GDPR cosa è e perché trasforma il rapporto tra fornitori di servizi cloud e clienti.

Service provider, Cloud Service provider, Fornitori di servizi ICT gestiti, MSP… chiamateli come volete ( e se volete comunque sapere service provider cos’è qui lo speciale esclusivo) ma di fatto sono la “specie” più cercata, studiata e desiderata sul mercato ICT da vendor, distributori informatica e imprese, manager… utenti finali insomma. Il motivo, per quanto diverso per ogni loro “cacciatore” è abbastanza comune nelle sue basi. Sono gli operatori di mercato, le imprese, gli imprenditori che meglio stanno interpretando la trasformazione digitale e, soprattutto, sono coloro che hanno capito come affrontare la rivoluzione che toglie connotazioni fisiche a pc, workstation, server, potenza di calcolo e li rende esperienze di utilizzo da pagare alla bisogna, in base all’uso, al profilo, all’abbonamento scelto. Anche e soprattutto per questo Channel City, in collaborazione con VMware (qui tutti i dettagli per conoscere la sua offerta dedicata proprio ai cloud provider) e Systematika ha deciso di creare uno spazio editoriale ad alto valore aggiunto come #VMServiceProvider. Una serie di articoli, guide, campagne social, eventi, uno spazio multimediale in cui raccontare, grazie ai più moderni strumenti di comunicazione digitale, come e perché diventare service provider e, una volta fatto il salto, come e cosa fare, come evitare errori, come sviluppare correttamente “nuovi” rapporti e relazioni con i clienti.

GDPR e cloud, come cambiano i rapporti cliente – fornitore

Detto fatto. Dopo la prima puntata dedicata ad inquadrare service provider cosa è, cosa vuol dire, quali sono le possibili forme di vita per un fornitore di servizi IT (o per un system integrator che sta pensando di fare il grande salto), ora con #VMServiceProvider entriamo nel dettaglio dei rapporti cliente – fornitore e di come, con il GDPR, il nuovo regolamento europeo per la gestione di dati e privacy sono già cambiati contratti, procedure, attenzioni, strade da imboccare. Il GDPR infatti, come spiega l’avvocato Chiara Magalini, esperta di diritto informatico dello studio legale DusiLaw «Nasce proprio per assecondare, regolamentare, indirizzare, facilitare il forte movimento che sta portando verso l’esternalizzazione dei servizi IT. Per questioni di scalabilità, vantaggio economico, flessibilità… l’uso del Cloud e dei servizi a pagamento come sostituzione dell’acquisto tradizionale di prodotti è sempre più diffuso in Europa e anche nel nostro Paese. Il legislatore europeo ha poi considerato, nel redarre il nuovo regolamento, che proprio attraverso una maggiore esternalizzazione dei servizi IT, le imprese possano poi accedere ad un livello maggiore di sicurezza e protezione di privacy e dei propri dati, che è uno dei nodi più critici nella vita di imprese e privati negli ultimi anni. Tanto per capirci, nessuna azienda “media” o piccola in Italia sarebbe in grado di implementare e mantenere autonomamente al proprio interno un livello di sicurezza pari a quello garantito da chi, come un service provider, o cloud service provider, proprio sulla gestione dei dati e sula loro sicurezza imposta il proprio core business».

Service Provider, Cloud Provider, l’articolo 82 del GDPR e la “nuova” responsabilità

Detto del quadro generale c’è poi il particolare di una legge che prevede regole con un forte impatto legato alle modalità che le imprese seguono nella fase di valutazione di un cloud provider e soprattutto sui contratti di servizio che uniscono un fornitore di servizi ai suoi clienti. Ci sono, spiega ancora l’avvocato Magalini, temi di maggiore responsabilità e aggravamento della posizione per il responsabile del trattamento dei dati, e quindi del cloud provider (che infatti agisce solitamente con questa funzione) e ci sono maggiori attenzioni legate agli accordi di servizio, alla gestione dei dati e alla necessità di redarre contratti più dettagliati e trasparenti. «Una nuova dimensione, una nuova tipologia di relazioni che oggi un service provider o chiunque voglia affrontare questo nuovo modello di business deve assolutamente conoscere».Andando nel dettaglio del GDPR comunque, senza eccedere con i tecnicismi, è però l’articolo 82 del regolamento ad essere considerato dagli esperti la più grande e profonda novità di buona parte del regolamento. Una novità che, non a caso, trasforma radicalmente i ruoli di cliente e fornitore. Rispetto al passato infatti si parla di un articolo che di fatto equipara la posizione di titolare e responsabile del trattamento. Tanto per essere chiari, anche il cloud provider, che agisce in qualità di responsabile può infatti essere chiamato a rispondere direttamente e per l’intero ammontare del danno cagionato nei confronti degli interessati, qualora: abbia agito in modo difforme rispetto alle istruzioni legittime ricevute dal titolare (in caso dunque non sia in linea con quanto sancito, in materia di trattamento dati, dal contratto stipulato) o non abbia adempiuto agli obblighi che il GDPR pone direttamente in capo ai responsabili. Come poi spiega lo stesso articolo 32, altro perno del regolamento, non è dunque solo l’azienda, il cliente finale (titolare) che valuta e firma il contratto, a certificare ed essere responsabile dei livelli di sicurezza del fornitore di servizi, ma anche lo stesso provider dovrà “mettere in atto misure adeguate rispetto al servizio offerto”. Il tutto a rischio di sanzioni e possibili risarcimenti in caso di violazione degli obblighi e di trattamenti illeciti. Insomma essere fornitore di servizi cloud oggi vuole innanzitutto dire essere fornitore di sicurezza certificata e a norma di legge. Non sono previste eccezioni e tantomeno improvvisazioni.

Service Provider, Cloud Provider, come cambiano i contratti a cosa stare attenti

Altro puto chiave rispetto all’impatto che il GDPR ha sulla vita di un service provider sulla “nuova” vita da fornitore di servizi cloud che un system integrator sta valutando è poi quello della stesura dei contratti. A questo proposito l’articolo 28 del GDPR è molto puntale e preciso. Si parla infatti esplicitamente di una necessaria trasparenza e chiarezza in tutte le parti degli accordi di servizio. Un tema chiave è, per esempio, quello dei servizi che il provider fornisce in subappalto, pratica abbastanza tipica del cloud, proprio per la flessibilità e l’agilità del modello. «Qualora – spiega infatti l’articolo in materia di subappalto – un responsabile del trattamento ricorre a un altro responsabile del trattamento per l’esecuzione di specifiche attività… su tale altro responsabile del trattamento sono imposti…gli stessi obblighi in materia di protezione dei dati contenuti nel contratto…». Tutti ugualmente responsabili dunque, senza alcun tipo di vie di fuga e tutto dovrà essere necessariamente esplicitato nel contratto.  Ultimo ma non ultimo dei temi che un buon service provider deve assolutamente valutare nella stesura di un buon contratto cloud è poi quello che riguarda il tanto temuto tema del data breach. Si parla infatti di «violazioni di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati». Come tutti ormai sanno in caso di un simile avvenimento, la notifica di eventuali violazioni, secondo il GDPR, dovrà essere eseguita, senza ingiustificato ritardo, possibilmente entro 72 ore dal momento in cui si è venuto a conoscenza della violazione. Un tema critico per un Paese come l’Italia, in cui la notifica di un “buco” nella propria rete IT è da sempre una “macchia” che poche imprese intendono mettere in pubblico. Un tema su cui, ancora una volta i fornitori di servizi IT e service provider sono chiamati in causa. Si parla infatti di “obbligo” del provider di assistere e cooperare con l’azienda cliente, titolare del trattamento, nel notificare gli eventuali data breaches alle Autorità di controllo e nel comunicarli agli interessati, laddove necessario; l’obbligo di assistere l’azienda nell’effettuare la DPIA e l’eventuale consultazione preventiva, laddove previsto per legge; l’obbligo di restituzione o cancellazione dei dati personali al momento della cessazione del servizio.

Service Provider, Cloud Provider, il GDPR è una sfida ma anche una grande opportunità

Essere o diventare Service Provider ai tempi del GDPR è dunque una strada vantaggiosa ma anche molto complessa che prevede valori concreti da esprimere senza esitazioni o reticenze sul mercato. Una strada che anche e soprattutto grazie a programmi come quello sviluppato da VMware in collaborazione con Distributori Informatica a valore come Systematika può diventare un elemento di competitività e di differenziazione più netta sul mercato. Un elemento che permetta dunque di distinguere con maggiore chiarezza gli operatori a valore, vero, da coloro che si improvvisano tali in un momento in cui l’uso della stessa parola “valore” sul canale ICT rischia di essere pesantemente inflazionato.