Il cloud computing si propone come la tecnologia IT più innovativa e promettente per ridurre i costi delle imprese e migliorarne la produttività: flessibilità, scalabilità e servizi on demand sono elementi preziosi per la crescita. Accanto alle promesse di effetti positivi, tuttavia, si levano voci di ammonimento su alcuni aspetti che, se trascurati, potrebbero costituire un serio problema per le imprese che adotteranno tali tecnologie.
In particolare, il cloud computing va governato per tenere sotto controllo i problemi legati alla privacy, come ha evidenziato Francesco Pizzetti, Garante per la protezione dei dati personali, nel corso del recente Cloud Forum 2011, organizzato da The Innovation Group.
Esistono rischi e problemi irrisolti, che la legislazione dovrà affrontare per tutelare cittadini ed imprese, aggiornando gli strumenti normativi all’evoluzione tecnologica. E’ quanto si sta svolgendo nell’Authority, dove, ha dichiarato il Garante "Stiamo studiando tutte le implicazioni relative al cloud computing e segnalando i problemi che già oggi pone". Lo sguardo che si pone sulla nuvola è attento e conscio che la tecnologia è molto più veloce, nel suo progresso, della evoluzione normativa., al punto che "la direttiva europea e ormai obsoleta" e quindi, di fatto, "stiamo operando in assenza di regole". Queste le parole di Francesco Pizzetti, che ha esordito affermando di avere "più incertezze che sicurezze" nei confronti del cloud computing, tecnologia che, per le sue potenzialità "segnerà il futuro".
Nel dettaglio, i problemi principali risiedono nella sicurezza della rete, le cui violazioni, i "data breaches", che si esplicano in perdite di dati o accessi illeciti ad un sistema informativo, sono gestite in modo ancora molto diverso in ciascuno Stato europeo. E’ la conseguenza dell’eccessiva discrezionalità lasciata agli stati membri dalla direttiva europea Telecom 2, che non prevede di stabilire in misura omogenea il livello di gravità dei “data breaches” per i quali il gestore ha l’obbligo di denuncia alle autorità di protezione dati o di regolazione.
L’assenza di una uniformità tra Paesi in termini di inquadramento normativo è aggravata dalla politica di segretezza sulla localizzazione dei server perseguita dalle grandi strutture, quali Google. E allora, come ha sottolineato il Garante, “se non so dove sta il server, applico le leggi comunitarie o quelle statunitensi?”
Quanto affermato da Francesco Pizzetti non è un rifiuto o una critica al modello di business che propone la nuvola, ma l’osservazione oggettiva che attualmente ci si sofferma solo sugli aspetti tecnologici e di business, mentre gli elementi riguardo "la gestione e la sicurezza dei dati da parte degli stakeholders non è ancora sufficiente".
Invece, "L’uso consapevole del cloud computing non può esistere senza trasparenza e una valutazione del rischio”. Espressioni del Garante che rassicurano gli utenti (cittadini ed imprese)sull’attenzione che il legislatore italiano dedica alla protezione dei dati personali.
