Cloud, Frediani: "Accendere i riflettori sulle norme"

Nota di un collaboratore: richiamare urgentemente cliente X, deve chiudere un contratto di cloud. Eseguo. Chiamo. In breve: mi mandano un contratto. Il solito lungo e tortuoso contratto sul cloud. Comincio a dare una lettura;  input dell’Ict Manager: tra tre giorni abbiamo l’incontro sotto il profilo commerciale, occorre capire se ci sono delle clausole penalizzanti, cosa dobbiamo chiedere di cambiare. Si fa tutto, ma di quali informazioni aziendali stiamo parlando?
 

L’Ict Manager è occupato. I collaboratori sanno che sta trattando per trasferire in cloud alcuni DB da condividere con le altre società del gruppo, ma di una mappatura non c’è traccia. La questione si risolverà qualche ora più tardi con l’Ict Manager che alla mia domanda: quali dati intendete portare in cloud? Mi risponderà: Avvocato a Lei che rileva? E con la solita pazienza certosina risolveremo anche questa.
 

Ma la dinamica dei fatti non è isolata. Sul cloud troppa ignoranza, troppo entusiasmo, troppa diffidenza. Troppo tutto. Poco metodo  sotto il profilo della valutazione lato normativo-legale.
 

Eppure proprio gli aspetti legali spesso sono fonte di resistenza sia da parte della proprietà, sia da parte di chi gestisce i sistemi informativi. Questo perché talvolta mancano dei parametri di valutazione ed opportuna conoscenza da chi intende usufruire di questa opportunità. Occorre dividere la valutazione “legale” di un servizio in cloud sotto due fronti: come garantire la parte che porta le proprie informazioni aziendali in cloud, ed a cosa deve rispondere in materia di adempimenti normativi, la parte che porta i dati in cloud.
 

Sul primo punto occorre ovviamente analizzare alcuni passaggi del contratto (spesso standard) che il fornitore andrà a proporci. Attenzione quindi alle tematiche principali.
 

Anzitutto la tutela della proprietà delle informazioni: chi accederà ai nostri dati?  Chi amministrerà i nostri dati e quali garanzie di riservatezza avremo sotto questo profilo; è importante chiarire sin da subito la necessità  di trasparenza che non comporti rischi sotto il profilo della “volatilità” della conservazione del segreto relativo ai dati. Secondariamente in caso di interruzione dei rapporti contrattuali, in che tempistiche e con quali modalità i dati saranno trasferiti?
 

La migrazione è un’altra tematica di grande importanza, perché rischia, se non disciplinata a priori, di “incrinare” meccanismi organizzativi e produttivi di una azienda.
 

Il tema privacy e sicurezza è fin troppo ragionato ad oggi, anzi quando si parla di cloud ci si ferma sovente ad analizzarlo sotto il profilo contrattuale e di tutela dei dati personali.
 

Ma che dire di argomenti come Byod, piuttosto che regolamento informatico interno, conservazione sostitutiva e reati informatici rilevanti ai fini 231? Perché tirarli in ballo? Semplicemente perché adottare una soluzione cloud computing può necessitare di non affrontare solo gli aspetti del rapporto con il fornitore di servizi, ma “rileggere” interamente all’azienda le policy, piuttosto che le procedure organizzative, piuttosto che i ruoli e le responsabilità.  Si pensi all’amministrazione del sistema ed a come possano mutare le responsabilità in caso di cloud: avremo Ads interni all’azienda ed Ads esterni, con competenze e correlative responsabilità diverse, da individuare, da specificare in modo tale da garantire trasparenza e rintracciabilità degli agenti in caso di problematiche di natura informatica e legale.
 

Anche in caso di conservazione sostitutiva, come non ripercorrere il manuale piuttosto che la nomina a Responsabile della Conservazione in una ottica del servizio che viene prestato, e quindi con modifiche di importante impatto anche sotto il profilo giuridico. Ritengo che, ad oggi, la visione lato giuridico del cloud sia “imbrigliata” - fin troppo - nel ragionare solo funzionalmente al “grande contratto” onnicomprensivo, perché, quando la via ormai è da percorrere in modo più articolato, occorre guardare la luna, e non solo il dito!