Meanwhile, in their 2015 book “No Ordinary Disruption,” McKinsey & Company directors Richard Dobbs, James Manyika, and Jonathan Woetzel estimate that change today is happening 10 times faster and at 300 times the scale of the First Industrial Revolution, which they say works out to 3,000 times the impact[2].

The current period of transformation is sometimes referred to as the Fourth Industrial Revolution. It is times of opportunities for business and society as well, given the high pace of innovation, and the numerous benefits that the new technologies are enabling. There are many examples of how the cloud computing and artificial intelligence can help in education, healthcare and agriculture (see few examples here). The businesses that are agile enough to adjust and leverage the incredible times of innovation would be able to enjoy the economic bust that such new trends can bring: the power of insights into the unstructured data by using machine learning, new ways of interacting with their customers in the digital world, the flexibility of working mobile and secure the same time granted to their employees while enhancing their productivity through cloud computing solutions, the incredible power of the Internet of Things.

At the same time we are fully aware that the new technological trends like cloud computing, Internet of Things, Artificial Intelligence do raise a range of deep concerns. A study by Chapman University found that technology ranks second among the things people are most concerned about, with cyberterrorism, corporate tracking of personal information, government tracking of personal information, and identity theft all earning spots in the top 10. The survey also found that nearly one person in three worries about losing their job to a robot and one in four is worried about whether to trust artificial intelligence[3]. This is the reason why Microsoft launched “A Cloud for Global Good“, a set of recommendations advocating for a responsible adoption of the new technologies, and for the self-assumed responsibility of the tech companies in building trust, reliability and inclusion.

There are serious policy and social issues that requires new approach in the eve of the Fourth Industrial Revolution. What steps can we take to address income inequality? How can we help people acquire the skills and knowledge they will need in this rapidly emerging new world? How do we preserve privacy and free expression while protecting public safety?

At Microsoft, we believe that for this to truly be the beginning of a period that fundamentally changes people’s lives for the better, we must start by focusing on three key principles: trust, responsibility, and inclusion.

[1] World Economic Forum, Global Agenda Council on the Future of Software & Society, Deep Shift Technology Tipping Points, and Societal Impact.

[2] McKinsey & Company, No Ordinary Disruption: The Four Forces Breaking All the Trends.

[3] Chapman University The Chapman University Survey on American Fears.

Prima fază a fost finalizată la sfârșitul anului 2013, când ETSI a publicat primul raport Cloud Standards Coordination. Acesta conține definirea rolurilor în cloud computing; clasificarea a peste 100 de situații de caz referitoare la cloud computing; lista unor organizații relevante pentru standardizarea cloud computing și o selecție de documente, standarde și specificații, precum și rapoarte produse de aceste organizații; clasificarea activităților care trebuie întreprinse de clienții sau furnizorii serviciilor cloud pe durata serviciului (implementare, operare, încetare); și o indexare a documentelor cloud computing selectate (în special standarde și specificații) cu referire la aceste activități.

În noiembrie 2015, ETSI a publicat patru rapoarte ca rezultat al celei de-a doua etape de lucru:

• Cloud Computing Users’ Needs – raport care prezintă rezultatele studiului online realizat în perioada aprilie-septembrie 2015;
• Cloud Computing Standards and Open Source – raport care studiază relația și interacțiunile între standardizare și programele și soluțiile Open Source pentru cloud computing, chestiune nediscutată în prima fază a studiului, dar care între timp a fost considerată ca având o importanță ridicată;
• Interoperability and Security in Cloud Computing – raport care tratează, din perspectiva utilizatorului, problema interoperabilității și securității în cloud computing și legătura dintre ele, precum și modul în care o abordare globală asupra celor două poate crește încrederea în cloud computing;

Cloud Computing Standards Maturity Assessment – raportul principal care actualizează informațiile din documentul rezultat în prima etapă, însă în vreme ce Cloud Standards Coordination trata problema din perspectiva furnizorului, Cloud Computing Standards Maturity Assessment o privește din perspectiva utilizatorului. Raportul actualizează lista standardelor aplicabile în cloud computing și, de această dată, tratează și problema certificării pentru aceste standarde. Indexarea standardelor care pot fi aplicate în funcție de etapa în care se află serviciul de cloud (achiziție/implementare, utilizare, respectiv încetare) este foarte interesantă, pentru că include și semnalarea zonelor unde standardele lipsesc, cu marcarea corespunzătoare a importanței (de exemplu, actualmente nu există standarde pentru monitorizarea administrării incidentelor ori a uptime-ului în faza de utilizare a serviciului cloud, iar importanța este marcată ca fiind critică). De asemenea, raportul analizează principalele griji semnalate de clienții serviciilor cloud și modul cum standardizarea le poate reduce sau elimina. Concluzia generală este aceea de îmbunătățire față de situația din 2013, fiind însă necesară continuarea activității pentru eliminarea zonelor neacoperite de standarde și pentru încurajarea implementării lor.

Ediția iunie 2015 este disponibilă şi la adresa http://www.tuca.ro/_popup/?artno=87 sau poate fi descărcată la linkul Cloud Computing in Eastern Europe-2nd Edition.

Agenda Digitală pentru Europa 2020 are 5 obiective comune tuturor statelor membre, susținute reciproc și promovate ca obiective naționale pentru fiecare stat membru, astfel:

Strategia Națională privind Agenda Digitală definește cadrul pentru o structură instituțională care își propune să ofere o viziune unitară, să gestioneze centralizat și coordonat toate aspectele legate de informatizarea serviciilor publice și să realizeze interoperabilitatea la nivel european.

Obiectivele specifice pentru România la nivelul anului 2020 includ:

• 100% din populație să aibă acoperire cu broadband fix, și 80% cu broadband peste 30Mbps;
• Cel puțin 30% din populație să facă cumpărături online (de la 10% în prezent);
• Cel puțin 60% din populație să utilizeze săptămânal internetul (de la 48% în prezent), iar procentul celor care nu au utilizat niciodată internetul să scadă sub 30% (de la 39% în prezent);
• Cel puțin 35% din cetățeni să folosească servicii de eGuvernare (față de 10% în prezent) iar peste 20% să returneze formulare completate (față de doar 3% în prezent).

La nivelul Uniunii, agenda digitală include șapte domenii de acțiune: piața unică digitală; interoperabilitate și standardizare; încredere și securitate; acces rapid și ultrarapid la internet; cercetare și inovare; creșterea gradului de alfabetizare digitală; dezvoltarea competențelor digitale și a incluziunii; avantaje ale TIC pentru societate în Uniunea Europeană. Pentru România, Agenda Digitală este comprimată în doar 4 domenii de acțiune, anume:

• Domeniul de acțiune 1 – eGuvernare, Interoperabilitate, Securitate Cibernetică*, Cloud Computing, Open Data*, Big Data și Media Sociale – creșterea eficienței și reducerea costurilor din sectorul public din România prin modernizarea administrației.
• Domeniul de acțiune 2 – TIC în Educație, Sănătate*, Cultură şi eInclusion – intervine în provocările sociale la un nivel sectorial şi va asigura că investițiile TIC vor crea un impact pozitiv în contextul social.

Implementarea şi corelarea viziunii domeniilor de acţiune 1 şi 2 vor genera până în anul 2020 un impact estimat asupra economiei României de 5% creştere PIB şi 1% creştere a locurilor de muncă.

• Domeniul de acțiune 3 – eCommerce, Cercetare, Dezvoltare și Inovare în TIC* – se bazează pe avantajele comparative ale României regionale și sprijină creșterea economică din sectorul privat. Punerea în aplicare a măsurilor din domeniul de acțiune 3 va genera până în anul 2020 un impact estimat asupra economiei românești de creștere de aproximativ 3% la nivelul PIB-ului și 2% în privința locurilor de muncă.
• Domeniul de acțiune 4 – Broadband și Infrastructura de Servicii Digitale* – la baza implementării domeniilor de acțiune de mai sus și a serviciilor aferente lor, dincolo de nevoia a investi în echipamente TIC de ultimă generație, stă dezvoltarea infrastructurii de broadband și de servicii digitale, Prin oferirea condițiilor de acces la echipamente TIC și Internet facilitează în același timp incluziunea socială, creșterea gradului de alfabetizare digitală și îmbunătățirea competențelor digitale.

În domeniile marcate cu asterisc Agenda Digitală se va completa cu strategii naționale proprii domeniilor respective.

Agenda Digitală identifică și necesarul de investiții pentru fiecare domeniu de acțiune, cu o sumă totală de 3.963,8 milioane EUR. De departe cea mai mare sumă este estimată ca necesară pentru broadband (3.100 milioane EUR), în vreme ce cea mai mică sumă este prevăzută pentru eIncluziune (25 milioane EUR). Alte categorii notabile sunt cloud computing și media sociale – 60,2 milioane EUR; eCommerce – 76,5 milioane EUR; securitate cibernetică – 30 milioane EUR; cercetare-dezvoltare în TIC – 60,5 milioane EUR. Impactul asupra economiei este preconizat a fi tradus într-o creștere a PIB de 13%, creșterea numărului de locuri de muncă cu 11% și reducerea costurilor administrației cu 12% până în anul 2020.

Agenda Digitală pentru România detaliază fiecare linie strategică de dezvoltare în parte, expunând atât contextul european și local, cât și liniile strategice de dezvoltare. Cu titlu special merită menționată promovarea detaliată a necesității implementării și adoptării soluțiilor de cloud guvernamental (G-Cloud), pe toate liniile de acțiune fiind menționat că toate instituțiile publice vor adera, sub coordonarea Ministerului pentru Societatea Informațională, precum și acoperirea largă a liniilor de acțiune prevăzute pentru e-Commerce. Precizări amănunțite sunt incluse și pentru broadband, pe măsura necesarului ridicat de finanțare stabilit.

Deşi puţin promovată până în prezent, adoptarea acestui standard este un eveniment important în lumea serviciilor IT, atât pentru furnizorii de cloud cât şi pentru utilizatorii, actuali sau viitori, ai acestui tip de servicii încă foarte noi. Aşa cum arătam cu altă ocazie, serviciile cloud nu au practic o reglementare legală, astfel că singurele norme care sunt aplicabile sunt de fapt cele în materia protecţiei datelor cu caracter personal (dacă asemenea date sunt prelucrate de către client prin intermediul serviciului).

Scopul principal al standardului 27018 este simplu – să ofere un set de reguli comune de securitate adaptate prelucrării datelor cu caracter personal în contextul serviciilor cloud. Având în vedere faptul că securitatea datelor în cloud este un aspect major, fie că este o piedică fie că este pur şi simplu o preocupare legitimă pentru orice utilizator diligent, este foarte probabil ca implementarea standardului 27018 să servească la crearea unui cadru comun în materie, astfel încât utilizatorii să ştie ce anume să caute la un furnizor de cloud, iar cei din urmă să ştie ce informaţii să aibă gata pregătite pentru informarea clientului. Mai mult, având în vedere că natura multi-tenant a cloudului public nu permite fiecărui utilizator să auditeze serviciul, existenţa unor standarde detaliate, cum este ISO 27018 în materia securităţii pentru datele cu caracter personal, pentru care furnizorul obţine o confirmare periodică poate umple cu succes acest gol.

ISO 27018 este un subset al standardului ISO 27002 (Information technology – Security techniques – Code of practice for information security controls), pe care îl adaptează pentru serviciile cloud. Ca atare, pentru furnizorii de cloud care deja deţin certificare pentru ISO 27002 nu va fi deloc dificil să urmărească şi să obţină certificarea inclusiv pentru noul ISO 27018. Apoi, noul standard implementează şi principiile de protecţie a datelor cu caracter personal din ISO 29100 (Information technology — Security techniques — Privacy framework) pentru a fi aplicate unui împuternicit (şi nu numai operatorului).

Pentru specialiştii din Uniunea Europeană ISO 27018 poate părea că repetă diferite cerinţe care se găseau deja în clauzele contractuale tip pentru transferul de date cu caracter personal către persoanele împuternicite de către operator stabilite în țări terțe şi în Avizul Grupului de Lucru Art. 29 cu privire la cloud computing – şi chiar aşa este. Însă valoarea adăugată a standardului ISO 27018 este aceea că include şi generalizează aceste norme de insipraţie europeană, care astfel capătă utilizare internaţională. Drept urmare, un client din Uniunea Europeană va putea alege un furnizor de cloud situat înafara Uniunii ştiind că, dacă este certificat pentru conformitate cu ISO 27018, atunci furnizorul respectiv respectă cerinţele stricte în materia consimţământului, transferului de date, transparenţei ş.a.m.d., care îi sunt aplicabile clientului ca operator de date situat în Uniune.

Totuşi, este important de menţionat că ISO 27018 este un standard cu vocaţie universală, indiferent de mărimea sau domeniul de activitate al organizaţiilor care îl adoptă, astfel că cerinţe sectoriale specifice aplicabile clientului operator de date – cum ar fi în domeniul serviciilor financiare sau al secretelor de stat – vor fi aplicabile inclusiv în relaţia cu împuternicitul furnizor de cloud, în plus faţă de cerinţele din standardul în discuţie. Drept urmare, deşi certificarea conformării cu ISO 27018 este un veritabil atu al unui furnizor de cloud, ea nu este neaparat suficientă pentru orice tip de client.

Fiind un cod de conduită, ISO 27018 poate fi implementat voluntar, fără vreo certificare oficială. Este însă de aşteptat că un furnizor de cloud care deţine o certificare independentă care atestă realitatea şi efectivitatea respectării standardului în toate aspectele sale va fi mai credibil decât unul care doar declară acest lucru, verificarea efectivităţii fiind imposibilă pentru client. Rămâne însă de văzut cât de repede va fi adoptat noul ISO 27018 şi de furnizorii de servicii cloud.

Acest articol reprezintă o trecere în revistă a chestiunilor puse în discuţie de autoare în cadrul conferinţei „Cloud Computing: provocări și oportunități din perspectiva protecției datelor”, organizată de Microsoft Romania in data de 4 iunie 2014. Chestiunile abordate se concentrează atât pe ceea ce reprezintă cloud computingul cât şi pe câteva dintre problematicile juridice des întâlnite în legătură cu folosirea acestui tip de serviciu. Totuşi, prezentarea este una succintă, fără a avea pretenţia unei analize exhaustive.

I. Cloud computing pe scurt

Explicat într-un mod simplu, cloud computing înseamnă a oferi capacitate de procesare pentru dispozitive electronice (PC, tablete, smartphones) prin intermediul unei infrastructuri aflate la distanţă. La nivel internaţional nu există o definiţie unanim acceptată a cloud computing-ului, însă anumite instituţii consacrate au încercat să definească fenomenul. De exemplu, Institutul Naţional de Standarde şi Tehnologie al Statelor Unite (NIST) a definit cloud computingul ca reprezentând „un model care permite, la cerere, accesul în reţea comod şi ubicuu la un ansamblu comun de resurse informatice configurabile (spre exemplu reţele, servere, medii de stocare, aplicaţii şi servicii) care pot fi rapid procurate și livrate, cu efort minim sau cu interacţiune minimă din partea furnizorului de servicii”[1]. La rândul său, Comisia Europeană a precizat că cloud computingul poate fi înţeles ca „stocarea, procesarea și utilizarea de date pe computere aflate la distanță și accesate prin intermediul internetului”, reprezentând „o nouă fază de industrializare (standardizare, extindere, disponibilitatea generalizată) a furnizării puterii de calcul în regim de utilitate publică („utility computing”) comparabilă cu industrializarea furnizării de electricitate de către centralele din domeniul energiei”[2].

Comisia a notat următoarele elemente definitorii pentru cloud computing:^[3]

• „hardware-ul (computere, dispozitive de stocare) este deținut de furnizorul de servicii de cloud computing, nu de utilizatorul care interacționează cu acesta prin internet;
• utilizarea hardware-ului este optimizată dinamic printr-o rețea de computere, astfel încât locația exactă a datelor sau a proceselor, precum și informațiile privind partea din hardware care deservește un utilizator la un moment dat nu trebuie, în principiu, să-l privească pe utilizator, chiar dacă aceste elemente pot avea o influență semnificativă asupra cadrului legal aplicabil;
• furnizorii de servicii de cloud deplasează adesea sarcinile de lucru ale propriilor utilizatori (de exemplu, de la un computer la altul sau de la un centru de date la altul) pentru a optimiza utilizarea hardware-ului disponibil;
• hardware-ul la distanță stochează și procesează datele și le pune la dispoziție, de exemplu, prin intermediul aplicațiilor (astfel încât o companie să poată utiliza resursele sale de cloud computing exact în același mod în care consumatorii își folosesc conturile de webmail);
• organizațiile și persoanele fizice își pot accesa conținutul și își pot utiliza software-ul atunci când și unde au nevoie, de ex. pe computere desktop, laptopuri, tablete și smartphone-uri;
• o configurație de cloud este formată din mai multe niveluri: hardware, middleware sau platformă și software aplicativ. standardizarea este importantă în special la nivelul intermediar, deoarece le permite dezvoltatorilor să se adreseze unui evantai larg de clienți potențiali și le oferă utilizatorilor posibilitatea de a alege;
• în principiu, utilizatorii plătesc în funcție de utilizare, evitând costurile inițiale și fixe ridicate pe care le presupun configurarea și exploatarea unor echipamente informatice sofisticate;
• utilizatorii pot modifica foarte ușor volumul de hardware utilizat (de exemplu, adăugarea de noi capacități de stocare online se poate efectua în câteva secunde, cu câteva clicuri de mouse”.

Serviciile cloud se încadrează în trei mari categorii:

1. Infrastructure as a Service (IaaS) costă în utilizarea de servere, stocare, sau infrastructură de rețea printr-o conexiune la internet. IaaS este forma de cloud computing cea mai complexă tehnic, care oferă clientului infrastructură pentru dezvoltarea, rularea, și stocarea aplicațiilor sau datelor în medii cloud. Exemplele includ Amazon Web Services, Windows Server, ferme de randare în cloud, etc.;
2. Platform as a Service (PaaS) constă în proiectarea, dezvoltarea, testarea, implementarea și găzduirea aplicațiilor pe platforme web (dezvoltare aplicații). Example în acest sens sunt Google App Engine, Windows Azure, Facebook Developers;
3. Software as a Service (Saas) foloseşte un browser web ca platformă de la care rulează aplicații și servicii web-based. Aceasta este cea mai cunoscută formă de servicii cloud pentru utilizatorul obişnuit, exemple fiind multiple: rețele sociale (Facebook, Twitter, LinkedIn), platforme de blogging (Blogger, WordPress), servicii webmail (Gmail, Yahoo, Outlook.com), portaluri de internet banking, platforme de plăți online (PayPal), platforme de servicii HR (Workday, Concur Expense, Concur Travel), platforme de productivitate (HiTask, BaseCamp), aplicații de management client (SalesForce), camere de date virtuale, suite de software de productivitate cum sunt Microsoft Office 365, Adobe Air, etc.

Uneori tipurile de mai sus sunt combinate (layered), de exemplu aplicaţia Skydox (SaaS) pentru colaborare de documente este dezvoltată pe Engine Yard (PaaS) care foloseşte Amazon Web Services (IaaS).

În funcție de tipul de modul de funcționare, mediile cloud pot fi clasificate după cum urmează:

1. Cloudul public – este un tip de cloud care este disponibil la contractare pentru publicul larg, fiind deținut și operat de către un terț furnizor de cloud. Se cuvine menționat faptul că a fi „public” nu înseamnă că informațiile deținute sunt distribuite către public, ci mai degrabă că tipul de serviciu cloud este, în general, pus la dispoziția publicului pentru contractare. Acest tip de cloud este cel care care se face în general referire atunci când vorbim de cloud computing.
2. Cloudul hibrid – datele sau aplicațiile sunt portabile și permit conectarea între cloudul public şi cel privat. Scenariul de cloud hibrid poate fi o soluție bună pentru entitățile care au cerințe speciale în anumite domenii, astfel că trebuie să îmbine avantajele cloudului public cu ale celui privat. De exemplu, clienții pot beneficia de aplicații găzduite în cloudul public, dar cu stocarea locală a informației.
3. Cloudul privat – este un tip de cloud găzduit pentru sau de către o singură entitate într-o rețea privată, cel mai adesea exploatat intern, în cadrul căruia doar cei din cadrul entității respective pot partaja resursele. În realitate, acest mod de operare nu reprezintă propriu-zis cloud, astfel că multe dintre aspectele analizate atunci când vorbim de servicii de cloud computing nu se aplică scenariului de cloud privat.

II. Cloud computingul pe Agenda Digitală

Comisia are ca scop declarat să faciliteze, în toate sectoarele economiei, adoptarea mai rapidă a cloud computingului, aceasta fiind una dintre prioritățile de pe Agenda Digitală 2020[4]. Un studiu elaborat pentru Comisie în 2011-2012 a identificat beneficii importante ca urmare a adoptării cloud computing[5]: 80% din organizații au raportat o reducere a costurilor cu 10-20%, 46% au raportat o mobilitate crescută a muncii, 41% au o productivitate mai mare, în timp ce alte beneficii includ standardizare (35%), precum și noi oportunități de afaceri (33%) și piețe (32%).

Comisia a identificat trei acţiuni-cheie necesare pentru a creşte încrederea în soluţiile cloud:

• identificarea unui set de standarde corespunzătoare care pot fi certificate pentru a le oferi achizitorilor publici și privați siguranța că, atunci când adoptă serviciile de cloud, își respectă obligațiile de conformitate și că primesc o soluție adecvată, adaptată nevoilor lor. Această acţiune a fost finalizată de Institutul European de Standardizare în Telecomunicații (ETSI), care a publicat raportul Cloud Standards Coordination[6] în noiembrie 2013;
• stabilirea unor clauze contractuale și condiții sigure și echitabile, pentru a asigura o certitudine a cadrului juridic aferent, o siguranță ridicată a clientului şi contracte specifice și echilibrate cu furnizorii de cloud. Sub acest aspect efortul este bidirecţional. Pe de o parte, pentru utilizatorii profesioniști este necesară elaborarea unor clauze contractuale tip pentru acordurile privind nivelul serviciului în domeniul cloud computingului, întrucât acestea se află la baza încrederii pe care utilizatorii serviciilor de cloud o pot avea în capacitatea unui furnizor de cloud de a furniza servicii. Pe de altă parte, în ceea ce îi priveşte pe consumatori şi întreprinderile mici, este necesară o legislație europeană comună în materie de vânzări. În această a doua privinţă, Comisia a prezentat deja o propunere de regulament privind legislația europeană comună în materie de vânzări[7], care conține norme adaptate la furnizarea de „conținut digital” care acoperă anumite aspecte ale cloud computingului.
• A treia şi ultima direcţie de acţiune identificată de Comisie este instituirea unui Parteneriat european pentru cloud, care va reuni experți ai întreprinderilor vizate și utilizatori din sectorul public, care vor elabora, într-un mod deschis și complet transparent, cerințe comune privind achizițiile publice în domeniul cloud computingului. Comisia arată că sectorul public trebuie să aibă un rol de lider în folosirea serviciilor cloud, întrucât este cel mai mare cumpărător de servicii informatice din Uniune, care poate stabili cerințe stricte privind caracteristicile, performanța, securitatea, interoperabilitatea și portabilitatea datelor, precum și de conformitate cu exigențele tehnice. Comisia are în vedere că gruparea cerințelor publice ar putea crește eficiența, iar cerințele sectoriale comune (de exemplu, privind e-sănătatea, îngrijirile sociale, asistența pentru autonomie la domiciliu și serviciile de e-guvernare) ar putea reduce costurile și ar permite interoperabilitatea.

III. Cadrul normativ

Cloud computingul nu beneficiază de o reglementare proprie, nici în România şi nici în Uniunea Europeană. Cadrul juridic relevant pentru tratamentul datelor folosite în mediul cloud constă în actele normative generale în domeniul prelucrării datelor cu caracter personal:

1. Directiva 95/46/CE privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date, care a fost implementată în dreptul român prin legea nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date.

Directiva 95/46/CE și Legea nr. 677/2001 se aplică atât în cazul în care operatorul este stabilit în Uniunea Europeană, cât și în cazul în care operatorul este stabilit înafara ei dar utilizează un echipament situat în Uniune pentru prelucrarea datelor cu caracter personal (de exemplu, centre de date, servere, etc);

1. Directiva 2002/58/CE privind prelucrarea datelor personale şi protejarea confidenţialităţii în sectorul comunicaţiilor publice, implementată în dreptul român prin legea nr. 506/2004 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul comunicaţiilor electronice.
2. Reglementări secundare emise de către Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal, cum este Decizia nr. 132/2011 privind condiţiile prelucrării codului numeric personal şi a altor date cu caracter personal având o funcţie de identificare de aplicabilitate generală
3. Acte emise de alte autorităţi in domenii specifice, cum este cazul Regulamentului BNR nr. 5/2013;
4. Avize si opinii interpretative emise de Grupul de lucru Art. 29[8], între care cele mai importante în contextul cloud computing sunt Avizul nr. 05/2012 privind „cloud computing”, Avizul nr. 1/2010 privind conceptele de „operator” și „persoană împuternicită”, şi Avizul nr. 4/2007 privind conceptul de date cu caracter personal.

Diverse instituţii şi autorităţi la nivel european au emis ghiduri proprii în domeniul cloud computing, menite să ajute potenţialii beneficiari să îşi înţeleagă drepturile şi obligaţiile care le revin, precum şi să ofere unele linii ajutătoare în alegerea unui furnizor de cloud computing. Asemenea ghiduri includ:

• „Guidelines On The Use Of Cloud Computing Services By Lawyers” emis de Consiliul Barourilor Europene (CCBE)[9];
• „Guidance on the use of cloud computing”, ghidul emis de autoritatea competentă din Marea Britanie[10];
• „Datenschutzkonforme Gestaltung und Nutzung von Cloud-Computing”, rezoluţia comună a autorităţiilor federale din Germania[11];
• „How to Protect Your Data Without Falling From a Cloud”, ghidul emis de autoritatea competentă din Italia[12];
• „Cloud services and the Personal Data Act” ghidul emis de autoritatea competentă din Suedia[13].

IV. Câteva provocări actuale

A. Alocarea rolurilor

Este clar, în contextul serviciilor cloud, că beneficiarul serviciului este operator de date cu caracter personal, el alegând ce date sunt transferate către cloud. Cu toate acestea, rolul furnizorului de cloud nu este la fel de clar, deşi cvasi-majoritatea ghidurilor şi opiniilor antemenţionate îl califică drept persoană împuternicită în temeiul faptului că primeşte date cu caracter personal de la client şi le prelucrează pe seama acestuia, sau operator în comun atunci când şi furnizorul prelucrează datele în scop propriu (de exemplu data mining pentru scopuri de marketing).

O situaţie mai deloc analizată este aceea că furnizorul de cloud s-ar putea să nu fie nici măcar împuternicit, în situațiile in care nu prelucrează activ date. Atunci cand datele doar tranzitează (pasiv) infrastructura furnizorului de cloud (cum este cazul PaaS şi uneori al IaaS), situația este similara cu a furnizorilor de servicii de comunicații electronice (de exemplu furnizorii de servicii internet). Or, potrivit Directivei 2000/31/CE (Directiva privind comerţul electronic) şi legii de implementare nr. 365/2002 privind comerţul electronic, furnizorilor de servicii de comunicații electronice sunt consideraţi furnizori de servicii ai societăţii informaţionale[14], astfel că beneficiază de protecţia intermediarilor – mai exact, furnizorul serviciului nu răspunde pentru informaţia transmisă dacă sunt îndeplinite cumulativ următoarele condiţii: transmiterea nu a fost iniţiată de furnizorul de servicii; alegerea persoanei care recepţionează informaţia transmisă nu a aparţinut furnizorului de servicii; şi conţinutul informaţiei transmise nu a fost influenţat în niciun fel de către furnizorul de servicii, în sensul că nu i se poate atribui nici selecţia şi nicio eventuală modificare a acestei informaţii. Or, în context cloud, toate aceste condiţii sunt de regula îndeplinite[15].

În mod normal, şi furnizorii de servicii cloud ar trebui încadraţi ca furnizorii de servicii ai societăţii informaţionale[16], însă potrivit Directivei 2000/31/CE (Directiva privind comerţul electronic), prevederile acesteia nu se aplică chestiunilor referitoare la serviciile societăţii informaţionale reglementate de Directivele 95/46/CE (privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date) şi 2002/58/CE (Directiva asupra confidențialității comunicațiilor electronice). Drept urmare, s-ar putea trage concluzia că protecţia oferită intermediarilor potrivit Directivei 2000/31/CE (şi implicit Legii nr. 365/2002, chiar dacă aceasta nu preia excluderea) nu se extinde şi în materia protecţiei datelor cu caracter personal, reglementată de cele două directive şi legi speciale. În opinia noastră, o asemenea concluzie este greşită şi contraproductivă, ea nefiind în acord cu natura self-service a serviciilor cloud.

B. Diferenţele între cloud computing şi externalizarea obişnuită

De cele mai multe ori între folosirea serviciilor business de cloud şi externalizare se pune semnul egal, mergându-se pe ideea că furnizorul de cloud face o anumită activitate în locul clientului. Cu toate acestea, chiar dacă în anumite domenii există definiţii extrem de largi ale externalizării (cum este cazul Regulamentului BNR nr. 5/2013), nu trebuie uitat că, de regulă, externalizarea înseamnă crearea unui rezultat propriu, nou, de către furnizor. De exemplu, externalizarea contabilităţii înseamnă că furnizorul ţine el însuşi contabilitatea, externalizarea serviciului HR înseamnă că furnizorul face el însuşi activităţile specifice HR, etc.

Or, de multe ori serviciile cloud nu duc la crearea unui rezultat propriu de către furnizor, ci doar pun la dispoziţia clientului mijloacele IT predefinite prin care clientul însuşi ajunge la un rezultat nou (self-service), prelucrarea fiind făcută direct de către clientul de cloud. Furnizorul de cloud intervine doar pasiv, neoperând activ cu privire la datele implicate ci doar punând la dispoziţie capacitatea de prelucrare şi stocare a datelor respective, gata de a fi folosite de către client la alegerea acestuia.

Pentru clarificare, să luăm ca exemplu situaţia clasică a contabilităţii. În cazul în care operatorul încheie un contract prin care furnizorul preia datele brute şi livrează înapoi beneficiarului registrele contabile, avem o situaţie bine-cunoscută de externalizare. Dacă însă operatorul achiziţionează un soft cu care îşi prelucrează el însuşi datele contabile, în mod evident nu avem o externalizare. Ce se întâmplă însă dacă softul respectiv este în cloud, operatorul neavându-l instalat pe infrastructura proprie dar cu toate acestea efectuând el însuşi înregistrările (prelucrarea)? Este aceasta o situaţie echivalentă cu prima, pentru a spune că avem în faţă o externalizare şi o relaţie operator – împuternicit?

Din punctul de vedere al autoarei răspunsul este negativ, iar asemenea situaţii în care furnizorul de cloud intervine doar pasiv, punând la dispoziţia clientului infrastructura sa, necesită o reevaluare a adecvării dualităţii operator-împuternicit în context cloud, precum şi reglementarea unor beneficii juridice sporite pentru furnizorii de cloud. Doar cu titlu de exemplu, operarea dreptului persoanelor vizate de a interveni asupra datelor este foarte greu de justificat în raport cu furnizorul de cloud ca împuternicit, de vreme ce clientul de cloud este entitatea care are posibilitatea la orice moment să facă orice modificări doreşte, iar furnizorul de cloud are tot interesul (de cele mai multe ori stipulat contractual în beneficiul clientului) să îşi limiteze accesul la datele clientului. Între asigurarea unei securităţi ridicate şi unui control exclusiv al clientului (chestiuni indicate ca motive de îngrijorare de un număr ridicat de potenţiali clienţi) şi drepturile specifice ale persoanelor vizate sub imperiul reglementărilor de protecţie a datelor cu caracter personal credem că balanţa trebuie înclinată de aşa mod încât responsabilitatea pentru respectarea drepturilor persoanelor vizate să fie atribuită în exclusivitate clientului de cloud, în vreme ce accesul şi intervenţia furnizorului de cloud trebuie restrânse la maximul posibil (respectiv obligaţia de a se conforma unei hotărâri emise de un organ competent, cum ar fi un mandat sau hotărâre judecătorească).

C. Datele criptate mai sunt date cu caracter personal?

Una din premisele încadrării în categoria datelor cu caracter personal este necesitatea ca datele în cauză să permită identificarea persoanei vizate. Prin urmare, dacă prin orice modalitate posibilitatea identificării este eliminată, ar rezulta că nu mai suntem în prezenţa datelor cu caracter personal. Această orientare a fost afirmată şi de Grupul de Lucru Art. 29 în Avizul 4/2007 privind conceptul de date cu caracter personal, in ceea ce priveşte anonimizarea prin pseudonime: „Identităţile ascunse pot fi generate astfel încât să nu fie posibilă reidentificarea, de exemplu prin criptografie unilaterală care creează, în general, date anonime”. Poziţia este însă nuanţată în recentul Aviz 05/2014 privind tehnicile de anonimizare[17], în care Grupul de Lucru susţine că pseudonimizarea, care include criptarea, nu este o tehnică de anonimizare ci doar una prin care se „reduce posibilitatea stabilirii unei legături între un set de date și identitatea originală a unei persoane vizate, fiind, prin urmare, o măsură de securitate utilă”. Grupul de Lucru precizează că în cazul criptării cu o cheie secretă „deținătorul cheii poate cu ușurință să reidentifice fiecare persoană vizată prin decriptarea setului de date deoarece datele cu caracter personal încă fac parte din setul de date, chiar dacă sub o formă criptată. Presupunând că s-a aplicat un sistem de criptare de ultimă generație, decriptarea poate fi posibilă numai dacă se cunoaște cheia”.

Chiar dacă aceste precizări recente par că se contrazic cu cele anterioare, în realitate ele se coroborează şi sunt utile pentru serviciile de cloud: mai exact, în cazul criptării unidirecţionale a datelor, astfel că doar clientul de cloud are cheia, pentru clientul în cauză datele evident că nu sunt anonime (de altfel acesta şi este scopul), însă pentru furnizorul de cloud, care nu are cum să întoarcă procesul, datele sunt anonime.

Drept urmare, în măsura în care datele sunt criptate local de către utilizatorul de cloud şi doar acesta are cheia de decriptare, folosirea serviciului de cloud nu mai intra in sfera datelor personale.

D. Accesul autorităţilor străine

O chestiune care creează de multe ori probleme în alegerea unui furnizor de cloud este faptul că, în special atunci când acesta este supus unei alte legislaţii decât cea a clientului, există posibilitatea ca legislaţia locala să prevadă obligaţia furnizorului de cloud de a pune la dispoziţia autorităţilor datele clientului stocate pe infrastructura furnizorului. Bineînţeles, problemele sunt cu atât mai complicate cu cât furnizorul este situat înafara Uniunii sau foloseşte subcontractori din state terţe.

Un precedent nu tocmai fericit, chiar dacă nu în domeniul cloud, este reprezentat de cazul Swift, în care Societatea pentru Telecomunicații Financiare Interbancare Mondiale (SWIFT), cu sediul în Belgia, a fost obligată de către Trezoreria SUA la scurt timp după atacurile din 11 septembrie 2001 să acorde acces la cantități mari de date cu privire la tranzacțiile financiare, ca parte a eforturilor de urmări finanțarea terorismului. SWIFT era supusă jurisdicției SUA pentru că avea un centru de date în California, astfel că a respectat ordinele respective şi a pus la dispoziţie cantități semnificative de date financiare. Deși SWIFT a informat băncile naționale din G-10 și Banca Centrală Europeană cu privire la programul respectiv, niciuna dintre acestea nu a informat autorităţile în materia datelor cu caracter personal. Scandalul care a urmat și amplele investigații naţionale şi europene care au avut loc până în 2010, au condus la negocieri între Uniunea Europeană și Statele Unite care s-au concretizat într-un acord potrivit căruia informațiile vor fi obținute de la SWIFT numai în scopuri de combatere a terorismului, fără a fi păstrate mai mult decât este necesar.

Foarte recent, în iulie 2014 un judecător federal american a decis că Microsoft (care a fost susținută şi de către Apple, Cisco, Verizon și AT&T) trebuie să pună la dispoziţia guvernului SUA e-mailuri ale unui client stocate în serverele din Uniunea Europeană (cont outlook.com), în legătură cu acuzații de legate de droguri și spălare de bani. Microsoft a atacat decizia, executarea acesteia fiind suspendată până la obţinerea soluţiei irevocabile. Între timp, un purtător de cuvânt al Comisiei Europene a precizat că decizia instanţei americane a provocat îngrijorări în cadrul Comisiei, şi că efectele acesteia ar plasa Microsoft în ilegalitate atât potrivit legi irlandeze cât şi potrivit dreptului Uniunii[18].

Aceste două exemple ilustrează două concluzii importante: (1) că autoritățile străine pot găsi motive de a supune entităţi europene și date europene dreptului lor, în temeiul căruia solicită acces la astfel de date, și (2) că deținătorii de date pot fi obligaţi să dezvăluie astfel de date, de bunăvoie sau nu.

Pe de altă parte, nu trebuie uitat nici faptul că inclusiv autorităţile române au prerogative foarte largi ce puţin cu privire la furnizorii români. Pe lângă metodele speciale de supraveghere sau cercetare reglementate de Codul de Procedură Penală, în prezent este în stadiu de proiect Legea privind securitatea cibernetică a României[19], care între altele prevede obligaţia oricăror deţinători de infrastructuri cibernetice (noţiune definită atât de larg încât include chiar şi deţinătorii de tablete sau smartphone) „să acorde sprijinul necesar, la solicitarea motivată a Serviciului Român de Informații, Ministerului Apărării Naționale, Ministerului Afacerilor Interne, Oficiului Registrului Național al Informațiilor Secrete de Stat, Serviciului de Informații Externe, Serviciului de Telecomunicații Speciale, Serviciului de Protecție și Pază, CERT-RO și ANCOM, în îndeplinirea atribuțiilor ce le revin acestora și sa permită accesul reprezentanților desemnați în acest scop la datele deținute, relevante în contextul solicitării”. După cum se poate observa, în acest caz nu este reglementat nici un control judiciar anterior solicitării, ceea ce poate deschide uşa unei obligaţii teoretic nelimitate şi nerestricţionate în temeiul căreia furnizorii locali de cloud (şi nu numai) ar trebui să acorde autorităţilor menţionate acces la datele stocate.

Bineînţeles, soluţii prin care clienţii de cloud să se asigure că autorităţile nu pot avea acces la datele stocate în cloud nu există. Clientul de cloud poate însă să se asigure că furnizorul este supus unor reglementări cât mai puţin agresive, şi că practicile acestuia sunt în sensul de a divulga date numai atunci când legea îl obligă, informând totodată clientul despre incident. În aceeaşi linie de idei, este important ca clientul să cunoască localizarea datelor sale (preferabil, inclusiv să aleagă unde sunt localizate data centerele) şi cine sunt (şi în ce stat) subcontractorii folosiţi, coroborat cu reglementarea contractuală a unui drept de informare prealabilă anterior folosirii unui subcontractor nou (cu posibilitatea denunţării contractului dacă nu este de acord). În plus, dacă datele sunt criptate unidirecţional de către client, aşa cum spuneam mai sus, atunci nici furnizorul de cloud şi nici vreo altă autoritate nu va putea avea acces la conţinutul informaţiei respective.

E. Securitatea datelor

Securitatea datelor este una dintre cele mai frecvente probleme menționate în legătură cu utilizarea cloud computingului. Într-un studiu recent cu privire la utilizarea cloud computing în 2013[20], 70% din companiile românești intervievate (mici şi mijlocii) care nu utilizau servicii de cloud au indicat problemele de securitate ca motiv pentru decizia lor, deşi în același timp 93% dintre companiile româneşti participante la studiu şi care folosesc cloud computing au indicat securitatea datelor ca argument principal pentru folosirea serviciilor cloud. Se pare deci că percepția cu privire la securitatea oferită de furnizorii de cloud este polarizată între companiile care folosesc și cele care nu folosesc astfel de servicii. Pentru clienţii care se numără între cei sceptici cu privire la securitatea oferită de furnizor, dar mai ales pentru cei supuşi unor cerinţe speciale (de exemplu instituţii financiare, societăţi în domeniul medical) folosirea criptării unidirecţionale se poate nu numai utilă ci chiar necesară, ea asigurând imposibilitatea accesului atât din partea furnizorului cât şi din partea oricăror terţi.

National Institute of Standards and Technology a subliniat avantajele utilizării serviciilor de cloud, menționând că specializarea personalului (personal dedicat pentru abordarea problemelor de securitate), puterea platformei (mai în măsură să gestioneze activitățile de securitate, cum ar fi controlul de configurare, testarea vulnerabilităţii, audituri de securitate și patch-uri de securitate), disponibilitatea resurselor (scalabilitate pentru a satisface cerințele clienților și pentru a reveni mai repede din incidente grave, cum ar fi respingerea atacurilor asupra serviciului), politici superioare de backup și recuperare, terminalele mobile (principalele resurse de calcul sunt găzduite de către furnizorul de cloud, clientul folosind terminale mobile pentru accesul la date, astfel există un risc mai mic ca furtul si pierderea de dispozitive mobile să ducă la pierderea de date), și concentrarea datelor (date menținute și prelucrate în cloudul public poate prezenta un risc mai mic pentru o organizație cu o forță de muncă mobilă decât dispersarea datelor pe terminale mobile în teren) poate crește de fapt, confidenţialitatea și securitatea datelor sensibile[21]. Mai mult, furnizorii de cloud pot fi mai în măsură să îndeplinească standardele de conformitate operațională și certificare în domenii extrem de reglementate.

Trebuie menţionat şi că securitatea datelor nu intră numai în responsabilitatea furnizorului de cloud. Dimpotrivă, clientul cloud trebuie să aibă propriile politici și măsuri de securitate şi folosire a datelor. De exemplu, în cazul unui serviciu de e-mail cloud-based, o situaţie care ar putea apărea este aceea că un angajat accesează contul de e-mail de la un calculator fără nicio protecție de securitate și infectat cu malware care reţine caracterele tastate, astfel că username-ul şi parola angajatului sunt transmise autorului malware-ului, care poate astfel avea acces neautorizat la datele accesibile de către angajatul în cauză. O astfel de încălcare a securităţii ar avea loc deoarece clientul de cloud (operator de date) nu s-a asigurat că terminalele utilizate de către angajații săi sunt protejate în mod adecvat.

V. În loc de concluzie

Cloud computingul este un domeniu foarte nou, poate tocmai de aceea încă insuficient înţeles şi incomplet reglementat. În prezent, din punct de vedere juridic, suntem chemaţi să aplicăm reglementări care au fost emise sub imperiul altor realităţi, şi care îşi arată astfel neajunsurile. Nu mai puţin însă, deşi probleme pot fi identificate (cele menţionate mai sus fiind doar cu titlu exemplificativ), de regulă acestea nu sunt fără rezolvare. Cloud computingul poate să nu fie adecvat pentru toate entităţile, însă pentru o mare parte dintre acestea, poate reprezenta un pas înainte. Serviciile cloud sunt deja o realitate, şi chiar dacă sunt cu un pas înaintea legislaţiei, în cele mai multe cazuri se pot găsi soluţii şi acum.

[1] http://www.nist.gov/itl/csd/cloud-102511.cfm

[2] Valorificarea cloud computingului în Europa, Comunicare a Comisiei către Parlamentul European, Consiliu, Comitetul Economic și Social și Comitetul Regiunilor, SWD(2012) 271, disponibilă la http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2012:0529:FIN:ro:PDF

[3]   Idem supra, nota 2.

[4]   “Comisia își propune să faciliteze, în toate sectoarele economiei, adoptarea mai rapidă a cloud computingului, care poate reduce costurile TIC (tehnologia informației și a comunicațiilor) și, în asociere cu noi practici comerciale digitale1, poate stimula productivitatea, creșterea și crearea de locuri de muncă”, idem supra nota 2.

[5]   Quantitative Estimates of the Demand for Cloud Computing in Europe and the Likely Barriers to Take-up, 24 februarie 2012, disponibil la http://cordis.europa.eu/fp7/ict/ssai/docs/study45-d2-interim-report.pdf

[6] Cloud Standards Coordination – Final Report, noiembrie 2013, disponibil la http://ec.europa.eu/information_society/newsroom/cf/dae/document.cfm?doc_id=3988

[7]   Propunere de Regulament al Parlamentului European şi al Consiliului privind Legislația europeană comună în materie de vânzare, COM(2011) 635 final, disponibilă la http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2011:0635:FIN:ro:PDF.

[8]   Disponibile la http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/index_en.htm

[9]   http://www.ccbe.eu/fileadmin/user_upload/NTCdocument/07092012_EN_CCBE_gui1_1347539443.pdf

[10] http://ico.org.uk/for_organisations/guidance_index/~/media/documents/library/Data_Protection/
Practical_application/cloud_computing_guidance_for_organisations.ashx

[11] http://www.datenschutz-berlin.de/attachments/827/Cloud.pdf?1317298960

[12] www.garanteprivacy.it/garante/document?ID=1906143

[13] http://www.datainspektionen.se/Documents/faktablad-cloudservices.pdf

[14] Serviciu al societăţii informaţionale este orice serviciu care se efectuează utilizându-se mijloace electronice şi prezintă următoarele caracteristici:

1. a) este efectuat în considerarea unui folos patrimonial, procurat ofertantului în mod obişnuit de către destinatar;
2. b) nu este necesar ca ofertantul şi destinatarul să fie fizic prezenţi simultan în acelaşi loc;
3. c) este efectuat prin transmiterea informaţiei la cererea individuală a destinatarului.

[15]   Să luăm ca exemplu situaţia unui serviciu de email în cloud: transmiterea emailurilor este iniţiată de beneficiar, alegerea destinatarului e făcută de beneficiar, iar furnizorul de cloud nu intervine în nici un fel în conţinutul emailului transmis.

[16] A se vedea supra nota 14

[17] WP 216, disponibil la http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2014/wp216_ro.pdf

[18] http://www.eweek.com/security/european-union-expresses-concern-about-microsoft-email-privacy-case.html

[19] http://www.cdep.ro/proiecte/2014/200/60/3/pl263.pdf.

[20]   SMBs and Cloud Computing. A European wide project for Microsoft EMEA, studiu efectuat de Ipsos Mori, disponibil la http://goo.gl/fTisxB.

[21]   W. Jansen, T. Grance, Guidelines on Security and Privacy in Public Cloud Computing, National Institute of Standards and Technology, pag. 8-10, disponibil la http://csrc.nist.gov/publications/nistpubs/800-144/SP800-144.pdf.

Ediția iulie 2014 este disponibilă şi la adresa http://www.tuca.ro/_popup/?artno=81 sau poate fi descărcată la linkul Cloud Computing in Romania.