Serviciile de cloud – în vogă, dar nu lipsite de riscuri juridice

cloud_computing_by_anxiousnut-d3racdu

 

Cloud computing este un concept cool, vehiculat des in domeniul IT și cu o creștere vertiginoasă. Potrivit unui raport al IHS Technology din februarie 2014, se estimează că, până în 2017, companiile vor plăti 235.1 mld.$ pentru servicii de cloud – adică de trei ori mai mult decât în 2011. Printre giganții care își împart piața de cloud se numără Amazon, Google, Microsoft, Barracuda Networks, Dropbox, etc. – fiecare cu „specializarea” sa de cloud.

Microsoft Azure la ITCamp

În luna mai 2014, am participat în calitate de speaker  la evenimentul de nișă ITCamp organizat la Cluj. Printre altele, o temă intens abordată de participanți a fost folosirea Microsoft Azure. Iar experții prezenți au dezbătut pe larg provocările de natura tehnică privind această platformă de cloud.

Dar este bine de știut că, pe lângă cele tehnice, există și provocări legale deloc de neglijat și care pot influența masiv activitatea “jucătorilor” din industrie. Motivul? Furnizorii de cloud se confruntă constant cu o dilemă: ei trebuie să furnizeze soluții cât mai avantajoase și inovatoare din punct de vedere tehnic și comercial; dar, în același timp, trebuie să se conformeze regulilor privind protecția și securitatea datelor cu caracter personal (adică cele care vizează persoanele fizice). Or acest echilibru este uneori greu de atins.

Evenimentul Microsoft de la București

Microsoft România a văzut necesitatea de a aborda problematica datelor personale în cloud. Pe 4 iunie 2014, a organizat la București un eveniment dedicat cloud computing-ului, invitând chiar și un reprezentant al ANSPDCP (autoritatea competentă în domeniul datelor personale). În principiu, s-au abordat unele provocări din perspectiva serviciilor enterprise oferite de Microsoft (Azure, Dynamics CRM Online și Office 365).

Din experiența clienților mei, știu că există unele aspecte controversate; și, așa cum mă așteptam, au fost multe întrebări din sală. Iar la unele dintre acestea, răspunsurile reprezentantului ANSPDCP au arătat clar faptul că, și în viziunea autorității, cloud-ul are în practică unele „zone gri” care rămân a fi interpretate de la caz la caz de către experți.

Dar ce ar trebui reținut, pe scurt?

Faptul ca există tipuri diferite de servicii și modele de cloud care, în practică, atrag consecințe diferite, cu obligații legale diferite. Fără o analiză a principalelor caracteristici ale respectivei platforme de cloud, nu pot fi identificate corect responsabilitățile legale ale furnizorului.

De exemplu, în timp ce Microsoft Dynamics CRM  e Software as a Service (SaaS), Microsoft Azure e Platform as a Service (PaaS) și Infrastructure as a Service (IaaS) pentru Virtual Machines.

Deosebirile lor tehnice atrag și diferențe din punct de vedere legal. Una dintre diferențe este că, în principiu, în PaaS datele nu sunt reținute și prelucrate de către furnizorul de cloud. Ceea ce înseamnă că, de exemplu, clientul enterprise al Microsoft (care, de obicei, doar pune platforma Azure la dispoziția clienților proprii) nu colectează datele cu caracter personal furnizate atunci când aceștia creează aplicații sau stochează informații în Azure. În consecință, dacă acesta nu are acces și nu folosește datele personale stocate de propriii săi clienți în Azure, nu ar trebui să fie ținut de obligațiile privind notificarea la autoritatea competentă, implementarea unor anumite măsuri de securitate sau a unor condiții speciale în care datele pot fi dezvăluite altor persoane, etc.

În final  

De multe ori, folosirea serviciilor de tip cloud poate fi o zonă a nisipurilor mișcătoare, din punct de vedere juridic. De aceea, e necesară conștientizarea faptului că implică anumite riscuri. Dacă și cum pot fi acestea eliminate sau măcar minimalizate, depinde de la caz la caz – în funcție de tipul de serviciu cloud și de puterea de negociere a clientului.

Ca regulă, contractele de adeziune (de exemplu, cum sunt contractele enterprise propuse de Microsoft clienților săi-companii nu pot fi negociate. Dar în cazul acelor servicii cloud pentru care nu se încheie contracte de adeziune, este indicat ca furnizorul de cloud și clientul să încerce să negocieze unele clauze privind, de exemplu: funcționalitatea și disponibilitatea serviciilor, locul stocării datelor, responsabilitățile ambelor părți privind datele personale,  proprietatea intelectuală și limitarea răspunderii.

Imagine: Licență Creative Commons (CC), AnxiousNut pe deviantart.
Acest articol a fost inițial publicat în numărul 26 al revistei Today Software Magazine.

 

Leave a Reply

Your email address will not be published. Required fields are marked *