La professione legale sta subendo ormai da alcuni anni un processo trasformativo non solo dal punto di vista dei campi di interesse, che oggi sempre più ricomprendono materie legate al settore digitale, ma anche da quello operativo, posto che è ormai impensabile anche per gli Avvocati prescindere dall’utilizzo delle nuove tecnologie. Si pensi, ad esempio, allo sviluppo del Processo Civile Telematico, che ha favorito la dematerializzazione dei documenti nello studio; ma anche, più semplicemente, agli scambi di comunicazioni tramite posta elettronica certificata, il cui uso è ormai obbligatorio. La situazione pandemica e la conseguente diffusione del lavoro a distanza hanno certo contribuito ad accelerare questa tendenza: sfruttare strumenti tecnologici per svolgere le proprie mansioni in molti casi è diventata una necessità. Alla base di questa vera e propria rivoluzione che sta portando all’affermazione della figura del cosiddetto “Avvocato 4.0” si trova essenzialmente lo scambio di informazioni tramite la rete Internet. Nell’analisi delle tecnologie che rendono possibili questi flussi emerge con forza la figura del contratto di cloud computing, che come già affermava Guido Noto La Diega nel 20141 ha segnato l’ingresso nella terza fase di Internet. Oggi, nell’era del “web 4.0” dominata dall’avvento delle Intelligenze Artificiali e della realtà aumentata, l’utilizzo di strumenti di cloud computing è ormai, se non proprio necessario, quantomeno opportuno, fermo restando che i risvolti tecnici e giuridici di questa scelta devono essere compresi a fondo dal professionista che faccia uso del cloud nell’ambito del proprio studio. Il contratto di cloud computing non trova ancora una definizione normativa nel nostro ordinamento, ma si tratta di un contratto di servizio atipico che può essere inquadrato nella disciplina dell’appalto di servizi ex articolo 1655 del Codice civile. Essenzialmente si tratta di un accordo che ha ad oggetto la fornitura di un servizio informatico da parte di un cloud provider per i clienti che volessero usufruirne, permettendo loro di archiviare e processare informazioni e documentiin spazi informatici dematerializzati, al di fuori della loro struttura hardware. Trattandosi di servizi prestati solitamente da grandi società del web, in molti casi il contenuto del contratto verrà predisposto dal cloud provider in modo unilaterale e accettato dal professionista. Questo squilibrio contrattuale viene attenuato dall’ampia offerta di servizi di questo tipo, per cui il professionista avrà la facoltà (e l’onere) di scegliere tra una varietà di sistemi di cloud quello che più si adatta alle sue esigenze e alle sue aspettative con riguardo alla sicurezza. Non è però escluso che, specialmente per le realtà professionali più grandi, vi sia una vera e propria contrattazione sul contenuto del contratto di cloud computing, che verrà in questi casi scritto su misura dell’Avvocato che usufruirà del servizio. Sottoscrivere un contratto di cloud computing permette all’Avvocato di fare fronte alle esigenze derivanti dalla dematerializzazione della sua attività, tra cui la produzione di una massiccia quantità di dati, per cui lo spazio di archiviazione dei dispositivi fisici comincia a non essere più sufficiente. Inoltre, il cloud consente di aumentare anche la sicurezza delle informazioni prodotte e archiviate, facendo affidamento non più sulla memoria di un computer ma sulla struttura intangibile e, quindi, fisicamente indistruttibile della rete. Non solo: la presenza in uno spazio online dei documenti permette anche di accedere a questi da remoto, capacità che viene ormai data per scontata nella pratica della nostra attività professionale – si pensi, semplicemente, all’accesso alla casella di posta elettronica tramite il proprio smartphone. Tra i numerosi vantaggi del cloud computing come strumento per lo studio legale troviamo quindi l’accesso in mobilità, l’interoperabilità, la maggiore flessibilità nell’organizzazione del lavoro dei collaboratori, la sicurezza dei documenti rispetto a possibili minacce fisiche (come, ad esempio, un incendio o il furto di un dispositivo su cui erano archiviati), oltre che una ottimizzazione dei costi sul lungo periodo. È tuttavia chiaro che sia necessario per il professionista nel settore legale, che si trova a processare documentazione contenente informazioni anche piuttosto delicate, conoscere a fondo gli strumenti che utilizza, per evitare fughe di informazioni o perdita di documenti essenziali all’esercizio della professione. La complessità dellamateria rischia di porre un freno alla diffusione delle nuove tecnologie negli studi legali proprio in ragione del timore di eventuali incidenti di sicurezza derivanti da cause non più fisiche (che, si è detto, tali strumenti tendono a impedire) ma di tipo informatico, o per via di una perdita di controllo sui propri dati nel momento in cui non sono più immediatamente visibili in una dimensione tangibile. In questo contesto assume un ruolo centrale la normativa a tutela dei dati personali del Regolamento europeo 2016/679 (GDPR). Le disposizioni del cosiddetto GDPR sono infatti volte a favorire l’utilizzo delle nuove tecnologie proprio garantendone la sicurezza tramite le obbligazioni poste in capo ai soggetti che trattano informazioni relative a persone fisiche identificate o identificabili. Questa premessa deve essere il faro guida per il professionista nel momento in cui debba decidere se avvalersi di strumenti di cloud computing nell’ambito del proprio studio legale: il loro utilizzo comporta quasi inevitabilmente un trattamento di dati personali (a meno che l’Avvocato non processi con queste tecnologie unicamente informazioni anonime o, comunque, che non contengono alcun riferimento a persone fisiche) e la normativa europea ci può essere di ausilio per individuare gli elementi a garanzia della sicurezza di tali operazioni. È fondamentale ricordare che dal punto di vista della normativa a tutela dei dati personali, per il trattamento di questi tramite cloud da parte dell’Avvocato, quest’ultimo sarà qualificabile come titolare del trattamento ex articolo 4 numero 7 del GDPR, perché rimarrà comunque il soggetto che determina finalità e mezzi del trattamento dei dati personali dei propri clienti, anche se utilizzando il cloud ne affiderà parte della gestione (anche solo per la conservazione) al cloud provider. Il fornitore del servizio di cloud dovrà in molti casi essere nominato responsabile ai sensi dell’articolo 28 del Regolamento perché, pur essendo un soggetto esterno all’organizzazione dello studio legale, si troverà a trattare dati personali per suo conto. Dalla posizione di titolare del trattamento ricade sull’Avvocato la responsabilità in merito alla sicurezza dei dati personali che tratta, ai sensi del principio di accountability sancito dall’articolo 24 del GDPR, così come l’obbligo di garantire agli interessati l’esercizio dei propri diritti stabiliti dagli articoli 15-22 del Regolamento. Ma che implicazioni hanno questi oneri sulla scelta, da parte dell’Avvocato, di utilizzare un servizio di cloud? Si diceva appunto sopra che, anche in mancanza di una vera e propria contrattazione, sarà il professionista a decidere a quale fornitore affidarsi, e certo in questa valutazione dovranno essere tenute in considerazione le garanzie offerte dal cloud provider per permettere all’Avvocato, in quanto titolare, di rispettare i dettami della normativa sui dati personali. L’Avvocato, prima di sottoscrivere il contratto di cloud computing, dovrà quindi verificare che nelle clausole siano disciplinati alcuni aspetti essenziali, in particolare in merito a: • La disponibilità e sicurezza dei dati, accertandosi che il contratto preveda misure idonee a consentire all’Avvocato e ai suoi collaboratori di accedere alle informazioni al bisogno, che l’accesso venga invece impedito a utenti non autorizzati e che vi siano modalità per garantire la continuità operativa dello studio nel caso in cui vi fossero incidenti, attacchi informatici, o interruzioni del servizio di cloud. L’articolo 32 del GDPR contiene alcune indicazioni di natura generale sulle misure di sicurezza per il trattamento dei dati, ma può essere utile in questo contesto anche l’applicazione di standard internazionali di condotta come, ad esempio, la norma ISO/IEC 27017:2015. In ogni caso, per assicurare la disponibilità della documentazione sarà fondamentale che il provider utilizzi strumenti tecnici e organizzativi come back-up periodici e procedure di disaster recovery. Un altro elemento cui prestare attenzione sarà la presenza o meno di meccanismi di criptazione dei dati, che aumentano la sicurezza del trattamento e il cui utilizzo è particolarmente opportuno nei casi in cui vi siano trasferimenti tra vari soggetti – come avviene, tipicamente, nel contratto di cloud computing. L’idoneità di tutte le misure di sicurezza dovrà essere valutata dall’Avvocato anche alla luce del fatto che si trova normalmente, nel corso della propria attività professionale, a trattare dati particolarmente delicati, come quelli giudiziari. • Strettamente connesso alla sicurezza del cloud sarà anche il luogo dove i dati saranno ubicati, per cui sarà utile per l’Avvocato accertarsi se i dati rimarranno suserver della sua controparte contrattuale, o se questi si 161 affidi invece a soggetti terzi per offrire il proprio servizio sulla base delle loro risorse tecnologiche. Si è visto infatti che la normativa europea sul trattamento dei dati prevede opportune garanzie perché questo avvenga in sicurezza, che non è detto siano assicurate anche da Paesi al di fuori dello Spazio Economico Europeo, per cui in caso di trasferimento dei dati su server ubicati in tali Stati l’Avvocato deve poter verificare la sussistenza dei requisiti che legittimano tale operazione alla luce della disciplina del Capo V GDPR. • La portabilità dei dati, diritto degli interessati ai sensi dell’articolo 20 del GDPR e servizio che deve essere quindi ricompreso nel contratto di cloud computing sottoscritto dal professionista per far fronte a eventuali richieste dei suoi clienti. In pratica, l’Avvocato dovrà quindi assicurarsi che i dati personali trattati tramite cloud (e, ricordiamolo, nel concetto di trattamento rientra anche la mera conservazione) possano poi essere trasferiti, in un formato interoperabile e di uso comune, a un altro soggetto, che potrà essere lo stesso interessato ma anche, su sua richiesta, un altro titolare del trattamento. • Gli obblighi di comunicazione in capo al fornitore del servizio, che devono ricomprendere la notifica tempestiva al titolare del trattamento di eventuali data breach, ossia violazioni del trattamento dei dati che comportano, anche accidentalmente, la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali. • Il foro competente e la legge applicabile in caso di controversia. In conclusione: la dematerializzazione dei documenti dello studio legale è ormai un dato di fatto. È giunta l’ora anche per l’Avvocato di entrare nella dimensione digitale, con la giusta consapevolezza per sfruttarne le risorse senza rinunciare alla sicurezza. Il contratto di cloud computing, se ben strutturato, può fornire al professionista strumenti con innegabili benefici per le sue prestazioni, specialmente in questo momento storico in cui da un momento all’altro potrebbe risultare necessario lavorare da remoto. La questione diventa, quindi, saper scegliere con oculatezza tra i servizi offerti e, se possibile, saper negoziare le opportune clausole contrattuali, prestandoin ogni caso attenzione affinché l’accordo fornisca le giuste garanzie. La normativa a tutela dei dati personali, si è visto, prevede dei requisiti per il trattamento che, se rispettati nell’utilizzo del cloud, vanno a tutto vantaggio della sicurezza di queste operazioni e dell’interoperabilità e flessibilità dei sistemi di scambio delle informazioni, per cui può essere un’ottima linea guida per valutare se un servizio di cloud computing sia congruo per la propria attività.