INTRODUZIONE
Con l’introduzione di sempre più completi software gestionali di organizzazione e pianificazione delle risorse aziendali, integrati da applicazioni sempre più funzionali, l’azienda e il management hanno agevolmente introdotto processi e attività di business aziendale, con evidenti vantaggi sostanziali. A tutt’oggi, infatti, i moderni sistemi di ERP[1] coprono tutte le aree che possano essere automatizzate e/o monitorate all’interno di un’azienda, permettendo così agli utilizzatori di operare in un contesto uniforme ed integrato, indipendentemente dall’area applicativa.
SOLUZIONI ERP TRAMITE CLOUD COMPUTING
L’evoluzione dell’ERP e del relativo deployment[2] ha visto il passaggio da soluzioni e modelli di implementazione in sede (on-premise) a soluzioni e tecnologia c.d. “cloud”[3], grazie all’aumento delle proposte della nuova piattaforma ed ai vantaggi evidenziati dalla stesso.
L’organizzazione e gestione aziendale a mezzo del software ERP, dunque, può essere realizzata a) in senso tradizionale, in loco, attraverso licenze collegate ai server ed alle attrezzature informatiche aziendali, b) attraverso l’hosting dell’applicazione presso piattaforme della nuvola informatica da parte di un terzo chiamato cloud provider (Private Cloud) ed infine c) attraverso l’offerta di un pacchetto di servizi (assistenza continua, gestione delle applicazioni, allestimento di ambienti pre e post-produzione, manutenzione dei sistemi, ecc.) in parte condivisa (Public Cloud).
CLOUD ERP: IMPLICAZIONI GIURIDICHE
Grazie ai concreti vantaggi quali, in primis, la riduzione dei costi e dei rischi di perdita dei dati salvati nei server proprietari aziendali[4], ed il costante accesso agli stessi da qualsivoglia connessione Internet, il Cloud ERP sta suscitando sempre maggiore interesse. Ciononostante rimangono di fondo dubbi e timori circa la sicurezza informatica dei dati trasferiti e la certezza della tutela della privacy, della tutela della proprietà intellettuale e industriale, nonché incertezze circa la giurisdizione competente in caso di contestazioni e contenziosi. Prima di entrare nel Cloud, infatti, è importante conoscere le implicazioni giuridiche che sono allo stesso pertinenti.
esistono regole chiare che mi garantiscono l’utilizzazione sicura del cloud?
Il Garante della Privacy, nella consapevolezza che l’utilizzo dei servizi di cloud computing prefigura problematiche risolvibili solamente a livello europeo e internazionale, nelle more è intervenuto al fine di favorire un utilizzo responsabile, consapevole e corretto dei servizi virtuali del cloud, in particolare dettando informazioni – utili anche ai fornitori – per l’utilizzo della tecnologia in modo da tutelare al meglio i dati personali degli utenti che si affidano ad un contratto di cloud computing.[5] Trattasi tuttavia semplicemente di indicazioni e prescrizioni, non cogenti, relativamente ai soli aspetti attinenti al trattamento dei dati, lasciando alle parti (cloud provider e utente-fruitore) la libera regolamentazione del rapporto contrattuale che disciplina la gestione e le modalità del servizio offerto.
e quindi, come mi tutelo?
È necessario analizzare attentamente, dal punto di vista giuridico, i contratti di cloud computing partendo dall’analisi del tipo di servizio offerto. L’effettivo oggetto e contenuto della prestazione richiesta dal cliente al cloud provider permette di meglio comprendere la natura giuridica, l’assetto degli obblighi e, conseguentemente, le relative responsabilità. Potrebbe prevalere il servizio di hosting del cloud di tipo puro Infrastructure as a Service (Iaas), ovvero altri servizi di volta in volta da verificare e compresi nella diversa forma denominata Sotware as a Service (Saas) o ancora Platform as a Service (Paas).
Per ricondurre il rapporto alla disciplina giuridica, a seconda della configurazione del cloud potremmo assimilare lo stesso ad un contratto di deposito regolare o irregolare di beni (beni digitali – informazioni – allocati nella nuvola) che implica un diverso regime di responsabilità; a seconda del servizio erogato, potrebbero coesistere elementi riconducibili all’appalto di servizi ed al contratti di licenza.
chi mi assicura LA protezione dei miei dati?
L’analisi dei ruoli dei soggetti nella disciplina del cloud si rivela quindi di fondamentale importanza per comprendere gli obblighi in materia di sicurezza dei dati personali e, conseguentemente, la relativa responsabilità.
Oltre alle parti (utente-fruitore e cloud provider) potrebbe intervenire nel rapporto una terza parte, atta a fornire servizi accessori, denominato cloud partner. Appare allora indispensabile individuare correttamente chi riveste il ruolo di “Titolare del trattamento” ovvero di “Responsabile del trattamento” dei dati al fine di precisare la responsabilità di ciascun soggetto coinvolto. Inoltre, a prescindere dalle formulazioni contrattuali e dalle policy per il disaster recovery[6], il cloud provider potrebbe assumere la (con)titolarità dei dati in ipotesi di offerta di servizi ulteriori rispetto al data storage[7].
A che giudice mi devo rivolgere in caso di problemi?
Tradizionalmente il diritto attribuisce un valore all’ubicazione geografica dei dati determinando, così, le questioni giurisdizionali. Il mondo virtuale (Cyberspace) è a sé stante rispetto all’universo reale, e come tale, privo di confini territoriali, di nazioni e, di conseguenza, di giurisdizioni.
La conservazione dei dati in luoghi geografici differenti implica incertezze circa la normativa applicabile in caso di contenzioso e quale sia il giudice competente. È prassi generale contrattuale che la normativa applicabile sia quella del luogo in cui il cloud provider ha lo stabilimento o una sede; qualora tuttavia il fornitore sia di grosse dimensioni, la nuvola può estendersi geograficamente su siti distinti. Ecco che allora prevale la legge dello stabilimento a cui è effettivamente e direttamente riconducibile il trattamento dei dati. L’identificazione tuttavia si rivela assai ardua…
CONCLUDENDO…
L’utente fruitore del pacchetto cloud ERP dovrà necessariamente rivolgersi a professionisti al fine di analizzare attentamente il contenuto del contratto di cloud computing, che di per sé presenta una complessità strutturale in quanto composto da un documento quadro che regola gli elementi fondamentali dell’accordo e da tutta una serie di allegati tecnici, che definiscono nel dettaglio i vari parametri di servizio. Tutto ciò al fine di ottenere le dovute garanzie circa la precisa allocazione del rischio e della responsabilità.
[1] Per ERP si intende Enterprise Resource Planning “pianificazione delle risorse d’Impresa”
[2] Per deployment in informatica si intende quella fase del ciclo di vita del software che conclude lo sviluppo e dà inizio alla relativa manutenzione (consegna al cliente con relativa installazione e messa in funzione di una applicazione ovvero di un sistema software).
[3] Con il termine inglese cloud computing (in italiano nuvola informatica) si indica un insieme di tecnologie che permettono, tipicamente sotto forma di un servizio offerto da un provider al cliente, di memorizzare e archiviare e/o elaborare dati (tramite CPU o software) grazie all’utilizzo di risorse hardware/software distribuite e virtualizzate in rete in un’architettura tipica client server.
[4] Molte imprese che hanno subito danni a seguito del terremoto in Emilia del maggio 2012, non avendo potuto recuperare i propri dati aziendali, con pesanti perdite e conseguenze sulla organizzazione, hanno fatto ricorso al Cloud.
[5] In particolare vedasi la relazione presentata dal Garante della Privacy il 23 giugno 2011 “Relazione sul quattordicesimo anno di attività e sullo stato di attuazione della normativa sulla privacy”. Contestualmente l’Autorità Garante si è soffermata anche sul cloud computing, presentando il “Cloud computing: indicazioni per l’utilizzo consapevole dei servizi”
[6] Per Disaster Recovery (DR) si intende l’insieme di misure tecnologiche e organizzative/logistiche atte a ripristinare sistemi, dati, e infrastrutture necessarie all’erogazione di servizi di business per imprese, associazioni o enti, a fronte di gravi emergenze che ne intacchino la regolare attività. Fonte Wikipedia
[7] Servizio e processo di memorizzazione dei dati.
Articolo pubblicato nella rivista Logyn n.3 Settembre 2013.
Le informazioni contenute nel presente contributo, così come tutto il contenuto del nostro sito web, hanno carattere generale e scopo meramente informativo, naturalmente senza pretesa di esaustività, e non costituiscono attività di consulenza legale mirata.
Nessuna parte di questo contributo può essere riprodotta, distribuita o trasmessa in qualsiasi forma e con qualsiasi mezzo senza la previa autorizzazione scritta dell’autore.
Copyright © Studio Legale Bressan 2013 – 2021