Recentemente, con l’art. 47 della legge n. 35/2012 (di conversione del Dl n. 5/2012), è stato introdotto il comma in cui si dettaglia il programma di misure da adottare per il perseguimento degli obiettivi dell’Agenda digitale italiana, e tra queste, alla lett. d) dell’art. 47, è espressamente menzionata la “promozione della diffusione e del controllo di architetture di cloud computing per le attività e i servizi delle pubbliche amministrazioni”.
In attuazione di tali disposizioni, è stata istituita l’Agenzia per l’Italia digitale - artt. 18 e seguenti del Dl n. 83/2012 (Decreto sviluppo 2012) - quale ente preposto alla realizzazione degli obiettivi dell’Agenda digitale italiana, in base agli indirizzi di intervento elaborati dalla Cabina di regia (all’art. 47 del Dl n. 5/2012).
Tra gli aspetti da valutare nell’adozione da parte della PA di un sistema cloud, quello di maggior rilievo è sicuramente la modalità di gestione dei dati pubblici, che si interseca inevitabilmente con la suddivisione dei diversi profili di responsabilità che si configurano sia all’interno della PA, sia in capo ai diversi soggetti che intervengono nella catena di erogazione dei servizi cloud.
Anche queste problematiche sono oggetto delle Raccomandazioni[3] di DigitPA[4], emanate con l’intento di fornire indicazioni utili per l’adozione dei sistemi cloud nelle PA, “privilegiando un approccio che oltre a proporsi con finalità di razionalizzazione e di risparmio miri anche a promuovere un’organizzazione innovativa dei servizi pubblici on line che le soluzioni tecnologiche e operative del cloud rendono possibile”.
Attori e ruoli
Preliminare all’analisi dei profili di responsabilità è la disamina dei ruoli e degli attori che possono intervenire nell’adozione del servizio cloud.
Con particolare riferimento alle infrastrutture cloud dedicate alla PA, le figure che possono venire in rilievo sono il Cloud Provider (che acquisisce e gestisce le infrastrutture di elaborazione necessarie a fornire i servizi attraverso la rete e assicura l’esecuzione dei programmi che consentono tali servizi), il Cloud Consumer (ossia l’utente o l’organizzazione che sottoscrive un contratto con il Cloud Provider), il Cloud Auditor (il soggetto che può eseguire un controllo indipendente sui servizi erogati da un Cloud Provider, con il fine di esprimere un parere ad esempio in merito alla sicurezza, all’impatto sulla privacy e al livello delle prestazioni), il Cloud Broker (il soggetto che gestisce l’impiego, le prestazioni e l’erogazione dei servizi cloud e cura le relazioni tra il Cloud Provider e il Cloud Consumer)[5] e il Cloud Carrier (il quale agisce come un intermediario, fornendo la connettività e il trasporto di servizi cloud tra il Cloud Consumer e il Cloud Provider, nonché l’accesso al Cloud Consumer attraverso le reti e i dispositivi).
Come evidenziato nelle menzionate Raccomandazioni, attualmente non esistono delle norme specifiche, nazionali o comunitarie, che disciplinino l’erogazione di servizi di cloud computing, sebbene la qualificazione giuridica di un contratto di servizi cloud risulti essenziale al fine di determinare quale sia la disciplina giuridica da applicarsi in questi casi ai rapporti tra le parti contrattuali (PA e Cloud Provider) e, di conseguenza, quali clausole sia opportuno inserire nel contratto stesso.
I modelli contrattuali solitamente proposti dai Cloud Provider appartengono prevalentemente alla categoria dei contratti c.d. per adesione, nei quali, sostanzialmente, le clausole non sono negoziabili e spesso non sono esaustivamente disciplinati profili giuridici delicati (come le responsabilità, i livelli di servizio, le modalità di recesso o la legge applicabile), col rischio di non garantire la necessaria tutela alla PA contraente.
Nonostante parte della dottrina ricomprenda i contratti di servizi cloud nell’alveo di quelli c.d. atipici[6], nel citato documento di DigitPa si ritiene, invece, che essi siano più qualificabili come appalto di servizi, disciplinato dalle disposizioni del codice civile applicabili anche in caso di appalti pubblici di servizi (come espressamente previsto dalle disposizioni del Codice degli appalti, Dlgs n. 163/2006).
Pertanto, la PA che voglia acquisire servizi cloud dovrà seguire le norme procedimentali previste per l’individuazione del Cloud Provider e sottoscrivere con esso un contratto pubblico, ai sensi del Dlgs n. 163/2006 e del relativo Regolamento di esecuzione approvato con Dpr n. 207/2010.
In ogni caso, è opportuno che la PA proceda preliminarmente ad effettuare un’analisi comparativa (prevista anche all’art. 68 del Codice dell’amministrazione digitale[7]) in merito ai possibili modelli di cloud implementabili e che la scelta del Cloud Provider sia effettuata in base al possesso di elevati standard qualitativi, alla stregua dei quali l’aggiudicatario dovrà essere individuato secondo il criterio dell’offerta economicamente più vantaggiosa[8].
Profili di responsabilità
Alla luce delle considerazioni effettuate, dunque, il problema relativo alla gestione dei dati pubblici richiede un’approfondita analisi non tanto in termini di natura tecnico-informatica, aspetto sotto il quale il cloud presenta considerevoli vantaggi, quanto piuttosto sotto il profilo negoziale e contrattuale, strettamente correlato anche alla possibilità per la PA di contrattare con il Cloud Provider l’inserimento di determinate clausole, visto che si tratta in ogni caso di un contratto di appalto pubblico di servizi[9].
Particolare attenzione, infatti, dovrà essere rivolta dalla PA contraente alla garanzia di livelli di servizio e al rispetto della disciplina di tutela dei dati personali, stabilendo con precisione la responsabilità contrattuale del Cloud Provider e degli ulteriori eventuali soggetti coinvolti nell’erogazione dei servizi cloud, nel caso in cui si verifichino violazioni o danni alla stessa PA contraente o a soggetti terzi (ad esempio, cittadini interessati al trattamento dei dati o utenti e imprese destinatari dei servizi erogati in modalità cloud).
Soprattutto in riferimento alla protezione dei dati, sarebbe auspicabile l’adozione anche di esplicite clausole di Privacy Level Agreement (Pla) nei contratti fra PA e Cloud Provider, ossia di una sorta di Service Level Agreement (Sla) riferito ai livelli e alle garanzie di tutela e sicurezza dei dati personali che il Cloud Provider si impegna a mantenere verso la PA contraente.
L’adozione di tale tecnologia informatica nell’ambito della pubblica amministrazione, infatti, è inevitabilmente connotata da alcune peculiarità nella regolamentazione giuridica e nella gestione dei rapporti tra i diversi soggetti coinvolti nella fornitura del servizio: il Cloud Provider solitamente assume un ruolo preponderante rispetto alla PA contraente circa il profilo della sicurezza, soprattutto riguardo alle scelte relative alla circolazione dei dati nei diversi luoghi (si pensi all’allocazione dei server) e tra distinti soggetti (come, ad esempio, i suoi subfornitori).
Proprio in considerazione di questo fatto, nelle menzionate Raccomandazioni di DigitPA è stato messo in rilievo che, sebbene sia indiscusso che la PA che acquista servizi cloud debba essere senz’altro considerata quale “Titolare di trattamento”[10], alcuni problemi di inquadramento giuridico si pongono per il fornitore di servizi di cloud computing.
Il Provider, infatti, qualora residuino spazi di autonomia decisionale riguardo alle modalità di trattamento dei dati personali dei cittadini, potrebbe essere considerato, insieme alla PA, quale titolare autonomo del trattamento ex art. 28 del Dlgs n. 196/2003 (codice Privacy).
Ai sensi della vigente normativa privacy, in effetti, sembrerebbe più ragionevole la scelta di una soluzione basata sulla titolarità autonoma tra i due soggetti coinvolti.
Diversamente, ove la PA riesca ad impartire istruzioni specifiche e dettagliate al Cloud Provider in ordine alle finalità e alle modalità di trattamento dei dati, nonché ad esercitare quel controllo tipico del rapporto titolare-responsabile, il fornitore di servizi cloud dovrà essere nominato responsabile ex art. 29 del codice Privacy.
In ogni caso, il trattamento dei dati pubblici, sia nel ruolo di ‘titolare’, sia in quello di ‘responsabile’, comporta una delega in capo allo stesso Cloud Provider di una fase importantissima dell’espletamento dei pubblici servizi.
Qualora, dunque, nelle diverse fasi inerenti alla gestione dei dati di rilievo pubblicistico e nell’erogazione di taluni servizi cloud il Provider si trovasse nelle oggettive condizioni di partecipare all’esercizio dei poteri propri della pubblica amministrazione, quali ad esempio quelli di natura “certificativa”, appare corretto ritenere sussistente una qualifica pubblicistica in capo allo stesso Cloud Provider fornitore di una PA.
L'articolo di Andrea Lisi e Sarah Ungaro, Digital&Law Department - Studio legale Lisi, è tratto dal numero di ottobre 2012 di Guida al Pubblico impiego.
_________________________________
[1] Di cui al Dlgs n. 82/2005.
[2] Ci si riferisce anche al legislatore europeo. Le infrastrutture cloud sono considerate strategiche non solo nell’Agenda digitale europea, ma la Commissione europea sta anche avviando la European Cloud Partnership che punta a favorire lo sviluppo di un mercato europeo dei servizi cloud concordando requisiti e standard comuni e promuovendo il procurement di servizi cloud da parte del settore pubblico. Inoltre, è attesa a breve la pubblicazione di una strategia cloud europea, annunciata dalla vice presidente della Commissione Ue Neelie Kroes, la cui preparazione è stata accompagnata da numerosi studi e approfondimenti tecnici e da una vasta consultazione sul tema.
[3] “Raccomandazioni e proposte sull’utilizzo del cloud computing nella pubblica amministrazione”, versione del 28 giugno 2012.
[4] Ora Agenzia per l’Italia digitale, a seguito degli artt. 19 e seguenti del Dl 22 giugno 2012, n. 83, recante disposizioni urgenti per la crescita del Paese, convertito, con modificazioni, dalla legge del 7 agosto 2012, n. 134.
[5] Il Cloud Broker, come specificato nelle menzionate Raccomandazioni di DigitPA, esplica la sua attività soprattutto nelle fasi di intermediazione (estendendo un servizio cloud e fornendo servizi a valore aggiunto ai Cloud Consumer, ad esempio la gestione dell’accesso, dell’identità o della sicurezza), aggregazione (combinando e integrando servizi diversi in un servizio nuovo, assicurando l’integrazione e la sicurezza dei dati trasferiti tra il Cloud Consumer e i differenti Cloud Provider) e arbitraggio (scegliendo i servizi Cloud da fornitori diversi in modo flessibile e dinamico, facendo ricorso a criteri di economicità o di disponibilità).
[6] In quanto i servizi oggetto di tali contratti non vengono realizzati di volta in volta per i singoli utenti, ma questi ultimi si limitano ad utilizzare servizi già precedentemente realizzati.
[7] Dlgs n. 82/2005, art. 68, ‘Analisi comparativa delle soluzioni’:
1. Le pubbliche amministrazioni, nel rispetto della legge 7 agosto 1990, n. 241, e del decreto legislativo 12 febbraio 1993, n. 39, acquisiscono, secondo le procedure previste dall'ordinamento, programmi informatici a seguito di una valutazione comparativa di tipo tecnico ed economico tra le seguenti soluzioni disponibili sul mercato:
a) sviluppo di programmi informatici per conto e a spese dell'amministrazione sulla scorta dei requisiti indicati dalla stessa amministrazione committente;
b) riuso di programmi informatici, o parti di essi, sviluppati per conto e a spese della medesima o di altre amministrazioni;
c) acquisizione di programmi informatici di tipo proprietario mediante ricorso a licenza d'uso;
d) acquisizione di programmi informatici appartenenti alla categoria del software libero o a codice sorgente aperto;
e) acquisizione mediante combinazione delle modalità di cui alle lettere da a) a d).
2. Le pubbliche amministrazioni nella predisposizione o nell'acquisizione dei programmi informatici, adottano soluzioni informatiche, quando possibile modulari, basate sui sistemi funzionali resi noti ai sensi dell'articolo 70, che assicurino l'interoperabilità e la cooperazione applicativa e consentano la rappresentazione dei dati e documenti in più formati, di cui almeno uno di tipo aperto, salvo che ricorrano motivate ed eccezionali esigenze.
2-bis. Le amministrazioni pubbliche comunicano tempestivamente al DigitPA l'adozione delle applicazioni informatiche e delle pratiche tecnologiche, e organizzative, adottate, fornendo ogni utile informazione ai fini della piena conoscibilità delle soluzioni adottate e dei risultati ottenuti, anche per favorire il riuso e la più ampia diffusione delle migliori pratiche. (Omissis).
[8] Si vedano gli artt. 41, 42 e 83 del Codice degli appalti pubblici (Dlgs n. 163/2006).
[9] Come diffusamente sottolineato nelle Raccomandazioni emanate da DigitPA.
[10] A tal proposito, si ricorda che l’art. 58 del Dlgs n. 82/2005 (Codice dell’amministrazione digitale) afferma un importante principio, disponendo che “il trasferimento di un dato da un sistema informatico a un altro non modifica la titolarità del dato”. I dati, pertanto, rimangono nella responsabilità della pubblica amministrazione con tutte le relative implicazioni in termini di sicurezza e organizzazione.
©RIPRODUZIONE RISERVATA
