Nel corso del tempo può presentarsi la necessità di cambiare fornitore, determinata da una serie indeterminata di ipotesi relative alle variabili esigenze e/o scelte del fruitore del servizio, quali ad esempio: cambiamenti strutturali (fusioni o acquisizioni societarie), modifiche normative, etc. Ciò richiede di preoccuparsi – alla stipula di un contratto per servizi di cloud computing - della portabilità dei dati, sotto il duplice profilo del loro recupero (che richiede la conoscibilità dei sistemi) e della loro piena riutilizzabilità. Tali aspetti sono connessi da un lato con le caratteristiche tecniche, dall’altro con le licenze d’uso delle applicazioni informatiche utilizzate dal fornitore.
Il ricorso a un diverso fornitore o a una diversa infrastruttura potrebbe essere agevolato dall’utilizzo di un open cloud (in sintesi un cloud realizzato con tecnologia open source) che, per le sue caratteristiche di flessibilità (sotto il profilo hardware e software) e conoscibilità, può facilitare il processo di migrazione278.
I fautori dell’open cloud evidenziano che le infrastrutture di cloud computing fornite come
close source oppure come open source interni non permettono alla comunità di contribuire al
loro sviluppo, rendendo complicate convergenza e interoperabilità, anche perché le tecnologie sono conosciute solo da alcuni professionisti specializzati. L’utilizzo dell’open
cloud, consentirebbe invece di ovviare al problema, permettendo inoltre di individuare
facilmente professionisti competenti.
Nell’open cloud, in primo luogo, il fatto che i fornitori lavorino insieme assicura che le caratteristiche del servizio scelto (sicurezza, integrazione, portabilità, interoperabilità,
governance/managment, monitoraggio) sono indirizzate verso una collaborazione aperta e
verso l’uso appropriato degli standard. In secondo luogo, i fornitori non utilizzano la propria posizione di mercato per vincolare gli utilizzatori a particolari piattaforme, né limitano la loro scelta tra fornitori. In terzo luogo, i fornitori devono, e possono, utilizzare e adottare
278 È evidente il vantaggio, per l’utente, di un utilizzo di servizi che favoriscono la portabilità dei dati. È
chiaro, infatti, che il ricorso a servizi di cloud computing basati su formati e standard aperti, facilita la transizione da un sistema cloud ad un altro, anche se gestiti da fornitori diversi. Ciò consente di scongiurare il rischio che eventuali modifiche unilaterali dei contratti di servizio, da parte di uno qualunque degli operatori che intervengono nella catena di fornitura, si traducano in condizioni peggiorative vincolanti o, comunque, facilita eventuali successivi passaggi da un fornitore all’altro. Privilegiare i servizi che favoriscono la portabilità dei dati è una delle indicazioni che il Garante Privacy italiano ha voluto fornire agli utenti dei servizi in questione nella Scheda di documentazione del 23 giugno 2011 “Cloud computing: indicazioni per l’utilizzo consapevole dei
133
standard esistenti e appropriati: non hanno la necessità di duplicare né di reinventare
tecnologie; quando si rende necessario l’utilizzo di nuovi standard o la modifica di quelli esistenti, gli sviluppatori si assicurano di non crearne troppi e del fatto che i nuovi standard promuovono e non inibiscono l’innovazione. In quarto luogo, lo sforzo della comunità che si muove intorno a un open cloud è diretta a perseguire i bisogni degli utilizzatori e dovrebbe essere verificata rispetto alle loro reali esigenze.
Qualunque sia la scelta dell’utente, i criteri enunciati possono essere tenuti presenti per assicurarsi che un’infrastruttura di cloud computing sia aperta e consenta la scelta, la flessibilità e l’agilità richieste dall’utilizzatore.
Nella pratica, dalle statistiche pubblicate sui siti web delle comunità open source emerge che l’utilizzo di infrastrutture di open cloud non è esclusivamente limitato all’utilizzo nelle comunità di ricerca per la pubblicazione dei risultati di progetto, ma è anche destinato agli utilizzatori finali. Anche le pubbliche amministrazioni europee fanno ricorso a soluzioni
open source a supporto delle proprie attività.
In Europa vi sono anche ampie comunità di sviluppo e un forte background nello sviluppo e nell’utilizzo dell’open source. Tuttavia, molte tecnologie sviluppate in Europa sono sfruttate da società statunitensi: stando alle stime, il 90% del volume di affari derivante da sistemi open source è generato da utenti non europei; ancora, molti consorzi che si occupano dello sviluppo e della commercializzazione dell’open source hanno sede negli Stati Uniti e sono state fondate da società IT statunitensi (come Sourceforge e Code Plex).
Se la ricerca sul cloud computing ha come obiettivo la realizzazione di un’opportunità economica europea sostenibile è opportuno un maggiore sviluppo delle aziende europee con diversi modelli imprenditoriali, volte a sviluppare al meglio questo patrimonio tecnologico.
Per superare gli ostacoli derivanti dall’adozione di standard diversi nella produzione informatica, è stato adottato dall’Unione Europea con proprie definizioni istituzionali, il principio dell’interoperabilità, già contenuto nella Direttiva 91/250/CEE per la quale nei considerando 10, 11 e 12 si prevede che «i programmi per elaboratore svolgono la funzione di comunicare e operare con altri componenti di un sistema informatico e con gli utenti; che a tale scopo è necessaria un’interconnessione e un’interazione logica e, ove opportuno, materiale per consentire a tutti i componenti software e hardware di operare con altri software e hardware e con gli utenti in tutti i modi in cui sono destinati a funzionare;
134
considerando che le parti del programma che assicurano tale interconnessione e interazione fra gli elementi del software e dell’hardware sono generalmente denominate «interfacce»; considerando che tale interconnessione e interazione funzionale è generalmente denominata «interoperabilità»; che tale interoperabilità può essere definita come la capacità di due o più sistemi di scambiare informazioni e di usare reciprocamente le informazioni scambiate».
Il Regolamento UE sulla privacy qualifica la portabilità dei dati come un diritto dell’interessato (art. 20), non a caso inserito nel Capo III, appunto rubricato «Diritti dell’interessato». Lo stesso Regolamento chiarisce la portata e l’essenzialità del diritto in parola, con il dichiarato obiettivo di assicurare piú tutele e libertà per i cittadini, al considerando 68 ove si specifica come sia «opportuno incoraggiare i titolari del trattamento a sviluppare formati interoperabili che consentano la portabilità dei dati» indicando quando il medesimo diritto dovrebbe applicarsi279.
Pertanto, con il diritto alla portabilità dei dati si è liberi di trasferire i propri dati in un mercato digitale piú aperto alla concorrenza. Diritto alla «portabilità» dei propri dati personali che quindi significa diritto di trasferirli da un titolare del trattamento ad un altro. Ad esempio, si potrà cambiare il provider di posta elettronica senza perdere i contatti e i messaggi salvati. È chiaro che ci sono, però, alcune eccezioni che non consentono l’esercizio del diritto: in particolare, quando si tratta di dati contenuti in archivi di interesse pubblico, come ad esempio le anagrafi280.
279 Cfr. Considerando 68 del Regolamento in disamina «Tale diritto dovrebbe applicarsi qualora l'interessato
abbia fornito i dati personali sulla base del proprio consenso o se il trattamento è necessario per l’esecuzione di un contratto. Non dovrebbe applicarsi qualora il trattamento si basi su un fondamento giuridico diverso dal consenso o contratto. Per sua stessa natura, tale diritto non dovrebbe essere esercitato nei confronti dei titolari del trattamento che trattano dati personali nell’esercizio delle loro funzioni pubbliche. Non dovrebbe pertanto applicarsi quando il trattamento dei dati personali è necessario per l’adempimento di un obbligo legale cui è soggetto il titolare del trattamento o per l’esecuzione di un compito svolto nel pubblico interesse oppure nell’esercizio di pubblici poteri di cui è investito il titolare del trattamento».
280 L’art. 20 in commento recita: «1. L’interessato ha il diritto di ricevere in un formato strutturato, di uso
comune e leggibile da dispositivo automatico i dati personali che lo riguardano forniti a un titolare del trattamento e ha il diritto di trasmettere tali dati a un altro titolare del trattamento senza impedimenti da parte del titolare del trattamento cui li ha forniti qualora: a) il trattamento si basi sul consenso ai sensi dell'articolo 6, paragrafo 1, lettera a), o dell'articolo 9, paragrafo 2, lettera a), o su un contratto ai sensi dell'articolo 6, paragrafo 1, lettera b); e b) il trattamento sia effettuato con mezzi automatizzati. 2. Nell’esercitare i propri diritti relativamente alla portabilità dei dati a norma del paragrafo 1, l'interessato ha il diritto di ottenere la trasmissione diretta dei dati personali da un titolare del trattamento all'altro, se tecnicamente fattibile. 3. L’esercizio del diritto di cui al paragrafo 1 del presente articolo lascia impregiudicato l'articolo 17. Tale diritto non si applica al trattamento necessario per l’esecuzione di un compito di interesse pubblico o connesso
135
Il legislatore europeo ha, quindi, non solo recepito che i software utilizzati nel cloud, data la rilevanza che esso ha per il futuro dello sviluppo della società dell’informazione, devono poter essere capaci di scambiarsi i dati, leggendo e scrivendo sullo stesso file e usando lo stesso protocollo per farlo, ma anche che occorreva rafforzare ulteriormente il controllo da parte dell’interessato sui propri dati personali. Di talché ha attribuito allo stesso il diritto, qualora i dati personali siano trattati con mezzi automatizzati, di ricevere in un formato strutturato, di uso comune, leggibile da dispositivo automatico e interoperabile, i dati personali che lo riguardano che abbia fornito a un titolare del trattamento e di trasmetterli a un altro titolare del trattamento. Peraltro, un ulteriore riferimento esplicito alla tecnologia
cloud può rinvenirsi nella circostanza per la quale il diritto in parola è attribuito
all’interessato qualora, tra le altre ipotesi, il trattamento si basi «su un contratto ai sensi dell’art. 6, paragrafo 1, lettera b)».
In altri termini, trattamento effettuato con mezzi automatizzati e basato su un contratto di cui l’interessato è parte, quali condizioni per l’operatività del diritto alla portabilità dei dati, possono considerarsi indici espliciti di riferibilità del diritto medesimo anche alla fattispecie del cloud computing, considerato che alla base dei servizi di cloud v’è pur sempre un contratto e che costituisce un «processo automatizzato» inserire dei dati nella «nuvola» (tramite, beninteso, l’utilizzo della rete internet), poiché ciò realizza un’operazione di caricamento delle stesse su un server unitamente alle operazioni necessarie per renderli poi accessibili a coloro che alla «nuvola» si collegano281.
Ciò posto, anche se alcuni fornitori di servizi cloud non hanno ben compreso (o non vogliono comprendere) l’importanza dell’utilizzo di standard aperti, continuando a definire - indipendentemente l’uno dall’altro - formati ai quali attenersi e che l’utente adotta pedissequamente, con il nuovo Regolamento UE privacy (che, si ricorda, sarà direttamente applicabile in tutti gli Stati dell’Unione europea a partire dal 25 maggio 2018) questa riluttanza verso la previsione di protocolli di standardizzazione per i sevizi cloud sembra giunta al capolinea, cosí aprendosi una nuova era nella fase di progettazione dei programmi volta a garantirne la capacità di scambiarsi le informazioni e di usare reciprocamente le informazioni scambiate.
all’esercizio di pubblici poteri di cui è investito il titolare del trattamento. 4. Il diritto di cui al paragrafo 1 non deve ledere i diritti e le libertà altrui.».
281 Sulla specificazione della nozione di trattamento automatizzato vedi la sentenza sul caso Lindqvist, già
136