Cloud computing este un concept cool, vehiculat des în domeniul IT și cu o creștere vertiginoasă. Potrivit unui raport al IHS Technology din februarie 2014, se estimează că până în ٢٠١٧, companiile vor plăti 235.1 mld.$ pentru servicii de cloud - adică de trei ori mai mult decât în 2011. Printre giganții care își împart piața de cloud se numără Amazon, Google, Microsoft, Barracuda Networks, Dropbox, etc. - fiecare cu "specializarea" sa de cloud.
În luna mai, când am participat la Cluj la evenimentul de nișă ITCamp, unul dintre subiectele intens abordate a fost folosirea Microsoft Azure. Iar experții prezenți au dezbătut pe larg provocările de natura tehnică privind această platformă de cloud.
Dar este bine de știut că pe lângă provocările tehnice există și provocări legale deloc de neglijat care pot influența masiv activitatea "jucătorilor" din industrie. Motivul? Furnizorii de cloud se confruntă constant cu o dilemă: ei trebuie să furnizeze soluții cât mai avantajoase și inovatoare din punct de vedere tehnic și comercial, dar în același timp, trebuie să se conformeze regulilor privind protecția și securitatea datelor cu caracter personal (adică cele care vizează persoanele fizice). Or, acest echilibru este uneori greu de atins. Microsoft România a văzut necesitatea de a aborda problematica datelor personale în cloud. Pe 4 iunie, a organizat la București un eveniment dedicat cloud computing-ului, invitând și un reprezentant al ANSPDCP (Autoritatea competentă în Domeniul Datelor Personale). S-au abordat unele provocări din perspectiva serviciilor enterprise oferite de Microsoft (Windows Azure, Dynamics CRM Online și Office 365).
Din experiența clienților mei știu că există unele probleme controversate și, așa cum mă așteptam, au fost multe întrebări. La unele dintre acestea, răspunsurile reprezentantului autorității au arătat clar faptul că în viziunea autorității, cloud-ul are în practică unele "zone gri" care rămân a fi interpretate de la caz la caz de către experți.
Există tipuri diferite de servicii și modele de cloud care atrag în practică consecințe variate, cu obligații legale diferențiate.
De exemplu, în timp ce Microsoft Dynamics CRM e Software as a Service (SaaS), Microsoft Azure e Platform as a Service (PaaS) și Infrastructure as a Service (IaaS) pentru Virtual Machines.
Deosebirile lor tehnice atrag și diferențe din punct de vedere legal. Una dintre diferențe este că în PaaS, principial datele nu sunt reținute și prelucrate de către furnizorul de cloud. Ceea ce înseamnă că, de exemplu, clientul enterprise al Microsoft (care, de obicei, doar pune platforma Azure la dispoziția clienților proprii) nu colectează datele cu caracter personal furnizate atunci când aceștia creează aplicații sau stochează informații în Azure. În consecință, dacă nu are acces și nu folosește datele personale stocate de clienții săi, nu ar trebui să fie ținut de obligațiile legale privind notificarea la autoritatea competentă, implementarea unor măsuri de securitate, condițiile speciale în care datele pot fi dezvăluite altor persoane, etc. .
De multe ori, folosirea serviciilor de tip cloud poate fi o zonă a nisipurilor mișcătoare din punct de vedere juridic. De aceea, e necesară conștientizarea faptului că implică anumite riscuri. Dacă și cum pot fi acestea eliminate sau măcar minimalizate, depinde de la caz la caz - în funcție de tipul de serviciu cloud și de puterea de negociere a clientului.
În cazul acelor servicii cloud pentru care nu se încheie contracte de adeziune (cum sunt contractele enterprise care, în general, nu pot fi negociate), este indicat ca furnizorul și clientul să negocieze unele clauze privind, de exemplu: funcționalitatea și disponibilitatea serviciilor, locul stocării datelor, responsabilitățile ambelor părți privind datele personale, proprietatea intelectuală și limitarea răspunderii.