Sull’onda delle scelte statunitensi e su sollecitazione dei diversi vendors, anche la PA nostrana si appresta a spostare parte dei propri servizi in ambito cloud. Quella che può apparire una semplice scelta emulativa o indotta potrebbe però diventare un punto di forza per una nuova strategia di razionalizzazione e gestione dei servizi dell’area IT.
Accanto infatti alle usuali motivazioni che trainano il nuovo paradigma tecnologico del cloud computing (ottimizzazione dei servizi, riduzione dei costi) la peculiarità della realtà della pubblica amministrazione, in quanto sistema di enti diversi e necessariamente interoperanti, ne comporta di ulteriori. Proprio la complessità e la natura integrata del sistema dovrebbe infatti indurre a soluzioni non atomizzate, bensì condivise, di gestione comune delle risorse hardware e software, rispetto alle quali può emergere la funzione facilitante del ricorso al cloud computing. Grazie alla rete ed alla virtualizzazione è infatti possibile aggregare istanze diverse provenienti da vari soggetti, a maggior ragione dove quest’ultimi siano facilmente clusterizzabili in base alle funzioni istituzionali ed ai compiti loro attribuiti. All’interno di ciascun gruppo si avranno così comuni esigenze di elaborazione dati suscettibili di essere soddisfatte attraverso la fruizione delle medesime soluzioni software e, sul fronte della capacità computazionale e di storage, si avranno fluttuazioni similari per servizi dello stesso tipo con la conseguenza di potere gestire in maniera aggregata il fabbisogno di tali risorse sfruttando le potenzialità del cloud per far fronte ai picchi di lavoro.
La spinta verso architetture condivise potrebbe così porre fine alle soluzioni personalizzate, foriere di continue repliche sul territorio, ove sono stati sviluppati diversi applicativi per soddisfare analoghe esigenze. Come nel settore privato poi, dalla fruizione dei servizi di cloud computing potrebbero derivare benefici alle piccole realtà carenti di fondi sufficienti per accedere a servizi di classe superiore, resi invece più economici dall’erogazione a soggetti aggregati ed in modalità cloud.
Non da ultimo l’accentramento favorirebbe i processi di standardizzazione e certificazione.
A queste istanze di tipo economico-gestionale sono poi correlati specifici riflessi sotto il profilo giuridico, anch’essi di segno positivo. Non si tratta infatti solo di agevolare la conformità alle varie disposizioni di contenimento della spesa pubblica, laddove il cloud consenta di ridurne i costi; bensì anche di sfruttare i processi di integrazione ed aggregazione al fine di conseguire una maggiore e più uniforme attuazione di diverse norme che condizionano, specie sotto il profilo organizzativo e procedurale, l’agire della PA. Così la standardizzazione, ove inglobi già in sé i parametri indicati dal legislatore, potrà rendere più agevole conformarsi alla legge e darne prova. Un rafforzamento di tale processo potrà derivare dall’introduzione di sistemi di certificazione, probabilmente destinati a divenire obbligatori in materia di trattamento dati a seguito della prossima revisione della dir. 95/46/CE.
L’integrazione contribuisce inoltre a favorire l’innalzamento dei livelli minimi di performance e di sicurezza, con ricadute positive specie laddove la legge stessa abbia fissato un limite inferiore non superabile in relazione a tali aspetti (v. d.lgs. 196/2003 ed artt. 50-bis e 51 CAD).
Guardando allo specifico dell’applicazione della normativa in materia di dati personali, un punto cruciale è poi non di rado rappresentato dalle difficoltà di adattare un modello piramidale (titolare, responsabile, incaricato) a contesti molte volte a struttura reticolare, con significativi livelli di autonomia dei vari centri di competenza, ma nel contempo con frequente condivisione delle risorse informative. La definizione dell’organigramma del trattamento in tali contesti sovente necessita di un’attenta riflessione che molte volte viene autonomamente svolta da ciascuna amministrazione. Il passaggio al cloud e la correlata necessità di determinare i ruoli fra fornitori del servizio ed amministrazione, potrebbe essere un’occasione, stante la sussistenza di gruppi di realtà omogenee di cui si è detto, anche per predisporre modelli comuni di organizzazione delle responsabilità in tema di trattamento dati. Non solo, proprio in merito alle responsabilità, l’eventuale affidamento dei dati a soggetti che offrono servizi già valutati (sulla base dei futuri standard) conformi alla normativa sul trattamento dati, ridurrebbe significativamente gli adempimenti e gli oneri conseguenti.
La presenza dei diversi profili positivi derivanti dal ricorso al cloud computing da parte della pubblica amministrazione non deve però far passare sotto silenzio alcune problematicità esistenti, al fine di una corretta analisi delle criticità e di una congrua risposta ad esse.
Nello specifico, le funzioni istituzionali attribuite alla pubblica amministrazione nella gestione delle informazioni personali rendono il settore maggiormente sensibile alle implicazioni connesse alle dinamiche dei flussi informativi, siano essi all’interno della medesima architettura cloud o fra diversi ambienti cloud. Con riguardo ai primi si pone il problema della conservazione/cancellazione delle informazioni, posto che l’espletamento di funzioni pubbliche richiede una maggior attenzione sia in termini di copie di sicurezza che di certezza della rimozione dei dati qualora debbano essere cancellati. In proposito la risposta alla prima esigenza può nuocere, in ambito cloud, al soddisfacimento della seconda, poiché l’incertezza circa l’esatta localizzazione dei singoli dati, unita alla presenza di diverse copie di back-up potrebbe non garantire l’avvenuta totale rimozione delle informazioni.
La principale criticità dei flussi di dati all’interno di strutture cloud è tuttavia rappresentato dall’eventuale connotazione transfrontaliera degli stessi ed in specie dall’invio di dati verso data farm situate oltre i confini comunitari. Rinviando a più ampie considerazioni sul punto, va ricordato che l’inoltro di dati in questi casi può avvenire solamente ove venga garantito un livello adeguato di protezione rispetto a quello assicurato dalla dir. 95/46/CE. Se si escludono gli stati (ancor in numero limitato) che hanno adottato normative in materia di data protection riconosciute dalla Commissione europea come idonee ad assicurare tale livello di protezione, nella maggior parte dei casi si dovrà ricorrere allo strumento contrattuale per definire le modalità di trattamento dei dati da parte del fornitore del servizio in maniera conforme a quanto richiesto dal legislatore comunitario (art. 26, §§ 2 e 4, dir. 95/46/CE).
Infine, guardando ai flussi di dati fra diversi ambiti cloud, si pone il problema dell’interoperabilità dei sistemi e della correlata data portability, entrambi condizionati dai rischi di lock-in di mercato e dalla carenza di standard tecnici uniformi.
* Il presente contributo trae spunto dalla relazione su “Cloud computing e pubblica amministrazione: criticità e vantaggi”, tenuta dall’autore al Convegno, organizzato da ASSINTER Italia e Netics, su “Public Private Cloud”, svoltosi il 28 giugno 2011 a Pontecchio Marconi (Bo). L’audio di tale intervento e la relativa presentazione sono fruibili on-line.