivisa a livello sia europeo sia internazionale, in considerazione di tutte le sue implicazioni in relazione al trattamento dei dati personali”.

Un buon contratto di outsourcing di servizi di cloud computing e di conservazione digitale dei documenti dovrà, dunque, essere il frutto sia dell’applicazione di norme contenute nel Codice Civile e nel Codice Privacy (regolamentando i processi di sicurezza e privacy e stabilendo con quali modalità e da chi viene garantita la sicurezza informatica dei dati), sia dell’applicazione di norme internazionali o standard ISO (come ad esempio la ISO 27001, in termini di garanzie dall’estero nei contratti stipulati con i terzi). Tutto ciò tenendo presente anche altri obblighi richiamati da discipline specifiche e di settore come, ad esempio, il d.lgs. 231/2001[2], che consente la deresponsabilizzazione dei vertici apicali attraverso la predisposizione di un idoneo modello organizzativo e l’adozione di specifiche procedure per l’ottimizzazione del servizio, evidentemente da condividere con il fornitore del servizio.

Le responsabilità derivanti dall’utilizzo di tecnologie “cloud computing” nella fornitura di servizi di conservazione digitale, pertanto, devono essere previste da un’analisi a monte che rifletta nel relativo contratto i termini delle responsabilità derivanti sia dal fornitore del servizio sia da eventuali intermediari (che concorrano all’erogazione del servizio finale) o dal responsabile della conservazione (inteso quale persona giuridica a cui delegare parte dei processi, compresi quelli relativi all’archiviazione delle informazione nella “nuvola informatica”), poiché la conservazione dei dati in luoghi geografici differenti potrebbe avere riflessi sia sulla normativa applicabile in caso di contenzioso tra il titolare del dato e il fornitore, sia in relazione alle specifica legge nazionale che disciplina il trattamento, l’archiviazione e la sicurezza dei dati.
Di conseguenza, nel gestire al meglio la contrattualizzazione del servizio di cloud computing applicato ai processi di conservazione digitale risulta fondamentale l’applicazione di quel concetto di “interoperabilità intellettuale” tra legali, informatici, archivisti e coloro che, in qualità di responsabili (interni o esterni all’organizzazione), gestiscono il processo di conservazione digitale dei documenti adottato.

Per concludere, quindi, possiamo affermare che non può esserci conservazione digitale e cloud computing senza l’adozione di adeguate misure di sicurezza e una adeguata regolamentazione del servizio attraverso clausole che stabiliscano le rispettive responsabilità tra fornitore e committente e adeguati livelli di servizio e garanzie in materia di riservatezza.
D’altronde, se è vero oramai che il cloud computing non può essere considerato come un fenomeno temporaneo, ma come il passo successivo dell’evoluzione nel modo in cui si utilizza la rete internet e le applicazioni di storage via web (per la condivisione documentale in remoto), non possiamo non affrontare i problemi che ne scaturiscono, anche perché la strada che ci porterà a modificare le nostre abitudini e le certezze sul modo di archiviare e conservare i nostri dati e documenti elettronici è stata già intrapresa (e, d’altronde, non possiamo non rendere effettivi i diritti telematici dei cittadini). L’applicazione di tali tecnologie potrà e dovrà avvenire naturalmente  in modo graduale ed è necessaria una corretta e oculata gestione contrattuale che sia in grado di supportare sia il titolare del dato (ovvero la pubblica amministrazione committente) sia il fornitore nella definizione delle modalità operative e dei parametri di valutazione e di sicurezza del servizio.