Cloud Storage per gli avvocati: opportunità e rischi per gli studi legali


I vantaggi del cloud storage sono evidenti a tutti sia in Italia che in America, dove il cloud ha visto la luce:

- Costi abbattuti

- Spazio online per l'archiviazione dei documenti

- Condivisione dei file con i colleghi

- Modifica dei file direttamente dal browser in tempo reale

- Efficienza nella gestione, condivisione ed accesso ai file.

Un post apparso sul sito http://www.iavvocato.eu ha sottolineato sia l'importanza del cloud storage che i rischi che questo comporta nell'esercizio della professione legale. Ecco il post pubblicato sul loro sito. La prima questione da analizzare a livello intuitivo riguarda la privacy dei documenti legali, che per un avvocato rappresenta il core business della sue professione. Ma il post parla anche di altri aspetti in maniera molto esaustiva.

Siccome il post in questione ritengo sia molto soddisfacente e molto interessante per un avvocato, ho deciso di pubblicarlo interamente qui in questo blog.

Buona lettura:

Indice

1. Dropbox e il cloud computing

2. La privacy e l’avvocato.

2.1. Introduzione

2.2. È vietato tutto ciò che non è espressamente consentito.

2.3. Ciò che è vietato: i vincoli.

2.4. L’autorizzazione del Garante.

2.5. Il Safe Harbour e le imprese USA “sicure” sotto il profilo della legge sulla Privacy.

3. Soluzioni.

3.1. La soluzione ottimale.

3.2. Le soluzioni sub-ottimali. Pro e contro pratici/rischio giuridico.

4.Conclusioni

1. Dropbox e il cloud computing.

Questo blog aveva già indicato Dropbox tra le “10applicazionimusthaveperilvostronuovoiphone”. L’applicazione ha il suo punto di forza nella semplicità. Per avere i 2 gigabite di spazio gratuiti è sufficiente andare sul sito di Dropbox e registrarsi (se lo fate da questo link avrete 250 MB aggiuntivi). Il secondo passo è scaricare il software leggerissimo sul vostro computer (Dropbox è disponibile per Mac, Pc, e anche Linux). Una volta installato (e il procedimento di installazione è davvero immediato e senza fronzoli) il programma crea una semplice cartella nel computer (l’utente può decidere dove installarla). Questa cartella viene duplicata online, e i documenti che si trovano nella stessa sono sempre tenuti sincronizzati con la copia online. Possono essere articoli di dottrina, sentenze o interi fascicoli.

Quegli stessi documenti sono poi accessibili da qualsiasi computer collegato ad internet, accedendo al sito di Dropbox ed inserendo i propri login e password.

Oppure, qualora si abbia la necessità di sincronizzare il contenuto di una o più cartelle tra due computer (ad esempio casa e ufficio), è sufficiente installare Dropbox su entrambi usando gli stessi login e password per attivare entrambi, e le stesse cartelle del Dropbox del primo appariranno – quasi magicamente vista la semplicità del procedimento – nel secondo computer. Questo, di fatto, elimina la necessità di una chiavetta USB se si devono trasferire dati tra due computer connessi ad internet.

Oppure si può decidere di condividere una sottocartella relativa ad una pratica con un cliente, oppure con un collega (semplicemente attraverso un click destro del mouse e inviando l’invito), ma per farlo anch’egli dev’essere iscritto a Dropbox (oppure si deve iscrivere nel momento in cui riceve l’invito a condividere la cartella).

Il programma è, ovviamente, dotato di un’ottima applicazione universale per iPhone e iPad, disponibile gratuitamente su App Store (ed esistono anche le versioni per Android e Blackberry).

Insomma, come già accennato, grande semplicità d’uso, immediatezza, universalità e funzionamento apparentemente privo di bugs, sono i punti di forza di questo servizio che si appoggia al servizio di server di Amazon‘sSimpleStorageService (S3) per funzionare.

Questo significa che alla policy sulla sicurezza dei dati di Amazon si aggiunge quella diDropbox, il che dovrebbe garantire maggiore affidabilità. Tuttavia, nonostante i proclami roboanti del sito, permangono – ad oggi irrisolti – alcuni punti di criticità che ostacolano un sereno utilizzo professionale di Dropbox (anche se nella prassi quotidiana il programma è di fatto utilizzato da molti colleghi).

In particolare, come vedremo, il fatto che Dropbox utilizzi server Amazon localizzati in California pone alcuni problemi legati alla normativa UE ed a quella interna in materia di tutela della Privacy.

In sostanza e per evitare di dilungarci troppo, Dropbox può svolgere sia la funzione di disco di backup online dei dati, sia – ad esempio affiancato ad iPad – la funzione di garantire un accesso costante alla documentazione relativa a un fascicolo o una causa, sempre aggiornata, dovunque.

Le due funzioni sono diverse. Non sotto il profilo giuridico-concettuale ma – come si vedrà – per quanto riguarda il funzionamento pratico. La differenza pratica produce dei riflessi nel rapporto tra funzionalità e legittimità, legati alle diverse soluzioni tecnologiche disponibili a seconda della funzione che si vuole usare.

Come vedremo, se per quanto riguarda la funzione di back-up online dei dati, esistono diverse soluzioni soddisfacenti che consentono di salvaguardare, contemporaneamente, tutela dei dati e funzionalità, non altrettanto si può dire per l’utilizzo più sofisticato e coinvolgente dell’iPad quale fascicolo digitale always-on. Per quest’ultima funzione esistono – ad oggi – soluzioni alternative a Dropbox, ma che richiedono comunque di fare una scelta di compromesso tra sicurezza e funzionalità.

* * *

2. La privacy e l’avvocato.

2.1. Introduzione

Abbiamo, dunque, deciso di prendere di petto il problema, e iniziare ad analizzare in modo approfondito le problematiche giuridiche legate all’uso di strumenti come Dropbox, se impiegati nell’ambito dell’attività professionale. Problematiche che si risolvono, principalmente, in una valutazione di compatibilità con le norme Ue (direttiva 95/46/CE) e con le norme italiane di cui al c.d. Codice della Privacy (d.lgs. n. 196/2003).

Il libero professionista può, infatti, usare il servizio di cloud storage sia per i propri filepersonali (foto, musica ecc.), sia per quelli lavorativi. Ed è proprio l’uso professionale che sarà oggetto di questo approfondimento.

Il fenomeno è, come anticipato, di grande attualità, atteso che, se, da un lato, le grandi possibilità che fanno da corollario all’utilizzo di strumenti di cloud-computing (come dimostra per altro la grande diffusione negli studi legali americani) consentono un salto in avanti notevole in termini di mobilità (soprattuto, ma non solo, se usati con strumenti come iPhone o iPad e/o altri tablet), di backup, di condivisione ecc., dall’altro lato l’ovvia delicatezza dei file di lavoro (quali lettere, atti giudiziari, pareri o, anche, fascicolo digitale completo magari contenente anche situazioni sanitarie del cliente o della controparte) costringe il legale che voglia utilizzarli a porsi con attenzione determinati interrogativi in materia di sicurezza e riservatezza delle metodologie utilizzate. Queste considerazioni valgono, analogamente, anche per altri liberi professionisti: ad esempio per i dottori commercialisti che possono utilizzare Dropbox con file di contabilità dei clienti (fatture, ecc.) o per le dichiarazioni dei redditi (quindi con file concernenti spese sanitarie ecc., ovvero dati sicuramente sensibili), magari condividendoli con i clienti stessi, vista la semplicità e l’efficenza dello strumento.

Numerosi sono stati, quindi, gli aspetti normativi considerati, nella speranza di non aver tralasciato alcun profilo rilevante, e con l’obbiettivo, se possibile, di offrire una o più soluzioni compatibili con la privacy quando i file di lavoro vengono depositati su server posti al di fuori dalla UE, come nel caso di Dropbox.

Torna all’indice

* * *

2.2. È vietato tutto ciò che non è espressamente consentito.

Al di fuori di alcune, pur importanti, ipotesi derogatorie che saranno di seguito tratteggiate, (ovvero quelle indicate negli art. 43 e 44 del Codice della Privacy), “il trasferimento anche temporaneo fuori del territorio dello Stato, con qualsiasi forma o mezzo, di dati personali oggetto di trattamento, diretto verso un Paese non appartenente all’Unione europea, è vietato quando l’ordinamento del Paese di destinazione o di transito dei dati non assicura un livello di tutela delle persone adeguato” (cfr. art. 45 Codice della Privacy).

* * *

Preliminarmente è utile sgombrare il campo da ciò che, fortunatamente,non è necessario fare ai sensi della normativa vigente: non è necessaria la notifica preventiva al Garante.

Ci sembra, infatti, di poter affermare – con un ragionevole grado di certezza – che non sia necessaria alcuna notifica preventiva al Garante per il trattamento, attraverso strumenti come Dropbox, di quei dati dei clienti ordinariamente gestiti da un’avvocato.

La previsione della notifica quando il trattamento comporta il trasferimento all’estero dei dati (art. 37 comma 3 del Codice della Privacy) vale solo per i seguenti trattamenti (individuati al 1° comma dell’art. 37): “a) dati genetici, biometrici o dati che indicano la posizione geografica di persone od oggetti mediante una rete di comunicazione elettronica; b) dati idonei a rivelare lo stato di salute e la vita sessuale, trattati a fini di procreazione assistita, prestazione di servizi sanitari per via telematica relativi a banche di dati o alla fornitura di beni, indagini epidemiologiche, rilevazione di malattie mentali, infettive e diffusive, sieropositività, trapianto di organi e tessuti e monitoraggio della spesa sanitaria; c) dati idonei a rivelare la vita sessuale o la sfera psichica trattati da associazioni, enti od organismi senza scopo di lucro, anche non riconosciuti, a carattere politico, filosofico, religioso o sindacale; d) dati trattati con l’ausilio di strumenti elettronici volti a definire il profilo o la personalità dell’interessato, o ad analizzare abitudini o scelte di consumo, ovvero a monitorare l’utilizzo di servizi di comunicazione elettronica con esclusione dei trattamenti tecnicamente indispensabili per fornire i servizi medesimi agli utenti; e) dati sensibili registrati in banche di dati a fini di selezione del personale per conto terzi, nonché dati sensibili utilizzati per sondaggi di opinione, ricerche di mercato e altre ricerche campionarie; f) dati registrati in apposite banche di dati gestite con strumenti elettronici e relative al rischio sulla solvibilità economica, alla situazione patrimoniale, al corretto adempimento di obbligazioni, a comportamenti illeciti o fraudolenti”.

Dalla normativa sulla tutela della privacy non emergono particolari problemi legati all’uso di Dropbox quando il trasferimento, anche temporaneo, fuori del territorio dello Stato, con qualsiasi forma o mezzo, di dati personali oggetto di trattamento e diretto verso un Paese non appartenente all’UE concerne dati riguardanti persone giuridiche, enti o associazioni in quanto espressamente consentito dalla deroga di cui all’art. 43, comma 1°, lettera h) del Codice della Privacy.

Ovviamente la sicurezza dei dati trattati pone, anche con riferimento alle persone giuridiche, importanti interrogativi riguardanti la sicurezza dei dati e la responsabilità del professionista per la diligenza utilizzata. Ma sono profili di tipo contrattuale e deontologico, non legati alla tutela della privacy.

* * *

2.3. Ciò che è vietato: i vincoli.

Il discorso si fa, invece, enormemente più delicato quando i dati trasferiti in paesi extra UE riguardano le persone fisiche in quanto le norme applicabili dettano una disciplina piuttosto articolata. L’art. 43 del Codice della Privacy consente il trasferimento di dati di persone fisiche (non solo quelli sensibili, ma tutti i tipi di dati, quindi anche, ad es., la semplice rubrica dei contatti) in paesi extra UE in una serie di ipotesi (comma 1° lettere b) – g)) tutte, però, caratterizzate dal principio della necessità del trattamento: l’utilizzo, però, del servizio di Dropbox o altri strumenti analoghi di cloud storage è una mera facoltà, una possibilità. La medesima norma alla lettera a) ci offre, tuttavia, una prima soluzione, seppure parziale, in quanto autorizza espressamente il trasferimento di dati verso paesi non UE quando “l’interessato ha manifestato il proprio consenso espresso o, se si tratta di dati sensibili, in forma scritta”. Soluzione parziale in quanto il consenso potrà, ovviamente, essere rilasciato solo dal proprio cliente e non certo dalla controparte o dalle controparti persone fisiche (se sono persone giuridiche, enti o associazioni o Uffici della P.A. il problema, come visto sopra, non si pone). A tale scopo non aiuta l’Autorizzazione del Garante n. 4/2009 al trattamento dei dati sensibili da parte dei liberi professionisti (G.U. n. 13 del 18.01.2010 – suppl. ord. n. 12) la quale prevede che “il trattamento deve essere effettuato unicamente con logiche e mediante forme di organizzazione dei dati strettamente indispensabili in rapporto all’incarico conferito dal cliente”; ancora una volta l’impiego di servizi come Dropbox non può certamente configurarsi come strettamente indispensabile con l’incarico conferito.

Inoltre si sottolinea che, a nostro parere, il consenso e l’informativa dovranno essere redatti in maniera molto scrupolosa per evitare di incorrere in responsabilità; il Gruppo dei Garanti Europeo ha, infatti, segnalato la difficoltà, in concreto, di dimostrare di aver dato all’interessato una corretta informazione ovvero di poter provare che l’interessato è stato messo a conoscenza del trasferimento all’estero e della effettiva destinazione e della assenza, se del caso, di un regime di tutela adeguato presso quel paese. In conseguenza di ciò, il preventivo consenso dovrà, a nostro avviso, indicare anche specificatamente il tipo di trattamento informatico che si intende attuare, l’indicazione del servizio che si vuole impiegare (dichiarando espressamente di volersi avvalere ad es. di Dropbox), le persone che vi possono accedere e gli strumenti impiegati dal legale (ad es. computer, iPhone, iPad ecc.), l’indicazione del Paese in cui sono localizzati i server ove risiederanno i dati, il rischio conseguente al regime giuridico diverso, e meno protettivo rispetto a quello UE, del Paese ed ogni altra informazioni utile a dimostrare il livello di sicurezza adottato per il trattamento dei dati.

* * *

2.4. L’autorizzazione del Garante.

Il trasferimento di dati verso un Paese extra UE è, inoltre, ammesso quando è autorizzato dal Garante sulla base di adeguate garanzie per i diritti dell’interessato che possano risultare anche da un contratto oppure sulla base di decisioni (ex artt. 25, paragrafo 6, e 26, paragrafo 4, della direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995) della Commissione europea che constata un livello di protezione adeguato o che alcune clausole contrattuali offrono garanzie sufficienti (cfr. art. 44 Codice della Privacy). Nell’ambito di tali due principi il trasferimento in Paesi extra UE è, dunque, in astratto possibile ove l’azienda fornitrice del servizio di cloud storage adotti nel contratto stipulato con l’utente quell’insieme di clausole contrattuali tipo di cui alla Decisione della Commissione Europea del 5 febbraio 2010 n. 2010/87/UE (pubblicata su G.U.C.E. L 39/5 del 12.02.2010 e recepita dal Garante italiano con l’Autorizzazione generale n. 35 del 27.05.2010 in G.U. n. 141 del 19.06.2010) volte a costituire garanzie sufficienti ai fini della tutela della riservatezza, dei diritti e delle libertà fondamentali delle persone, nonché per l’esercizio dei diritti connessi in caso di trasferimento di dati personali verso paesi terzi. Dropbox non si avvale, tuttavia, di tali clausole contrattuali tipo e quindi viene meno uno dei due principi sopra indicati per il trasferimento di dati di persone fisiche verso Paesi non UE.

* * *

2.5. Il Safe Harbour e le imprese USA “sicure” sotto il profilo della legge sulla Privacy.

Il secondo principio posto a salvaguardia della funzionalità degli scambi dalla normativa europea e quindi da quella nazionale è quello della Decisione adottata dalla Commissione europea la quale individua un livello di protezione adeguato a quello vigente nell’ambito dell’Unione Europea in Paesi terzi ai fini della tutela della vita privata o dei diritti e delle libertà fondamentali della persona. Questo procedimento prevede una serie di passaggi impegnativi – proposta della Commissione, parere del Gruppo dei Garanti Europei, parere del Comitato dei Rappresentanti degli Stati membri, scrutinio del Parlamento europeo, adozione della decisione da parte del collegio dei Commissari – e termina con una decisione di adeguatezza; si comprende facilmente come siano stati ritenuti adeguati un limitato numero di Paesi. Ad oggi, infatti, la Commissione ha reputato di poter esprimere un giudizio positivo di adeguatezza nei confronti di Australia, Canada, Argentina, Ungheria, Svizzera, Isola di Man, Guernsey e Stati Uniti limitatamente al programma Safe Harbor.

Il programma Safe Harbor scaturisce dalla Decisione del 26 luglio 2000 n. 2000/520/CE (inG.U.C.E. L 215 del 25.08.2000 e G.U.C.E. L 115 del 25.04.2001) in base alla quale i “Principi di approdo sicuro in materia di riservatezza” allegati alla medesima decisione, applicati in conformità agli orientamenti forniti da talune “Domande più frequenti” (FAQ) parimenti allegate, garantiscono un livello adeguato di protezione dei dati personali trasferiti dalla UE ad organizzazioni aventi sede negli USA sulla base della documentazione pubblicata dal Dipartimento del commercio statunitense.

Esso è, in concreto, costituito da una serie di principi, sintetizzati da una serie di “Domande più frequenti” (FAQ), redatti dal Dipartimento del Commercio USA in accordo con l’UE al fine di garantire un livello adeguato di protezione dei dati personali trasferiti da persona fisica o giuridica o enti residenti in quest’ultima a soggetti aventi sede negli Stati Uniti. Va sottolineato che le imprese sono tenute ad una “AnnualReaffirmation” dell’autocertificazione di adesione ai criteri del Safe Harbor, pena la perdita dei relativi benefici.

Resta da chiarire se il trasferimento di dati verso aziende aderenti al Safe Harbor “aventi sede” negli Stati Uniti copra anche i casi in cui queste aziende possiedano numerosi server al di fuori sia degli Stati Uniti sia dell’UE e adottino – a fini di sicurezza – una policy di “non disclosure” della collocazione fisica dei dati. Dalla lettura del box a pagina 5 delle risposte alle “Domande più frequenti” (FAQ) pubblicate dalla Commissione Europea sembrerebbe che la partecipazione dell’impresa USA al safe harbour sia ritenuta garanzia sufficiente, tuttavia vista la delicatezza del tema sarebbe auspicabile un chiarimento ufficiale (la FAQ, infatti, espressamente prevede che le risposte in essa contenute “do not have any legal value and do not necessarily represent the position that the Commission may adopt in a particular case“).

Nel nostro paese il Safe Harbor è stato recepito con la Deliberazione del Garante n. 36 del 10 ottobre 2001 denominata “Autorizzazione al trasferimento verso gli Stati Unti d’America” (in G.U. 26.11.2001 n. 275 – suppl. ord. n. 250) che, appunto, autorizza i trasferimenti di dati personali dal territorio dello Stato verso organizzazioni aventi sede negli Stati Uniti effettuati sulla base e in conformità ai “Principi di approdo sicuro in materia di riservatezza”, applicati in conformità alle “Domande più frequenti” (FAQ) e all’ulteriore documentazione allegata alla Decisione della Commissione europea del 26 luglio 2000 n. 2000/520/CE.

La Camera di commercio americana mette a disposizione un link al quale è possibile verificare quali aziende sono in regola e dunque “affidabili” sotto il profilo della tutela dellaprivacy Europea.

* * *

3. Soluzioni

3.1. La soluzione ottimale.

Teoricamente, la soluzione ottimale sarebbe che Dropbox consentisse all’utente di scegliere quali server Amazon S3 utilizzare (esistono anche dei server AmazonS3 inEuropa, in particolare in Irlanda). Noi, professionisti Comunitari, potremmo scegliere i server fisicamente siti in territorio irlandese e il problema normativo sarebbe risolto completamente: niente più trasferimento “extra UE” dei dati e le libertà comunitarie ci proteggerebbero dall’essere discriminati per l’uso di un sever UE, pur continuando ad approfittare in pieno della estrema semplicità di Dropbox. Purtroppo, però, la società americana non consente questa scelta. Né, a leggere i forum sul suo sito, al momento sembrano intenzionati prenderla in considerazione (in uno di questi forum, sul quale vi invito ad andare – su questo link – è possibile votare questa feature tra quelle che si vorrebbero disponibili: chissà che se si è in tanti non sentano la pressione).

In ogni caso, per ora i server S3 Amazon utilizzati continuano ad essere quelli californiani, e purtroppo Dropbox non aderisce al protocollo Safe Harbour, né sembra pianifichi di aderirvi nell’immediato futuro.

Certo, è pur vero che Amazon (al pari di Google e Apple, ma diversamente da Dropbox) aderisce al protocollo Safe Harbour, dunque teoricamente si potrebbe anche sostenere l’insussistenza di un problema di violazioni della legge sulla privacy, posto che l’impresa fisicamente in charge dello storage dei dati aderisce – anche con riferimento ai suoi serversiti in California – ai parametri di compatibilità con la normativa comunitaria stabiliti dalla camera di commercio americana sulla base delle indicazioni della Commissione Europea.

Quest’ultimo è certamente un valido argomento. Tuttavia è difficile ignorare che tra Amazon e il professionista che decidesse di usare la “nuvola” di Dropbox per archiviare i dati personali dei clienti si andrebbe a frapporre un’altra società – Dropbox – non-UE, non-aderente al protocollo Safe Harbour (e dunque non vincolata ai parametri UE di tutela dellaprivacy) e i cui tecnici sono fisicamente in grado di accedere ai dati.

Anche perché, per completezza e precisione, dobbiamo ricordare che pur essendo vero i dati archiviati su Dropbox:

● sono trasmessi su protocollo sicuro (https) e

● sono archiviati crittografati sui loro server

tuttavia la chiave crittografica è detenuta solo ed esclusivamente da Dropbox.

Cautelativamente, dunque, in assenza di qualsiasi pronunciamento ufficiale a riguardo, non ci sentiamo sereni a raccomandare un tale uso per gestire dati relativi a clienti persone fisiche.

* * *

3.2. Le soluzioni sub-ottimali. Pro e contro pratici e rischio giuridico.

3.2.1. Jungledisk

Tra i servizi alternativi a Dropbox abbiamo provato e testato (su piattaforma Mac Osx e iPad) quello di Jungledisk ed è quello che maggiormente risulta conforme alla normativa sulla privacy: il servizio presenta alcuni indubbi vantaggi, ma anche alcuni difetti operativi. Il servizio funziona praticamente come Dropbox, esiste però soltanto a pagamento. Il software relativo è multipiattaforma (Windows, Linux, Mac Osx, iPad ecc.), ma offre molte più opzioni e possibilità sia per la sincronizzazione tra computer diversi, sia per il backup dei dati. Proprio per questo, la fase dell’installazione è sicuramente un pochino più macchinosa rispetto a Dropbox. Si deve, infatti, scegliere, se appoggiarsi ai serverJungledisk o in alternativa ai server Amazon S3; in quest’ultimo caso bisogna però prima attivare un account (a pagamento, dove si pagherà lo spazio occupato ed il traffico di dati ma non vi sono limiti di spazio sui server: per un utilizzo normale non è affatto costoso) su Amazon S3 dove si può scegliere se impiegare i server americani o quelli irlandesi. Come detto il servizio presenta diversi aspetti che ci portano a ritenerlo compatibile con la normativa europea ed italiana sulla privacy: 1) Amazon ha aderito ai principi del Safe Harbor; 2) in ogni caso, scegliendo i server irlandesi si rimane all’interno della UE senza compiere, pertanto, alcun trasferimento di dati all’estero; 3) l’utente, oltre alla password dilogin, può sceglierne una seconda con cui proteggere, in modo trasparente ed efficiente anche in termini di velocità, tutti i file che vengono crittografati sul proprio pc e vengono poi inviati al server. Quest’ultima funzione è stata da noi verificata sia accedendo ai nostri file via browser, sia con l’app per iPad (http://itunes.apple.com/us/app/jungle-disk/id359523081?mt=8) ed in entrambe le ipotesi ci è stata richiesta la secondapassword per potervi accedere. L’applicazione per iPad ha, al momento, un grosso limite, ovvero i file si possono solo vedere ma non si possono modificare. Sul forum dell’azienda è detto che tale possibilità verrà aggiunta in una prossima versione dell’applicazione ma, al momento e dopo dieci mesi, tutto tace.

3.2.2. Criptaggio

Per adempiere totalmente alla normativa sulla privacy l’utente può provvedere autonomamente a criptare i file in locale prima che vengano trasferiti sui server di terze parti che forniscono i servizi di cloud storage; questo potrebbe, a nostro parere, evitare che il comportamento posto in essere dal professionista integri la fattispecie normativa astratta vietata dal codice della privacy (verrebbe meno il concetto di “trasferimento all’estero di dati personali”) dal momento che – in realtà – a seguito del criptaggio verrebbero trasferiti all’estero non dati personali ma una sequenza di dati illeggibile senza la chiave di decriptazione.

Si può ad esempio usare un programma come Truecrypt (opensource e multipiattaforma) ovvero creare un contenitore, nel quale inserire tutti nostri file, nella directory di sincronizzazione; il contenitore verrà caricato sul server di Dropbox in un sensibile numero di ore la prima volta, ma successivamente, per grande che sia il contenitore, il tempo impiegato per la sincronizzazione diminuirà in quanto verranno sincronizzati solo i file modificati, ovvero solo il delta del contenitore modificato, rendendo l’operazione sicuramente molto, ma molto, più veloce. Ovviamente la trasmissione delle aggiunte o delle modifiche operate sui nostri file verranno caricate solo quando chiuderemo il contenitore Truecrypt.

Alternativamente si possono usare altri programmi come ad esempio Axcrpt (opensourcema solo per ambienti Windows); tutti file dovranno, però, essere singolarmente criptati e poi trasmessi ai server Dropbox.

L’altra grossa scomodità operativa nel seguire le due possibilità sopra delineate è quella che, per poter usare i file con un computer diverso da quello abituale, questi ultimi non sono immediatamente disponibili per la lettura e/o per la modifica ma necessitano di essere prima scaricati sul computer e poi decriptati. Inoltre, questi sistemi non possono al momento essere usati con l’iPad in quanto non esistono versioni disponibili per tale piattaforma.

3.2.3. WebDav

In alternativa alle opzioni sopra proposte si può pensare di creare sul proprio server di studio e/o di ufficio un sevizio di WebDav in modo da poter gestire i file, anche da remoto, in tutta libertà. Si può, quindi, attivare tale servizio o su un server Linux, o Windows Server o Mac OSX Server (quest’ultimo ha il supporto nativo). Tale scelta ha il pregio di poter configurare e gestire il proprio servizio di cloud storage come si vuole (usando filesystemcrittografati, accessi selettivi e personalizzati ecc.) oppure si possono usare soluzionihardware tutto sommato, molto semplici, come ad esempio quelle proposte dallaPogoplug.

Tutte queste possibilità presentano, però, una serie di potenziali svantaggi da ponderare attentamente.

In primo luogo è bene tenere conto che ricade sul professionista e/o sullo studio la totale responsabilità (tecnica, civile, amministrativa ed anche penale) del servizio approntato; si dovrà, infatti, porre una particolare attenzione ad ottemperare a tutti i precetti previsti dalCodice della Privacy in materia di trattamento di dati con sistemi informatici (artt. 31 – 36 oltre a quanto previsto nel Disciplinare tecnico) e ciò potrebbe comportare un aggravio dei costi di struttura.

In secondo luogo, è necessario avere un indirizzo ip statico per potersi collegare attraverso internet oppure, soluzione sicuramente meno costosa, ci si può avvalere, ad esempio, del servizio gratuito fornito dalla Dyndns.com.

In terzo luogo, difficilmente si avrà la possibilità di avere una delle caratteristiche proprie dei servizi terzi di cloud storage ovvero la “ridondanza”: i dati contenuti sui server, ad es. di Dropbox, sono duplicati, in tempo reale o comunque in uno spazio temporale molto breve, su diversi server posizionati in luoghi fisici diversi in modo che, in caso di guasto di uno di questi, i dati siano sempre e comunque disponibili e fruibili dall’utente.

Infine, sarà più complesso e, forse, più costoso avvalersi di un programma client così efficiente, anche in termini di velocità, come quello di Dropbox, che non solo permetta l’accesso in remoto ai nostri file ma anche sincronizzi in modo continuativo e costante i nostri file memorizzati in locale (pc, iPhone, iPad ecc.) con il nostro server webdav. Quest’ultimo aspetto non è da sottovalutare atteso che è già significativamente evidente confrontando tra loro i diversi servizi terzi di cloud storage presenti su mercato: a parità di velocità di connessione internet (elemento determinante per potersi avvalere professionalmente di questi servizi) Dropbox è spesso più veloce ed efficiente di altri servizi analoghi.

In altre parole, la soluzione di un proprio servizio di Webdav dovrà essere attentamente ponderata e valutata sulla base, da un lato, delle proprie esigenze e, dall’altro, delle propria organizzazione informatica e tecnica dello studio e/o dell’ufficio in considerazione dell’aggravio delle attività e degli adempimenti normativi da porre in essere.

* * *

4.Conclusioni

Le conclusioni saranno molto brevi, anche perchè il post era piuttosto esaustivo (anche se, ahinoi, per impossibilità rebus sic stantibus, certo non risolutivo).

Il suggerimento che ci sentiamo di dare oggi ai colleghi è: handle with care. Usiamo la nuvola, ma con quella superiore cautela cui l’obbligo deontologico che vincola la nostra professione ci obbliga.

Senza integralismi. Né pro, né contro. E’ un utilissimo strumento, che presenta innumerevoli vantaggi, come l’incredibile aumento di efficienza e l’altrettanto importante riduzione dei costi, ma al contempo presenta sicuramente importanti profili di criticità.

Sicuramente, col tempo, gradualmente, emergeranno soluzioni maggiormente rispondenti alle nostre esigenze professionali. La Commissione Europea sta lavorando ad una strategia europea per il cloud computing, adottata la quale l’ecosistema regolamentare comunitario dovrebbe risultare maggiormente definito.

Post rilevanti
Post recenti