Marta Cagnoli

L’Agenzia Europea per la sicurezza delle reti e dell’informazione (ENISA) definisce il Cloud Computing come l’infrastruttura che un Provider mette a disposizione dell’utente per consentirgli di accedere a risorse, spazi, software o ambienti di sviluppo accessibili tramite server remoti di proprietà di terze parti.

In termini di volume, il mercato del Cloud Computing registra ogni anno un’importante crescita. Solo in Italia il livello di spesa stimato per il 2020, supera i 2.5 miliardi di euro.

Il successo della tecnologia Cloud è dovuto alla flessibilità dei sistemi che non necessitano di complesse configurazioni e semplificano in maniera sostanziale la gestione e la fruizione delle risorse aziendali senza richiedere importanti investimenti economici.

Tipologie di Cloud Computing

Esistono 3 diverse tipologie di strutture Cloud:

• Infrastructure as a Service (Iaas): si tratta dell’infrastruttura hardware che è alla base di ogni sistema Cloud. Il provider mette a disposizione dell’utente un hardware senza che sia lui stesso a dover provvedere alla sua effettiva gestione. Un esempio di IaaS è lo spazio di archiviazione messo a disposizione dal Provider.

• Platform as a Service (Paas): sono concepite come piattaforme “ponte” tra una struttura IaaS e una struttura SaaS in cui il Provider mette a disposizione la struttura ma spetta all’utente procedere all’installazione e all’implementazione del software. Questa tipologia di Cloud è normalmente rivolta ai developer che ricorrono al Paas per sfruttare specifiche funzionalità di automazione ed evitare di dover scrivere un codice ad hoc.

• Software as a Service (SaaS): è la struttura Cloud maggiormente utilizzata e che offre un servizio facilmente accessibile anche a soggetti non professionisti. L’utente finale, infatti, non ha bisogno di alcuna competenza tecnica e può usufruire dei servizi erogati dal Provider per mezzo di qualsiasi dispositivo.

Il Provider che eroga un servizio SaaS via web mette a disposizione degli utenti una serie di servizi applicativi che possono essere direttamente utilizzati dai clienti finali.

Sono infrastrutture SaaS i sistemi che consentono di utilizzare via web fogli di calcolo o le applicazioni che permettono di inserire moduli e-commerce a siti web che originariamente non li prevedevano.

Modelli di Cloud Computing

• Private Cloud Computing: si tratta di una struttura Cloud che viene creata dal Provider per rispondere alle specifiche esigenze del singolo cliente ed è destinata al suo uso esclusivo. Le aziende di grandi dimensioni talvolta optano per un modello Cloud privato al fine di mantenere un maggiore controllo sui dati esportati: nel Cloud interno, infatti, i dati archiviati rimangono presso le strutture organizzative su cui l’utente ha pieno ed esclusivo controllo. Adottando questo sistema, il patrimonio dei dati personali e sensibili viene trattato direttamente all’interno dell’organizzazione stessa. Nel sistema di Private Computing si ha la possibilità di negoziare il contratto che disciplina il rapporto tra l’azienda utilizzatrice del servizio ed il Provider.

• Ibrid Cloud Computing: è il modello spesso usato dalle pubbliche amministrazioni e rappresenta una via di mezzo tra il Private Cloud Computing e il Public Cloud Computing. Ricorrere ad un modello ibrido di Cloud consente all’utilizzatore di demandare ad un sistema Cloud pubblico i servizi o le applicazioni che coinvolgono il trattamento di dati non sensibili, mentre determinati processi che interessano dati sensibili ed esigono misure di sicurezza rafforzate, restano gestiti unicamente all’interno dell’organizzazione.

• Public Cloud Computing: è l’infrastruttura di proprietà del Cloud Provider il cui uso non è dedicato ad un singolo utente ma ad una molteplicità di fruitori indeterminati. Nel Public Cloud Computing non si ha la possibilità di negoziare termini e condizioni di uso perché ci si trova di fronte ad un servizio “as it is”. L’utente infatti può avere accesso al servizio mediante la sua adesione ad un contratto standardizzato predisposto unilateralmente dal Provider.

Il Contratto Cloud come contratto atipico

Il contratto Cloud si caratterizza per non avere una struttura propria, ma può essere definito ricorrendo a due diversi schemi negoziali tipici: l’appalto di servizi e il contratto di licenza.

• Appalto di servizi: si sostanzia in un “facere”, cioè nell’obbligo - in capo all’appaltatore - di fornire un servizio a fronte di un corrispettivo determinato. Se si prende in considerazione un sistema SaaS, è facile rilevare che la sua principale caratteristica è proprio quella di rendere accessibile una struttura informatica esterna a quella privata o aziendale e di permettere all’utente di usufruire di servizi software gestiti da terzi. Pare quindi semplice ricondurre un contratto con un Provider di SaaS alla fattispecie prevista dall’art. 1665 cc.

• Contratto di licenza: è uno strumento legale che consente l’utilizzo di un prodotto (software) e stabilisce le modalità di utilizzazione del prodotto stesso mediante l’imposizione di vincoli e limiti per l’utilizzatore.

  Poiché i contratti Cloud presentano caratteristiche comuni sia del contratto di licenza che dell’appalto di servizi non è parso conveniente optare drasticamente per l’una o per l’altra soluzione, ma sembra più adeguato configurare il contratto Cloud come contratto atipico.  Oltre alle condizioni generali di servizio, i contratti Cloud necessitano di alcune peculiari documentazioni come il Service Legal Agreement ed il Service Legal Objective.

• Il Service Legal Agreement è uno specifico documento che contiene i parametri di riferimento per l’erogazione del servizio del Cloud Provider e per il monitoraggio del livello di qualità di servizio effettivamente erogato.

• Il Service Level Objective è invece il documento in cui vengono concordati i parametri per misurare le prestazioni del fornitore in modo da limitare l’insorgere di controversie tra le due parti sulla qualità e quantità del servizio erogato.

Cloud Provider e GDPR: come scegliere il Cloud Provider

Il regolamento europeo in materia di data protection (2016/679) stabilisce che qualora un trattamento debba essere effettuato per conto del titolare, quest'ultimo deve rivolgersi unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto tutte le misure tecniche ed organizzative adeguate che soddisfino i requisiti del regolamento e garantiscano la tutela dei diritti dell'interessato.

Sarebbe buona norma quindi che il titolare del trattamento, prima di sottoscrivere il contratto con il Cloud Provider, verifichi l’adesione di quest’ultimo ad un codice di condotta di cui all'articolo 40 GDPR o a altro un meccanismo di certificazione.

L’adesione ad un codice di condotto può infatti essere valutata come garanzia della sufficiente affidabilità del provider. Ad esempio, Il codice di condotta CISPE (Cloud Infrastructure Services Provider in Europe) è una coalizione di oltre 20 fornitori di infrastrutture Cloud che operano nel territorio degli Stati Membri e garantisce la conformità al GDPR e alle migliori pratiche di sicurezza nel trattamento dei dati.

Oltre all’adesione ad un codice di condotta, prima di sottoscrivere un contratto con il Cloud Provider, è importante assicurarsi che quest’ultimo garantisca:

• La portabilità dei dati cioè la transizione dei dati da un Provider ad un altro in caso di necessità (ad esempio nell’eventualità in cui il fornitore inserisca nei T&C una modifica peggiorativa e unilaterale delle condizioni di servizio e il cliente voglia recedere dal contratto)

• L’adozione di strumenti per la crittografia dei dati o la loro pseudonimizzazione

• La conservazione e dei dati all’interno dell’EU poiché è sempre preferibile affidarsi a Provider che effettuino il trattamento dei dati all’interno dell’Unione Europea o in Paesi nei confronti dei quali è intervenuta una decisione di adeguatezza.