La nuvola o cloud computing (ovvero il trasferimento – in outsourcing – dei propri dati o persino degli stessi software necessari all’esercizio della professione, da server proprietari in studio a server farm di terze parti), come già hanno capito i colleghi d’oltreoceano, è una grande opportunità per gli studi legali (costi abbattuti, flessibilità, velocità, efficienza, scalabilità, condivisione, etc). Una grande opportunità che porta con sè alcuni interrogativi peculiari della fase pioneristica che stiamo vivendo. Questo post nasce dall’interrogativo che i due autori si sono posti, quasi contemporaneamente, di capire quanto di ciò che è oggi materialmente possibile fare sia anche pienamente legittimo.
In particolare, il crescente successo – anche tra i colleghi – di Dropbox (che si sta imponendo per la sua versatilità e disarmante semplicità d’uso) per la condivisione/backup dei dati on the cloud, ha reso improcastinabile un’analisi approfondita dei problemi che tale uso può sollevare, per un avvocato.
Il problema principale e di intuitiva individuazione è, per quanto riguarda gli studi legali italiani (o comunitari), la necessità – normativamente imposta – di tutelare la privacy dei dati trattati.
Questo post vuole dunque essere un modo per sensibilizzare i colleghi ed iniziare un dibattito costruttivo, inquadrando le problematiche connesse all’uso del cloud storage da parte di un avvocato, e chissà che un giorno non si riesca a portare il dibattito fino al parlamento, o almeno sino ai consigli dell’ordine al fine di individuare uno standard “deontologicamente corretto” per l’uso del cloud computing.
Indice
1. Dropbox e il cloud computing
2.2. È vietato tutto ciò che non è espressamente consentito.
2.3. Ciò che è vietato: i vincoli.
2.4. L’autorizzazione del Garante.
2.5. Il Safe Harbour e le imprese USA “sicure” sotto il profilo della legge sulla Privacy.
3.2. Le soluzioni sub-ottimali. Pro e contro pratici/rischio giuridico.
1. Dropbox e il cloud computing.
Questo blog aveva già indicato Dropbox tra le “10 applicazionimusthaveperilvostronuovoiphone”. L’applicazione ha il suo punto di forza nella semplicità. Per avere i 2 gigabite di spazio gratuiti è sufficiente andare sul sito di Dropbox e registrarsi (se lo fate da questo link avrete 250 MB aggiuntivi). Il secondo passo è scaricare il software leggerissimo sul vostro computer (Dropbox è disponibile per Mac, Pc, e anche Linux). Una volta installato (e il procedimento di installazione è davvero immediato e senza fronzoli) il programma crea una semplice cartella nel computer (l’utente può decidere dove installarla). Questa cartella viene duplicata online, e i documenti che si trovano nella stessa sono sempre tenuti sincronizzati con la copia online. Possono essere articoli di dottrina, sentenze o interi fascicoli.
Quegli stessi documenti sono poi accessibili da qualsiasi computer collegato ad internet, accedendo al sito di Dropbox ed inserendo i propri login e password.
Oppure, qualora si abbia la necessità di sincronizzare il contenuto di una o più cartelle tra due computer (ad esempio casa e ufficio), è sufficiente installare Dropbox su entrambi usando gli stessi login e password per attivare entrambi, e le stesse cartelle del Dropbox del primo appariranno – quasi magicamente vista la semplicità del procedimento – nel secondo computer. Questo, di fatto, elimina la necessità di una chiavetta USB se si devono trasferire dati tra due computer connessi ad internet.
Oppure si può decidere di condividere una sottocartella relativa ad una pratica con un cliente, oppure con un collega (semplicemente attraverso un click destro del mouse e inviando l’invito), ma per farlo anch’egli dev’essere iscritto a Dropbox (oppure si deve iscrivere nel momento in cui riceve l’invito a condividere la cartella).
Il programma è, ovviamente, dotato di un’ottima applicazione universale per iPhone e iPad, disponibile gratuitamente su App Store (ed esistono anche le versioni per Android e Blackberry).
Insomma, come già accennato, grande semplicità d’uso, immediatezza, universalità e funzionamento apparentemente privo di bugs, sono i punti di forza di questo servizio che si appoggia al servizio di server di Amazon‘sSimpleStorageService (S3) per funzionare.
Questo significa che alla policy sulla sicurezza dei dati di Amazon si aggiunge quella di Dropbox, il che dovrebbe garantire maggiore affidabilità. Tuttavia, nonostante i proclami roboanti del sito, permangono – ad oggi irrisolti – alcuni punti di criticità che ostacolano un sereno utilizzo professionale di Dropbox (anche se nella prassi quotidiana il programma è di fatto utilizzato da molti colleghi).
In particolare, come vedremo, il fatto che Dropbox utilizzi server Amazon localizzati in California pone alcuni problemi legati alla normativa UE ed a quella interna in materia di tutela della Privacy.
In sostanza e per evitare di dilungarci troppo, Dropbox può svolgere sia la funzione di disco di backup online dei dati, sia – ad esempio affiancato ad iPad – la funzione di garantire un accesso costante alla documentazione relativa a un fascicolo o una causa, sempre aggiornata, dovunque.
Le due funzioni sono diverse. Non sotto il profilo giuridico-concettuale ma – come si vedrà – per quanto riguarda il funzionamento pratico. La differenza pratica produce dei riflessi nel rapporto tra funzionalità e legittimità, legati alle diverse soluzioni tecnologiche disponibili a seconda della funzione che si vuole usare.
Come vedremo, se per quanto riguarda la funzione di back-up online dei dati, esistono diverse soluzioni soddisfacenti che consentono di salvaguardare, contemporaneamente, tutela dei dati e funzionalità, non altrettanto si può dire per l’utilizzo più sofisticato e coinvolgente dell’iPad quale fascicolo digitale always-on. Per quest’ultima funzione esistono – ad oggi – soluzioni alternative a Dropbox, ma che richiedono comunque di fare una scelta di compromesso tra sicurezza e funzionalità.
* * *
2. La privacy e l’avvocato.
2.1. Introduzione
Abbiamo, dunque, deciso di prendere di petto il problema, e iniziare ad analizzare in modo approfondito le problematiche giuridiche legate all’uso di strumenti come Dropbox, se impiegati nell’ambito dell’attività professionale. Problematiche che si risolvono, principalmente, in una valutazione di compatibilità con le norme Ue (direttiva 95/46/CE) e con le norme italiane di cui al c.d. Codice della Privacy (d.lgs. n. 196/2003).
Il libero professionista può, infatti, usare il servizio di cloud storage sia per i propri file personali (foto, musica ecc.), sia per quelli lavorativi. Ed è proprio l’uso professionale che sarà oggetto di questo approfondimento.
Il fenomeno è, come anticipato, di grande attualità, atteso che, se, da un lato, le grandi possibilità che fanno da corollario all’utilizzo di strumenti di cloud-computing (come dimostra per altro la grande diffusione negli studi legali americani) consentono un salto in avanti notevole in termini di mobilità (soprattuto, ma non solo, se usati con strumenti come iPhone o iPad e/o altri tablet), di backup, di condivisione ecc., dall’altro lato l’ovvia delicatezza dei file di lavoro (quali lettere, atti giudiziari, pareri o, anche, fascicolo digitale completo magari contenente anche situazioni sanitarie del cliente o della controparte) costringe il legale che voglia utilizzarli a porsi con attenzione determinati interrogativi in materia di sicurezza e riservatezza delle metodologie utilizzate. Queste considerazioni valgono, analogamente, anche per altri liberi professionisti: ad esempio per i dottori commercialisti che possono utilizzare Dropbox con file di contabilità dei clienti (fatture, ecc.) o per le dichiarazioni dei redditi (quindi con file concernenti spese sanitarie ecc., ovvero dati sicuramente sensibili), magari condividendoli con i clienti stessi, vista la semplicità e l’efficenza dello strumento.
Numerosi sono stati, quindi, gli aspetti normativi considerati, nella speranza di non aver tralasciato alcun profilo rilevante, e con l’obbiettivo, se possibile, di offrire una o più soluzioni compatibili con la privacy quando i file di lavoro vengono depositati su server posti al di fuori dalla UE, come nel caso di Dropbox.
* * *
2.2. È vietato tutto ciò che non è espressamente consentito.
Al di fuori di alcune, pur importanti, ipotesi derogatorie che saranno di seguito tratteggiate, (ovvero quelle indicate negli art. 43 e 44 del Codice della Privacy), “il trasferimento anche temporaneo fuori del territorio dello Stato, con qualsiasi forma o mezzo, di dati personali oggetto di trattamento, diretto verso un Paese non appartenente all’Unione europea, è vietato quando l’ordinamento del Paese di destinazione o di transito dei dati non assicura un livello di tutela delle persone adeguato” (cfr. art. 45 Codice della Privacy).
* * *
Preliminarmente è utile sgombrare il campo da ciò che, fortunatamente,non è necessario fare ai sensi della normativa vigente: non è necessaria la notifica preventiva al Garante.
Ci sembra, infatti, di poter affermare – con un ragionevole grado di certezza – che non sia necessaria alcuna notifica preventiva al Garante per il trattamento, attraverso strumenti come Dropbox, di quei dati dei clienti ordinariamente gestiti da un’avvocato.
La previsione della notifica quando il trattamento comporta il trasferimento all’estero dei dati (art. 37 comma 3 del Codice della Privacy) vale solo per i seguenti trattamenti (individuati al 1° comma dell’art. 37): “a) dati genetici, biometrici o dati che indicano la posizione geografica di persone od oggetti mediante una rete di comunicazione elettronica; b) dati idonei a rivelare lo stato di salute e la vita sessuale, trattati a fini di procreazione assistita, prestazione di servizi sanitari per via telematica relativi a banche di dati o alla fornitura di beni, indagini epidemiologiche, rilevazione di malattie mentali, infettive e diffusive, sieropositività, trapianto di organi e tessuti e monitoraggio della spesa sanitaria; c) dati idonei a rivelare la vita sessuale o la sfera psichica trattati da associazioni, enti od organismi senza scopo di lucro, anche non riconosciuti, a carattere politico, filosofico, religioso o sindacale; d) dati trattati con l’ausilio di strumenti elettronici volti a definire il profilo o la personalità dell’interessato, o ad analizzare abitudini o scelte di consumo, ovvero a monitorare l’utilizzo di servizi di comunicazione elettronica con esclusione dei trattamenti tecnicamente indispensabili per fornire i servizi medesimi agli utenti; e) dati sensibili registrati in banche di dati a fini di selezione del personale per conto terzi, nonché dati sensibili utilizzati per sondaggi di opinione, ricerche di mercato e altre ricerche campionarie; f) dati registrati in apposite banche di dati gestite con strumenti elettronici e relative al rischio sulla solvibilità economica, alla situazione patrimoniale, al corretto adempimento di obbligazioni, a comportamenti illeciti o fraudolenti”.
Dalla normativa sulla tutela della privacy non emergono particolari problemi legati all’uso di Dropbox quando il trasferimento, anche temporaneo, fuori del territorio dello Stato, con qualsiasi forma o mezzo, di dati personali oggetto di trattamento e diretto verso un Paese non appartenente all’UE concerne dati riguardanti persone giuridiche, enti o associazioni in quanto espressamente consentito dalla deroga di cui all’art. 43, comma 1°, lettera h) del Codice della Privacy.
Ovviamente la sicurezza dei dati trattati pone, anche con riferimento alle persone giuridiche, importanti interrogativi riguardanti la sicurezza dei dati e la responsabilità del professionista per la diligenza utilizzata. Ma sono profili di tipo contrattuale e deontologico, non legati alla tutela della privacy.
* * *
2.3. Ciò che è vietato: i vincoli.
Il discorso si fa, invece, enormemente più delicato quando i dati trasferiti in paesi extra UE riguardano le persone fisiche in quanto le norme applicabili dettano una disciplina piuttosto articolata. L’art. 43 del Codice della Privacy consente il trasferimento di dati di persone fisiche (non solo quelli sensibili, ma tutti i tipi di dati, quindi anche, ad es., la semplice rubrica dei contatti) in paesi extra UE in una serie di ipotesi (comma 1° lettere b) – g)) tutte, però, caratterizzate dal principio della necessità del trattamento: l’utilizzo, però, del servizio di Dropbox o altri strumenti analoghi di cloud storage è una mera facoltà, una possibilità. La medesima norma alla lettera a) ci offre, tuttavia, una prima soluzione, seppure parziale, in quanto autorizza espressamente il trasferimento di dati verso paesi non UE quando “l’interessato ha manifestato il proprio consenso espresso o, se si tratta di dati sensibili, in forma scritta”. Soluzione parziale in quanto il consenso potrà, ovviamente, essere rilasciato solo dal proprio cliente e non certo dalla controparte o dalle controparti persone fisiche (se sono persone giuridiche, enti o associazioni o Uffici della P.A. il problema, come visto sopra, non si pone). A tale scopo non aiuta l’Autorizzazione del Garante n. 4/2009 al trattamento dei dati sensibili da parte dei liberi professionisti (G.U. n. 13 del 18.01.2010 – suppl. ord. n. 12) la quale prevede che “il trattamento deve essere effettuato unicamente con logiche e mediante forme di organizzazione dei dati strettamente indispensabili in rapporto all’incarico conferito dal cliente”; ancora una volta l’impiego di servizi come Dropbox non può certamente configurarsi come strettamente indispensabile con l’incarico conferito.
Inoltre si sottolinea che, a nostro parere, il consenso e l’informativa dovranno essere redatti in maniera molto scrupolosa per evitare di incorrere in responsabilità; il Gruppo dei Garanti Europeo ha, infatti, segnalato la difficoltà, in concreto, di dimostrare di aver dato all’interessato una corretta informazione ovvero di poter provare che l’interessato è stato messo a conoscenza del trasferimento all’estero e della effettiva destinazione e della assenza, se del caso, di un regime di tutela adeguato presso quel paese. In conseguenza di ciò, il preventivo consenso dovrà, a nostro avviso, indicare anche specificatamente il tipo di trattamento informatico che si intende attuare, l’indicazione del servizio che si vuole impiegare (dichiarando espressamente di volersi avvalere ad es. di Dropbox), le persone che vi possono accedere e gli strumenti impiegati dal legale (ad es. computer, iPhone, iPad ecc.), l’indicazione del Paese in cui sono localizzati i server ove risiederanno i dati, il rischio conseguente al regime giuridico diverso, e meno protettivo rispetto a quello UE, del Paese ed ogni altra informazioni utile a dimostrare il livello di sicurezza adottato per il trattamento dei dati.
Il trasferimento di dati verso un Paese extra UE è, inoltre, ammesso quando è autorizzato dal Garante sulla base di adeguate garanzie per i diritti dell’interessato che possano risultare anche da un contratto oppure sulla base di decisioni (ex artt. 25, paragrafo 6, e 26, paragrafo 4, della direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995) della Commissione europea che constata un livello di protezione adeguato o che alcune clausole contrattuali offrono garanzie sufficienti (cfr. art. 44 Codice della Privacy). Nell’ambito di tali due principi il trasferimento in Paesi extra UE è, dunque, in astratto possibile ove l’azienda fornitrice del servizio di cloud storage adotti nel contratto stipulato con l’utente quell’insieme di clausole contrattuali tipo di cui alla Decisione della Commissione Europea del 5 febbraio 2010 n. 2010/87/UE (pubblicata su G.U.C.E. L 39/5 del 12.02.2010 e recepita dal Garante italiano con l’Autorizzazione generale n. 35 del 27.05.2010 in G.U. n. 141 del 19.06.2010) volte a costituire garanzie sufficienti ai fini della tutela della riservatezza, dei diritti e delle libertà fondamentali delle persone, nonché per l’esercizio dei diritti connessi in caso di trasferimento di dati personali verso paesi terzi. Dropbox non si avvale, tuttavia, di tali clausole contrattuali tipo e quindi viene meno uno dei due principi sopra indicati per il trasferimento di dati di persone fisiche verso Paesi non UE.
* * *
2.5. Il Safe Harbour e le imprese USA “sicure” sotto il profilo della legge sulla Privacy.
Il secondo principio posto a salvaguardia della funzionalità degli scambi dalla normativa europea e quindi da quella nazionale è quello della Decisione adottata dalla Commissione europea la quale individua un livello di protezione adeguato a quello vigente nell’ambito dell’Unione Europea in Paesi terzi ai fini della tutela della vita privata o dei diritti e delle libertà fondamentali della persona. Questo procedimento prevede una serie di passaggi impegnativi – proposta della Commissione, parere del Gruppo dei Garanti Europei, parere del Comitato dei Rappresentanti degli Stati membri, scrutinio del Parlamento europeo, adozione della decisione da parte del collegio dei Commissari – e termina con una decisione di adeguatezza; si comprende facilmente come siano stati ritenuti adeguati un limitato numero di Paesi. Ad oggi, infatti, la Commissione ha reputato di poter esprimere un giudizio positivo di adeguatezza nei confronti di Australia, Canada, Argentina, Ungheria, Svizzera, Isola di Man, Guernsey e Stati Uniti limitatamente al programma Safe Harbor.
Il programma Safe Harbor scaturisce dalla Decisione del 26 luglio 2000 n. 2000/520/CE (in G.U.C.E. L 215 del 25.08.2000 e G.U.C.E. L 115 del 25.04.2001) in base alla quale i “Principi di approdo sicuro in materia di riservatezza” allegati alla medesima decisione, applicati in conformità agli orientamenti forniti da talune “Domande più frequenti” (FAQ) parimenti allegate, garantiscono un livello adeguato di protezione dei dati personali trasferiti dalla UE ad organizzazioni aventi sede negli USA sulla base della documentazione pubblicata dal Dipartimento del commercio statunitense.
Esso è, in concreto, costituito da una serie di principi, sintetizzati da una serie di “Domande più frequenti” (FAQ), redatti dal Dipartimento del Commercio USA in accordo con l’UE al fine di garantire un livello adeguato di protezione dei dati personali trasferiti da persona fisica o giuridica o enti residenti in quest’ultima a soggetti aventi sede negli Stati Uniti. Va sottolineato che le imprese sono tenute ad una “AnnualReaffirmation” dell’autocertificazione di adesione ai criteri del Safe Harbor, pena la perdita dei relativi benefici.
Resta da chiarire se il trasferimento di dati verso aziende aderenti al Safe Harbor “aventi sede” negli Stati Uniti copra anche i casi in cui queste aziende possiedano numerosi server al di fuori sia degli Stati Uniti sia dell’UE e adottino – a fini di sicurezza – una policy di “non disclosure” della collocazione fisica dei dati. Dalla lettura del box a pagina 5 delle risposte alle “Domande più frequenti” (FAQ) pubblicate dalla Commissione Europea sembrerebbe che la partecipazione dell’impresa USA al safe harbour sia ritenuta garanzia sufficiente, tuttavia vista la delicatezza del tema sarebbe auspicabile un chiarimento ufficiale (la FAQ, infatti, espressamente prevede che le risposte in essa contenute “do not have any legal value and do not necessarily represent the position that the Commission may adopt in a particular case“).
Nel nostro paese il Safe Harbor è stato recepito con la Deliberazione del Garante n. 36 del 10 ottobre 2001 denominata “Autorizzazione al trasferimento verso gli Stati Unti d’America” (in G.U. 26.11.2001 n. 275 – suppl. ord. n. 250) che, appunto, autorizza i trasferimenti di dati personali dal territorio dello Stato verso organizzazioni aventi sede negli Stati Uniti effettuati sulla base e in conformità ai “Principi di approdo sicuro in materia di riservatezza”, applicati in conformità alle “Domande più frequenti” (FAQ) e all’ulteriore documentazione allegata alla Decisione della Commissione europea del 26 luglio 2000 n. 2000/520/CE.
La Camera di commercio americana mette a disposizione un link al quale è possibile verificare quali aziende sono in regola e dunque “affidabili” sotto il profilo della tutela della privacy Europea.
* * *
3. Soluzioni.
3.1. La soluzione ottimale.
Teoricamente, la soluzione ottimale sarebbe che Dropbox consentisse all’utente di scegliere quali server Amazon S3 utilizzare (esistono anche dei server AmazonS3 inEuropa, in particolare in Irlanda). Noi, professionisti Comunitari, potremmo scegliere i server fisicamente siti in territorio irlandese e il problema normativo sarebbe risolto completamente: niente più trasferimento “extra UE” dei dati e le libertà comunitarie ci proteggerebbero dall’essere discriminati per l’uso di un sever UE, pur continuando ad approfittare in pieno della estrema semplicità di Dropbox. Purtroppo, però, la società americana non consente questa scelta. Né, a leggere i forum sul suo sito, al momento sembrano intenzionati prenderla in considerazione (in uno di questi forum, sul quale vi invito ad andare – su questo link – è possibile votare questa feature tra quelle che si vorrebbero disponibili: chissà che se si è in tanti non sentano la pressione).
In ogni caso, per ora i server S3 Amazon utilizzati continuano ad essere quelli californiani, e purtroppo Dropbox non aderisce al protocollo Safe Harbour, né sembra pianifichi di aderirvi nell’immediato futuro.
Certo, è pur vero che Amazon (al pari di Google e Apple, ma diversamente da Dropbox) aderisce al protocollo Safe Harbour, dunque teoricamente si potrebbe anche sostenere l’insussistenza di un problema di violazioni della legge sulla privacy, posto che l’impresa fisicamente in charge dello storage dei dati aderisce – anche con riferimento ai suoi server siti in California – ai parametri di compatibilità con la normativa comunitaria stabiliti dalla camera di commercio americana sulla base delle indicazioni della Commissione Europea.
Quest’ultimo è certamente un valido argomento. Tuttavia è difficile ignorare che tra Amazon e il professionista che decidesse di usare la “nuvola” di Dropbox per archiviare i dati personali dei clienti si andrebbe a frapporre un’altra società – Dropbox – non-UE, non-aderente al protocollo Safe Harbour (e dunque non vincolata ai parametri UE di tutela della privacy) e i cui tecnici sono fisicamente in grado di accedere ai dati.
Anche perché, per completezza e precisione, dobbiamo ricordare che pur essendo vero i dati archiviati su Dropbox:
● sono trasmessi su protocollo sicuro (https) e
● sono archiviati crittografati sui loro server
tuttavia la chiave crittografica è detenuta solo ed esclusivamente da Dropbox.
Cautelativamente, dunque, in assenza di qualsiasi pronunciamento ufficiale a riguardo, non ci sentiamo sereni a raccomandare un tale uso per gestire dati relativi a clienti persone fisiche.
* * *
3.2. Le soluzioni sub-ottimali. Pro e contro pratici e rischio giuridico.
3.2.1. Jungledisk
Tra i servizi alternativi a Dropbox abbiamo provato e testato (su piattaforma Mac Osx e iPad) quello di Jungledisk ed è quello che maggiormente risulta conforme alla normativa sulla privacy: il servizio presenta alcuni indubbi vantaggi, ma anche alcuni difetti operativi. Il servizio funziona praticamente come Dropbox, esiste però soltanto a pagamento. Il software relativo è multipiattaforma (Windows, Linux, Mac Osx, iPad ecc.), ma offre molte più opzioni e possibilità sia per la sincronizzazione tra computer diversi, sia per il backup dei dati. Proprio per questo, la fase dell’installazione è sicuramente un pochino più macchinosa rispetto a Dropbox. Si deve, infatti, scegliere, se appoggiarsi ai server Jungledisk o in alternativa ai server Amazon S3; in quest’ultimo caso bisogna però prima attivare un account (a pagamento, dove si pagherà lo spazio occupato ed il traffico di dati ma non vi sono limiti di spazio sui server: per un utilizzo normale non è affatto costoso) su Amazon S3 dove si può scegliere se impiegare i server americani o quelli irlandesi. Come detto il servizio presenta diversi aspetti che ci portano a ritenerlo compatibile con la normativa europea ed italiana sulla privacy: 1) Amazon ha aderito ai principi del Safe Harbor; 2) in ogni caso, scegliendo i server irlandesi si rimane all’interno della UE senza compiere, pertanto, alcun trasferimento di dati all’estero; 3) l’utente, oltre alla password di login, può sceglierne una seconda con cui proteggere, in modo trasparente ed efficiente anche in termini di velocità, tutti i file che vengono crittografati sul proprio pc e vengono poi inviati al server. Quest’ultima funzione è stata da noi verificata sia accedendo ai nostri file via browser, sia con l’app per iPad (http://itunes.apple.com/us/app/jungle-disk/id359523081?mt=8) ed in entrambe le ipotesi ci è stata richiesta la seconda password per potervi accedere. L’applicazione per iPad ha, al momento, un grosso limite, ovvero i file si possono solo vedere ma non si possono modificare. Sul forum dell’azienda è detto che tale possibilità verrà aggiunta in una prossima versione dell’applicazione ma, al momento e dopo dieci mesi, tutto tace.
3.2.2. Criptaggio
Per adempiere totalmente alla normativa sulla privacy l’utente può provvedere autonomamente a criptare i file in locale prima che vengano trasferiti sui server di terze parti che forniscono i servizi di cloud storage; questo potrebbe, a nostro parere, evitare che il comportamento posto in essere dal professionista integri la fattispecie normativa astratta vietata dal codice della privacy (verrebbe meno il concetto di “trasferimento all’estero di dati personali”) dal momento che – in realtà – a seguito del criptaggio verrebbero trasferiti all’estero non dati personali ma una sequenza di dati illeggibile senza la chiave di decriptazione.
Si può ad esempio usare un programma come Truecrypt (opensource e multipiattaforma) ovvero creare un contenitore, nel quale inserire tutti nostri file, nella directory di sincronizzazione; il contenitore verrà caricato sul server di Dropbox in un sensibile numero di ore la prima volta, ma successivamente, per grande che sia il contenitore, il tempo impiegato per la sincronizzazione diminuirà in quanto verranno sincronizzati solo i file modificati, ovvero solo il delta del contenitore modificato, rendendo l’operazione sicuramente molto, ma molto, più veloce. Ovviamente la trasmissione delle aggiunte o delle modifiche operate sui nostri file verranno caricate solo quando chiuderemo il contenitore Truecrypt.
Alternativamente si possono usare altri programmi come ad esempio Axcrpt (opensource ma solo per ambienti Windows); tutti file dovranno, però, essere singolarmente criptati e poi trasmessi ai server Dropbox.
L’altra grossa scomodità operativa nel seguire le due possibilità sopra delineate è quella che, per poter usare i file con un computer diverso da quello abituale, questi ultimi non sono immediatamente disponibili per la lettura e/o per la modifica ma necessitano di essere prima scaricati sul computer e poi decriptati. Inoltre, questi sistemi non possono al momento essere usati con l’iPad in quanto non esistono versioni disponibili per tale piattaforma.
3.2.3. WebDav
In alternativa alle opzioni sopra proposte si può pensare di creare sul proprio server di studio e/o di ufficio un sevizio di WebDav in modo da poter gestire i file, anche da remoto, in tutta libertà. Si può, quindi, attivare tale servizio o su un server Linux, o Windows Server o Mac OSX Server (quest’ultimo ha il supporto nativo). Tale scelta ha il pregio di poter configurare e gestire il proprio servizio di cloud storage come si vuole (usando filesystem crittografati, accessi selettivi e personalizzati ecc.) oppure si possono usare soluzioni hardware tutto sommato, molto semplici, come ad esempio quelle proposte dalla Pogoplug.
Tutte queste possibilità presentano, però, una serie di potenziali svantaggi da ponderare attentamente.
In primo luogo è bene tenere conto che ricade sul professionista e/o sullo studio la totale responsabilità (tecnica, civile, amministrativa ed anche penale) del servizio approntato; si dovrà, infatti, porre una particolare attenzione ad ottemperare a tutti i precetti previsti dal Codice della Privacy in materia di trattamento di dati con sistemi informatici (artt. 31 – 36 oltre a quanto previsto nel Disciplinare tecnico) e ciò potrebbe comportare un aggravio dei costi di struttura.
In secondo luogo, è necessario avere un indirizzo ip statico per potersi collegare attraverso internet oppure, soluzione sicuramente meno costosa, ci si può avvalere, ad esempio, del servizio gratuito fornito dalla Dyndns.com.
In terzo luogo, difficilmente si avrà la possibilità di avere una delle caratteristiche proprie dei servizi terzi di cloud storage ovvero la “ridondanza”: i dati contenuti sui server, ad es. di Dropbox, sono duplicati, in tempo reale o comunque in uno spazio temporale molto breve, su diversi server posizionati in luoghi fisici diversi in modo che, in caso di guasto di uno di questi, i dati siano sempre e comunque disponibili e fruibili dall’utente.
Infine, sarà più complesso e, forse, più costoso avvalersi di un programma client così efficiente, anche in termini di velocità, come quello di Dropbox, che non solo permetta l’accesso in remoto ai nostri file ma anche sincronizzi in modo continuativo e costante i nostri file memorizzati in locale (pc, iPhone, iPad ecc.) con il nostro server webdav. Quest’ultimo aspetto non è da sottovalutare atteso che è già significativamente evidente confrontando tra loro i diversi servizi terzi di cloud storage presenti su mercato: a parità di velocità di connessione internet (elemento determinante per potersi avvalere professionalmente di questi servizi) Dropbox è spesso più veloce ed efficiente di altri servizi analoghi.
In altre parole, la soluzione di un proprio servizio di Webdav dovrà essere attentamente ponderata e valutata sulla base, da un lato, delle proprie esigenze e, dall’altro, delle propria organizzazione informatica e tecnica dello studio e/o dell’ufficio in considerazione dell’aggravio delle attività e degli adempimenti normativi da porre in essere.
* * *
4.Conclusioni
Le conclusioni saranno molto brevi, anche perchè il post era piuttosto esaustivo (anche se, ahinoi, per impossibilità rebus sic stantibus, certo non risolutivo).
Il suggerimento che ci sentiamo di dare oggi ai colleghi è: handle with care. Usiamo la nuvola, ma con quella superiore cautela cui l’obbligo deontologico che vincola la nostra professione ci obbliga.
Senza integralismi. Né pro, né contro. E’ un utilissimo strumento, che presenta innumerevoli vantaggi, come l’incredibile aumento di efficienza e l’altrettanto importante riduzione dei costi, ma al contempo presenta sicuramente importanti profili di criticità.
Sicuramente, col tempo, gradualmente, emergeranno soluzioni maggiormente rispondenti alle nostre esigenze professionali. La Commissione Europea sta lavorando ad una strategia europea per il cloud computing, adottata la quale l’ecosistema regolamentare comunitario dovrebbe risultare maggiormente definito. Tuttavia l’adozione della strategia UE non è prevista prima del 2012 e dunque, pervasi dalla proverbiale irrequietezza forense, ci piace prendere spunto da questo articolo per lanciare un appello. O meglio, due.
Il primo appello è per i colleghi che siano interessati ad accelerare il momento in cui si potrà arrivare ad una soluzione normativamente sicura e deontologicamente ineccepibile, pur restando efficiente: organizziamoci, creiamo un gruppo di lavoro. A nessuno di noi il lavoro lascia molto tempo libero, ma viviamo in tempi di wikinomics, e, se ci mobiltiamo in numero sufficiente, in tempi brevi e dedicando poche ore a testa, ci troveremo in mano un progetto. Se non normativo, perlomeno una proposta di deliberazione per i nostri consigli dell’ordine.
Il secondo appello è per i tecnici, per le imprese che si occupano di informatica e telecomunicazioni, insomma per tutti coloro che possano essere interessati a collaborare con il mondo forense ed a lavorare ad una soluzione che risponda alle nostre esigenze di efficienza, al contempo risolvendo le criticità evidenziate nel post (e le altre criticità che – per questioni di spazio – non si sono potute trattare, per un utile panoramica delle quali segnaliamo l’articolo – come sempre chiarissimo – del collega Ernesto Belisario).
Chi fosse interessato a partecipare, può farcelo sapere con una mail a info@iavvocato.eu, un commento a questo post, oppure sulla pagina facebook di iAvvocato.
Giovanni Mameli & Valerio Vertua
(*) Questo articolo può essere riprodotto liberamente su internet o carta stampata, in tutto o in parte, purchè vengano sempre indicate chiaramente le parti citate e evidenziato opportunamente il link alla fonte originale.
(**) L’uso della foto del post è stata gentilmente concessa da Mauronster studio.
Sarebbe da provare SpiderOak (spideroak.com). Aderisce al protocollo Safe Harbour e cripta tutti i dati con una chiave conosciuta soltanto dall’utente.
Non l’ho ancora provato ma a quanto pare è un diretto concorrente di Dropbox: 2GB gratis, multipiattaforma (incluso iOS), sincronizzazione tra dispositivi, ecc.
Ecco un sito di recensioni su Spideroak e altre cloud storage: http://www.cloudstoragenews.it
Buongiorno a tutti, con questo post ci permettiamo di portare alla vostra attenzione la presenza di una valida alternativa hardware ai vari sistemi di cloud storage denominata iTwin (www.itwin.it)
ll rivoluzionario dispositivo iTwin permette di connettere due computer online, in qualsiasi parte del mondo essi si trovino, in modalità semplice e sicura. Più in particolare, iTwin rende l’accesso remoto ai file personali semplice come l’utilizzo di una memoria flash USB, permettendo di riprodurre i contenuti di un computer, e di eventuali periferiche di massa ad esso collegate, su un altro computer attraverso una connessione internet. Con iTwin è quindi possibile avere sempre con sé tutta la propria musica, le foto, i documenti, senza il pericolo di perdere i propri dati, lasciando il computer al sicuro a casa o in ufficio. iTwin garantisce un livello di sicurezza elevatissimo grazie anche all’utilizzo dell’algoritmo di criptazione militare AES256-bit: a differenza di una classica memoria flash USB, nessun dato è conservato all’interno della chiavetta o in HD o server di terze parti; iTwin inoltre permette di stabilire una password per l’accesso ai file e la comunicazione tra le due metà può essere interrotta immediatamente con un semplice clic in remoto, evitando qualsiasi problema nel caso il dispositivo andasse perso.
Aggiungo che alla luce del vostro articolo nel caso di utilizzo di iTwin TUTTI i vostri dati restano sempre sul vostro disco/dischi.
NON viene fatto nessun upload su server/hd di terzi parti.
Per ulteriori approfondimenti sul prodotto vi invito a visionare i nostri video presenti in home page ed nello specifico caso vi segnalo questo:
http://www.youtube.com/watch?v=Bft1C7TXTf4&feature=player_embedded
Grazie al team di iTwin per l’interessante segnalazione e in bocca al lupo per l’iniziativa.
Il primo dei colleghi lettori che lo provasse è invitato a condividere con noi le proprie impressioni.
Grazie per i complimenti.
A fine Giugno uscirà anche l’aggiornamento software/firmware per MAC OS.
Credo che questo sia di suo interesse personale.
Grazie per il link, non me ne ero accorto: sono ancora un neofita di WordPress 😉 Ho subito ricambiato il favore. In questi giorni ho armeggiato anche io con due potenziali alternative a DropBox di cui ieri ho pubblicato una breve recensione.
Ciao – G.
Immagino sia un errore di battitura, ma dopo “il primo appello” c’è scritto acellerare, anziché accelerare..complimenti per l’analisi!
grazie mille per la segnalazione del “typo”!
Io ho uno studio non certo grande, ma con tre sedi e forti esigenze di mobilità. Ho anche necessità di lavorare off line, perche’ lavoro anche in zone poco coperte.
Dunque ho provveduto ad un server remoto di mia proprietà, che è fisicamente collocato presso la società che mi fa assistenza. Il sistema permette di:
– lavorare sul servere remoto;
– lavorare su mini server in studio (che poi si sincronizzano con quello remoto);
– lavorare su C off line e poi sincronizzare quando connessi.
Anche per la privacy dovrebbe essere meglio, no?
La connessione con il server remoto DOVREBBE (mi dice l’assistenza) essere sicura.
Il costo e’ accettabile.
Graditissimi i commenti, grazie.
Salve,
volevo sottoporvi questa situazione :
una azienda A acquista uno spazio DropBox con piano “DropBox PRO”. Successivamente comunica ai vari dipendenti di creare, ciascuno per se, uno spazio DropBox con piano “DropBox Base (gratuito)”.
Per convenzione è stato definito che la email per accedere al proprio account “Base” è la email aziendale mentre la password è propria del dipendente e diversa dalla password della email aziendale.
l’azienda carica sul proprio account dropbox PRO dei documenti.
allo stesso modo i dipendenti caricano nel loro dropbox Base propri documenti (sia di carattere aziendale che personale).
successivamente l’azienda condivide con i vari dipendenti delle cartelle con contenuti aziendali.
il primo quesito che vorrei porre è: in questa situazione chi è il “proprietario”, “detentore”, “owner” (non so specificare bene il termine) dell’account dropbox Base? il dipendente o l’azienda?
il secondo quesito che vorrei porre è: se il dipendente esce dall’azienda (non può più accedere alla mail aziendale perché non più in possesso di password) ha “diritto / facoltà” di accedere all’account dropbox base da lui in precedenza creato?
in attesa di un vostro gradi riscontro
cordiali saluti
Grazie per il “quote”.
PS:a proposito di cloud e privacy, nel prossimo post descriverò un servizio alternativo a dropbox, sufficientemente semplice e usabile, e che sembra essere in linea con la normativa in tema di privacy anche per un uso professionale. Un anticipazione nel breve post che ho pubblicato oggi.
ps:non so se ve ne siete accorti ma vi ho aggiunto tra i link del mio blogroll..