Conservazione Sostitutiva in CLOUD
Conservazione sostitutiva in cloud, gli aspetti giuridici da valutare
I vantaggi sono innegabili, ma la protezione dei dati impone cautela. Per rispettare le normative attuali si rende necessaria una stretta collaborazione fra cliente e outsourcer, con responsabilità ben definite a livello contrattuale
Guglielmo Troiano, Avvocato e analista di sistemi informativiIl procedimento di conservazione sostitutiva dei documenti informatici può essere affidato in outsourcing, ovvero, a terzi soggetti che gestiscono un sistema informatico esterno all’azienda.
Ciò è stato chiaramente affermato sin dal 2004 con le regole tecniche dell'Agenzia per l'Italia Digitale (Delibera CNIPA n. 11/2004), tuttavia, ci si chiede spesso se i servizi standard offerti con sistemi di cloud computing possano essere considerati conformi al procedimento di cui si tratta.
Tralasciando le problematiche generali, soprattutto in ambito di protezione dei dati, che i servizi di cloud computing possono comportare, il dato che rileva, in primis, è contenuto nella stessa Delibera ivi richiamata: per poter realizzare concretamente un processo di conservazione sostitutiva è obbligatoria la nomina di un Responsabile della Conservazione.
I compiti del Responsabile della Conservazione
Il RdC deve garantire il corretto svolgimento dell'intero processo di conservazione, dimostrando di possedere competenze sia di natura normativa che di natura tecnico/organizzativa, per cui, se si vuole esternalizzare l'intero processo di conservazione, con l’outsourcer si deve poter creare uno stretto rapporto di collaborazione, una vera e propria partnership.
Oltre al compito principale di apporre, quasi come fosse un sigillo, la propria firma digitale e un riferimento temporale al documento conservato, il RdC deve analizzare i flussi documentali digitalizzati, riparare eventuali guasti al sistema ed effettuare modifiche al servizio a seguito di evoluzioni tecnologiche o normative. Deve garantire la tracciabilità di tutte le operazioni effettuate durante l’intero processo, che permettono di facilitare le operazioni di controllo e verifica effettuate dagli organi preposti e di mappare più facilmente l’iter che il documento ha percorso, permettendo, altresì, di risalire ai vari soggetti che si sono interfacciati al sistema.
Le responsabilità dell’outsourcer
In quest'ottica, i contratti con condizioni predisposte unilaterlamente dai fornitori di servizi di cloud computing quasi mai potranno essere adeguati a tali necessità, salvo il caso in cui si tratti di una società altamente specializzata che ha predisposto clausole contrattuali ad hoc per l'offerta di un servizio specifico di conservazione sostitutiva.
L'utente/cliente, titolare del trattamento dei dati, potrà infatti tutelarsi solo se ha facoltà di dettagliare a livello contrattuale gli obblighi di conformità che intende trasferire all’outsourcer, che si configura come responsabile del trattamento, e adeguare le modalità di controllo con specifici accordi contrattuali.
Sull’outsourcer ricadranno poi responsabilità, in sede civile e penale, relative alla corretta gestione del processo di conservazione, mentre gli errori verificatisi nell’ambito della conservazione di documenti fiscalmente rilevanti, da cui può emergere una responsabilità fiscale e amministrativa, resteranno invece in capo all’impresa.
Infine, il RdC dovrà garantire che il passaggio eventuale del compito ad altro soggetto avvenga senza traumi. A tal proposito, sarà sempre utile richiedere al proprio outsourcer l’utilizzo di tecnologie e sistemi compatibili e interoperabili che consentano la leggibilità del contenuto dei documenti informatici, anche nel lungo periodo, ma soprattutto, che consentano di esportare i propri documenti senza perdere le relative informazioni di cifratura che assicurano la validità legale delle conservazione sostitutiva.
Il rischio del vendor lock-in
Un sistema di conservazione “aperto” potrebbe evitare, come minimo, il cosiddetto “vendor lock- in”, ovvero, la necessità di prodotti dell'azienda “proprietaria” del sistema per leggere correttamente e completamente i dati conservati. I sistemi di cloud computing devono poter essere infatti capaci di scambiarsi dati, leggendo e scrivendo sullo stesso file e usando lo stesso protocollo per farlo.
Tra l'altro, nei casi di conservazione a lungo termine (oltre i 10 anni), si è molto dibattuto relativamente al formato del “file di chiusura”, proprio al fine di garantire la sua leggibilità e interoperabilità nel tempo (problematica che sembra essere stata risolta con le nuove regole tecniche in corso di approvazione).
Serve cautela
Ciò detto, appare assai difficile far rientrare la complessa relazione tra azienda e outsourcer di un servizio di conservazione sostitutiva nei generici e standardizzati contratti di servizi di cloud computing che il mercato offre, stante anche il fatto che i nodi (normativi) da sciogliere sul cloud computing sono ancora molti.
Tuttavia, i vantaggi del cloud computing sono innegabili e molti utenti sono già nella condizione di non volervi rinunciare per nessun motivo. Disponibilità, accessibilità e archiviazione dei propri dati e documenti in ogni momento, gratuitamente e da qualunque dispositivo collegato alla rete sono in effetti una vera panacea per l’utente della società dell’informazione.
D’altro canto, non si può sottacere sui suoi aspetti negativi, anzi, la loro valutazione costituisce una necessaria attività per creare maggiore affidamento e consapevolezza negli utenti.
In attesa che il nuovo regolamento dell’UE sulla data protection entri in vigore, è opportuno che tutti coloro che intendono usufruire, in generale, dei servizi di cloud computing, lo facciano con le dovute attenzioni e cautele, soprattutto se utilizzati in ambito professionale coinvolgendo dati di terzi soggetti che, molto spesso, sono all'oscuro di tutto.