Quando scende in campo Brad Smith vuol dire che Microsoft ha un problema. Il consigliere generale e vice presidente del colosso di Redmond ha parlato chiaro al Brookings Institution policy forum chiedendo al Congresso degli Stati Uniti con urgenza regole certe per l’industria in tema di privacy. «Più del 90% degli americani usa forme di cloud computing, in pratica quasi tutti siamo connessi alla nuvola. Ma fermiamoci in attimo. Sappiamo di quali diritti disponiamo nella cloud? Se viviamo in un paese ma i nostri dati sono conservati in un’altro, quale legge si applica? Queste domande su privacy, sicurezza e sovranità internazionale richiedono immediata attenzione». L’appello di Smith ha anticipato la bagarre che ha accompagnato la sentenza italiana contro Google per il video sulle violenze al disabile. Ma sopratutto ha preparato il terreno per l’intervento di Steve Ballmer che ha indicato nel cloud computing l’orizzonte di Microsoft.
Se quella è la direzione, tocca sedersi al tavolo con il legislatore perché l’assenza di regole globali per la privacy rischia di diventare un freno. In un momento, perlaltro, in cui le aziende non hanno soldi da buttare nell’It. In ballo c’è un nuovo modello di distribuzione (e remunerazione) delle tecnologie informatiche che da due anni promette di rivoluzione l’information technology ma finora non ha avuto ancora effetti rilevanti nel tessuto industriale. La differenza è tra possedere o affittare software. Le conseguenze sono un differente business model (si paga l’uso e non la licenza) e una gestione virtuale dei dati e delle informazioni che possono così venire conservati o elaborati in datacenter lontani "continenti" dall’utente. Un dettaglio questo di non poco conto. Come sottolinea un rapporto di Forrester Research. «La frase è "nella cloud" rivela solo che i tuoi dati sono su internet e quindi accessibili ovunque». Come dire, la tecnologie è globale, il dato può essere processato ovunque ma le normative della privacy sono locali. L’avvertimento di Forrester è che la mancanza di regole globali sul trattamento dei dati, sicurezza e portabilità dell’informazione tra "nuvole" sono fattori da tenere in seria considerazioni della aziende. A meno di incappare in brutte sorprese.
In Europa, per esempio, la direttiva 95/46/Ce e le varie leggi di attuazione hanno introdotto l’obbligo di garantire la riservatezza, l’integrità e la disponibilità dei dati. È come se i dati fossero in prestito ai gestori della cloud. Tradotto: all’interno della Ue non ci restrizioni di sorta al trasferimento dei dati. «È vietato invece trasferire informazioni se il paese di destinazione e di transito non assicura un adeguato livello della tutela della persona» (dal libro Next Privacy).
Questa la regola ma nonostante le numerose eccezioni resta complicato per un "fornitore" di nuvola garantire la tracciabilità di un dato destinato a virtualizzarsi nella cloud. Soprattutto per chi come Google non intende per questioni di sicurezza indicare numero e localizzazione dei datacenter. «In assenza di indicazioni certe molte aziende non si fidano – racconta Fabrizio Albergati, direttore del gruppo Information Worker di Microsft –. In parte per questioni culturali: preferiscono tenere nei loro computer alcuni tipi di informazione. In parte perché non vedono un quadro normativo certo». Per gli uomini di Redmond in attesa di stabilire regole universali, la soluzione è offrire libertà di scelta agli utenti. In questo hanno gioco facile. Potendo contare su software installato, possono fornire sia servizi di cloud sulle macchine locali che "in cielo" nei datacenter. «A differenza di altre piattaforme noi – spiega Anders Nilsson, direttore Divisione Developer and Platform Evangelism – garantiamo la localizzazione dei dati. Rispettivamente nei datacenter di Dublino e in back up in Olanda. In questo modo l’utente sa dove si trovano i propri dati».
Ma il quadro è più complesso: resta un trade off tra sicurezza e localizzazione dei dati. «Nessuno – osserva un portavoce di Google – può andare a violare un datacenter sperando di poter accedere ai dati dei nostri clienti. I dati sono inoltre replicati tra più centri anche per ragioni di ridondanza e disponibilità dei dati stessi. Questa struttura garantisce che le informazioni dei clienti siano disponibili in modo completo e intellegibile solo ai loro legittimi possessori».
L’altro trade off è tra tecnologia e regole. I dati dovrebbero essere processati dove c’è più potenza di calcolo disponibile o più efficienza energetica indipendentemente dalle regole di privacy. «In questa nostra epoca – conclude – la domanda corretta da porsi non dovrebbe essere "dove sono i miei dati?", ma piuttosto "chi li conserva e come li protegge?". Per gli utenti, la cosa davvero importante dovrebbe essere la trasparenza e facilità di comprensione delle policy per la protezione dei dati dell’azienda alla quale lui si affida, ad esempio, nello scenario del cloud computing. Non dove questi dati stanno fisicamente».
Pubblicato su nova24 del 18 marzo