Nel passaggio al cloud dei servizi offerti dalla pubblica amministrazione, non bisogna dimenticare che mentre da una parte il cloud semplifica ed ottimizza gli impegni infrastrutturali del singolo ente, dall’altra richiede un investimento in termini di competenze e conoscenze sui dipendenti della pubblica amministrazione.
A fronte quindi dei vantaggi in termini di costi e risorse degli interventi a livello di infrastrutture volti ad incentivare l’utilizzo del cloud previsti dal Piano Triennale per l’informatica nella pubblica amministrazione, gli enti devono saper valutare tutti i passaggi necessari e le relative competenze. Facciamo pertanto una veloce panoramica.
Secondo il modello strategico evolutivo dell’informatica nella pubblica amministrazione, nella scelta dei sistemi da utilizzare nell’erogazione dei servizi pubblici deve essere applicato il principio “cloud first”, ossia la pubblica amministrazione deve preferire in via prioritaria di affidarsi ad alcuni fornitori, qualificati secondo la procedura indicata nelle circolari AgID n. 2 e 3 del 2018, che erogano appunto servizi di elaborazione dati in modalità remota (nella tipica forma SaaS – Software as a Service) e consentendo di attestare sui loro server gli applicativi che necessitano alla PA per lo svolgimento delle proprie funzioni pubbliche.
I vantaggi del modello cloud first
Ciò consente di ottenere degli indubbi vantaggi in termini di costi e risorse pubbliche, in quanto si evita il moltiplicarsi dei data center delle pubbliche amministrazioni – che richiedono risorse per la loro installazione, gestione e manutenzione – con inutili duplicazioni di spese dato che, nel modello proprio del cloud, spesso gli elaboratori sono “condivisi” tra più soggetti.
AgID ed il Team per la trasformazione digitale sono tuttora impegnati nel “programma di abilitazione al cloud” che dovrebbe consentire alle pubbliche amministrazioni di poter operare e mantenere i propri servizi digitali secondo questa tecnologia.
In linea generale, la qualificazione dei soggetti fornitori dovrebbe essere svolta sulla base di specifici parametri di sicurezza ed affidabilità, con l’obiettivo in ogni caso di assicurare:
- il miglioramento dei livelli di servizio, accessibilità, usabilità e sicurezza;
- l’interoperabilità dei servizi;
- la possibilità di gestire eventuali strategie di “exit” dai contratti, soprattutto per evitare fenomeni di lock-in in favore di determinati fornitori;
- la riqualificazione dell’offerta mediante l’abilitazione di un numero più ampio di fornitori;
- la sicurezza delle infrastrutture, che dovrebbero garantire resilienza, scalabilità, reversibilità e protezione dei dati;
- l’apertura del mercato anche alle PMI.
I servizi sono poi acquistabili dalle pubbliche amministrazione con i meccanismi noti di public procurement gestiti da Consip, ferma rimanendo la loro introduzione nel “Marketplace Cloud”.
Tutto questo porterà al superamento dell’attuale modello sulla base del quale l’erogazione dei servizi in cloud agli enti pubblici viene principalmente fornita in forza del “Contratto Quadro Consip SPC Cloud Lotto 1”, stipulato nel 2016 tra Consip ed il Raggruppamento Temporaneo di Imprese allora formato da Telecom Italia, Poste Italiane, HPE Services Italia, Postecom e Postel.
In tale contesto nella scelta e selezione dei servizi da acquistare le pubbliche amministrazioni dovrebbero tenere in considerazione alcuni aspetti di rilievo che sono in grado di incidere sulla qualità e conformità dei suddetti servizi.
Se, infatti, è vero che già AgID con le circolari sopra richiamate ha provveduto a regolare alcuni di tali aspetti – in particolare relativamente ai profili di sicurezza e resilienza dei sistemi – la numerosità dei soggetti accreditati all’erogazione dei servizi cloud, numero ovviamente destinato a crescere nel corso del tempo, implica una differenziazione di cui la pubblica amministrazione deve tener conto nella scelta.
Cloud e competenze interne della PA
Nel momento in cui una pubblica amministrazione decide di avvalersi di un servizio cloud dovrebbe garantirsi internamente le competenze professionali per poter gestire al meglio i rapporti con il fornitore ed assicurare comunque la corretta configurazione dei servizi erogati. Ruolo centrale viene ad assumere pertanto il Responsabile della Transizione Digitale della singola pubblica amministrazione.
L’adesione ad un servizio erogato in forma SaaS – ed ancor di più nei casi di IaaS (Infrastructure as a Service) e PaaS (Platform as a Service) – implica comunque la gestione dal punto di vista dell’utilizzatore degli aspetti di sicurezza dei dispositivi che accedono al servizio, la corretta configurazione e manutenzione degli eventuali applicativi attestati sulle macchine del fornitore, la gestione dei profili autorizzativi di accesso ai sistemi. Inoltre, le competenze tecnologiche e gestionali diventano rilevanti nel momento in cui è necessario valutare la qualità del servizio oppure vi sia la necessità, in conseguenza al venir meno del contratto, di procedere alla migrazione dei dati ad altro fornitore.
Localizzazione e trattamento dei dati
I criteri di qualificazione adottati da AgID non escludono che un fornitore possa, al fine dell’erogazione del servizio in cloud, trasferire i dati al di fuori dell’Unione Europea, richiedendo unicamente che ciò venga espressamente dichiarato in sede di qualifica unitamente all’indicazione dell’esistenza o meno di accordi circa la protezione dei dati personali tra la UE ed il Paese destinatario.
Seppur pienamente legittime tali ipotesi devono essere valutate attentamente dall’amministrazione pubblica per due ordini di ragioni:
- innanzitutto la localizzazione degli elaboratori al di fuori del territorio dell’Unione Europea rende più difficoltoso lo svolgimento di controlli ed audit. Ciò significa che eventualmente dovranno essere inserite apposite previsioni contrattuali che consentano di avvalersi di soggetti terzi per tali controlli, eventualmente prevedendo che i costi siano sopportati dal fornitore;
- in secondo luogo, è noto che il Regolamento (UE) n. 679/2016 sulla protezione dei dati personali (Gdpr) disciplina in maniera stringente le possibilità di trasferimento dei dati in Paesi extra-UE, prevedendo la necessaria esistenza di misure di garanzia adeguate. E’ noto che in relazione all’accordo più rilevante, ossia il cosiddetto Privacy Shield, pendono innanzi alla Corte di Giustizia UE numerose controversie, dirette ad accertarne la concreta adeguatezza rispetto alla normativa europea. Tutto ciò crea un clima di incertezza, che mal si adatta ai principi e presupposti che regolano l’agire della pubblica amministrazione. E’ opportuno, pertanto, che in tali ipotesi vengano previsti appositi meccanismi di “migrazione” dei dati al fine di agevolarne il rientro all’interno della UE qualora vengano meno i presupposti di adeguatezza, soprattutto se ciò derivi da una decisione della Corte di Giustizia.
Tracciatura dei fornitori
La disciplina del sub-appalto è già ampiamente regolata dal Codice dei contratti pubblici, ciò non toglie però che in caso di fruizione di servizi cloud una particolare attenzione deve essere prestata al fenomeno delle cosiddette Esternalizzazioni “a catena”. E’ frequente, infatti, che nell’erogazione dei servizi cloud i fornitori si affidino a loro volta a società esterne per lo svolgimento di determinate attività (dalla manutenzione degli elaboratori alla prestazione di ulteriori servizi di elaborazione).
Tutto ciò deve essere pienamente tracciato, non potendo darsi ipotesi in cui la pubblica amministrazione non abbia trasparenza circa i soggetti che provvedono all’erogazione dei servizi, compresa la loro localizzazione.
Ciò anche da un punto di vista di responsabilità in merito al mantenimento dei livelli di servizio. In caso di sub-appalto, infatti, non appare sufficiente prevedere unicamente la responsabilità del fornitore principale per i servizi erogati dagli eventuali sub-appaltatori, ma vi è la necessità di stabilire anche meccanismi idonei ad assicurare la continuità di detta erogazione qualora gli eventuali sub-appaltatori non siano più in grado di prestarli (ad esempio per ipotesi di procedure concorsuali o altre circostanze che incidano in maniera sostanziale sui servizi). Non bisogna, infatti, dimenticare che la fattispecie è differente da quella privatistica trattandosi di servizi pubblici che, in alcune ipotesi, potrebbero rivestire anche carattere di essenzialità. In tal senso si potrebbe prevedere di escludere, nel contratto di fornitura, la possibilità di sub-appaltare determinati servizi che potrebbero incidere in maniera determinante sull’operato della pubblica amministrazione.
Piani di emergenza e strategie di exit
Proprio per le considerazioni sopra svolte, circa la natura dei servizi che devono essere assicurati tramite le tecnologia cloud, a supporto dell’azione amministrativa, è necessario che i contratti conclusi con le pubbliche amministrazioni prevedano appositi piani di emergenza nel caso in cui il fornitore non riesca più a garantire livelli di servizio accettabili. Non è, infatti, sufficiente stabilire un semplice diritto di risoluzione del contratto – o una clausola di recesso libero – in quanto in ogni caso sarà necessario porre in essere una serie di attività dirette alla migrazione dei dati (e degli eventuali applicativi) in continuità operativa. Ciò vale anche per le cosiddette strategie di exit o in caso di scadenza naturale del contratto di fornitura. Il “piano di migrazione” dovrebbe essere già tracciato ad ampie linee al momento della stipulazione del contratto originario, definendo il ruolo dei vari attori e gli obblighi di collaborazione che faranno capo al fornitore che eroga il servizio, chiarendo altresì i tempi ed il corrispettivo per tali attività ed anche le conseguenze derivanti da eventuali ritardi nella loro attuazione.
Cloud e protezione dei dati personali
Il contratto di fornitura di servizi cloud dovrà poi essere accompagnato dall’atto con cui vengono disciplinati in capo al fornitore i vari obblighi previsti dall’art. 28 del Regolamento (UE) n. 679/2016. E’ indubbio, infatti, che tale fornitore nell’erogazione del servizio riveste il ruolo di Responsabile del trattamento, e come tale assumerà gli obblighi ed i vincoli stabiliti dalla normativa a protezione dei dati personali.
Ciò ci conduce ad un’ulteriore riflessione: nell’impianto del Regolamento è il Titolare del trattamento – nel caso di specie la pubblica amministrazione – che deve fornire al Responsabile le istruzioni che questi deve seguire per il rispetto degli obblighi di legge. Ciò significa che, a seconda del servizio pubblico che dovrà essere erogato tramite il servizio in cloud, la pubblica amministrazione dovrà valutare il rischio e fornire al cloud provider indicazioni precise circa il contenimento dello stesso. Si pensi alle ipotesi di trattamento di dati inerenti alla salute o altri dati rientranti tra quelle particolari categorie di cui all’art. 9 del Regolamento. In tali ipotesi sarà onere dell’amministrazione individuare le misure di sicurezza adeguate, che il fornitore dovrà implementare rimanendo, in assenza di istruzioni da parte del Titolare, esonerato da eventuali responsabilità.
Tale ultima considerazione determina la necessità di valutare in maniera adeguata le varie offerte presenti sulla piattaforma Consip, dovendo la pubblica amministrazione aver già compiutamente stabilito le caratteristiche dei servizi che intenderà erogare ai cittadini avvalendosi di tecnologia cloud, potendo in tal modo indirizzarsi verso l’offerta più consona alle esigenze sopra succintamente esposte.
