Portabilità dei dati fra le piattaforme cloud e codici di condotta SWIPO
Trasformazione digitale e data portability
La trasformazione digitale che sta investendo il nostro ecosistema sociale e industriale, a livello nazionale e internazionale, vede la tecnologia dei sistemi e delle infrastrutture cloud come uno dei fattori determinanti per la sua realizzazione.
Una corretta adozione del cloud è una priorità per qualsiasi azienda che decida di adeguare i suoi sistemi di trattamento delle informazioni e dei dati per raggiungere la scalabilità e la flessibilità che qualsiasi business richiede.
In buona sostanza, i servizi cloud stanno diventando i pilastri fondamentali su cui si appoggerà e svilupperà la trasformazione digitale delle nostre aziende e, più in generale, di tutta la nostra società.
La recente esperienza della pandemia ha dimostrato che le aziende che avevano già un processo di trasformazione digitale basato sul cloud hanno potuto meglio adattarsi al nuovo, difficile contesto organizzativo che tutti abbiamo dovuto fronteggiare.
Infatti, ad esempio, la adozione e l’attivazione di processi di smart-working è stata certamente più agevole per le aziende che avevano già avviato il percorso di evoluzione verso il cloud.
Questa trasformazione renderà, nel futuro, le nostre aziende sempre più data driven companies; i dati, sia quelli trasferiti sul cloud che quelli che continuamente si genereranno nella interazione con il cloud, sono e saranno il carburante su cui costruire business sempre più innovativi.
Nonostante tutto ciò, permangono tutta una serie di preoccupazioni che in qualche modo frenano l’adozione del cloud da parte delle aziende.
Diversi studi mostrano che queste preoccupazioni riguardano sostanzialmente il tema della sicurezza dei dati e quello della perdita del controllo su di essi.
Già alla fine del 2017, la Commissione Europea, nel lanciare il Regolamento per la libera circolazione dei dati non-personali 2018/1807 con l’obiettivo di facilitare il movimento ed il trasferimento dei dati all’interno della Unione Europea come fattore di sviluppo del Digital Single Market europeo, incoraggiava con l’Articolo 6 di questo Regolamento la nascita di iniziative di self-regulation che, con il coinvolgimento di tutti gli stakeholders, sviluppassero codici di condotta per permettere il data porting fra i diversi fornitori di servizi cloud.
Nelle intenzioni della Commissione queste iniziative dovevano garantire la data portability fra diversi Service Cloud Provider, proteggendo i dati delle aziende utilizzatrici di servizi cloud dal rischio di provider lock-in, così da raggiungere l’obiettivo strategico della proprietà dei dati ed il controllo su di essi.
Ma cosa è la data portability?
Secondo la NIST Special Publication 500-332, la data portability viene definita come “la capacità del cliente di spostare dati e applicazioni attraverso diversi ambient cloud a basso costo e con la minima interruzione dei servizi”.
E’ opportuno evidenziare che il perimetro della data portability non include solamente i dati trasferiti sulle piattaforme cloud ma anche i cosiddetti derived data che, secondo ISO/IEC 17788:2014, appartengono alla classe di data objects che sono sotto il controllo del fornitore e che sono il risultato della interazione del cliente con il servizio cloud.
L’importanza di questi derived data o co-generated data crescerà sempre di più, parallelamente alla crescita dell’integrazione fra servizi cloud e edge computing.
L’Unione Europea e i codici di condotta SWIPO per la data portability
A febbraio del 2018, la Commissione Europea, nello spirito del citato Articolo 6 del Regolamento per la Libera Circolazione dei dati, incoraggiava la formazione dello SWIPO Working Group (del quale ho avuto l’onore di essere uno dei co-chairs) per la stesura di codici di condotta per garantire la portabilità dei dati dei servizi IaaS e SaaS.
Tale Working Group era aperto alla partecipazione di tutti i principali stakeholders del mercato cloud (Providers e Customers di grandi e piccole dimensioni) al fine di raccogliere e conciliare le idee e le esigenze di tutti gli attori coinvolti.
In tal modo la Commissione Europea proponeva un soft approach chiedendo ai diversi stakeholders di impegnarsi ad un processo di auto-regolamentazione per arrivare, nel modo più fluido possibile, alla data del maggio 2020 alla piena operatività di questi codici di condotta.
Da febbraio 2018 a novembre 2019 il Working Group ha svolto le sue attività mediante conference call periodiche e incontri face-to-face ospitati dalle organizzazioni partecipanti nelle diverse capitali europee. Tali incontri sono stati aperti da sessioni pubbliche che hanno visto la partecipazione degli organismi istituzionali dei paesi che hanno ospitato i diversi incontri; in questo modo si è contribuito ad aumentare la attenzione e la consapevolezza sul tema Libera Circolazione dei dati nell’ambito del Digital Single Market Europeo.
Sono state così prodotte le prime versioni dei codici di condotta per i servizi SaaS e IaaS che sono state consegnate alla Commissione Europea nella High Level Conference on Data Economy ad Helsinki il 26 novembre 2019 e che hanno sancito alcuni punti molto importanti in relazione al tema del data porting fra i diversi Cloud Service Providers.
Ad esempio, il primo punto del codice di condotta per sistemi SaaS chiede esplicitamente che i Cloud Service Providers debbano sempre avere un processo di data export/import esplicito e strutturato da mettere a disposizione dei Cloud Service Customers, fornendo tutte le informazioni utili per la sua attuazione in modo da ridurre in modo significativo il rischio di lock-in.
E’ questo un principio fondamentale che chiede alle aziende fornitrici di servizi cloud e aderenti ai codici di condotta SWIPO di garantire ai propri clienti l’azzeramento del rischio di lock-in provider.
Il 19/2/2020 veniva sottolineate la importanza della iniziativa SWIPO nella comunicazione della nuova Strategia Europea dei Dati da parte della appena insediata Commissione Europea guidata da Ursula von der Leyen.
Il 26 maggio 2020 è stata infine costituita la SWIPO (Switching Cloud Providers and Porting Data) AISBL, (www.swipo.eu) associazione multi-stakeholders no-profit di diritto belga la cui missione è “to develop and maintain voluntary Codes of Conduct in support of Article 6 Porting of Data of the Free Flow on Non Personal Data Regulation (EU) 2018/1807″.
Nella prima Assemblea Generale si è anche provveduto alla formazione dell’Executive Board della nuova Legal Entity nel quale chi scrive è stato eletto come rappresentante dei SaaS customers.
Uno dei principi fondativi della Governance della associazione SWIPO è quello di garantire il balance of interests fra i diversi stakeholders (providers e customers) del mercato dei servizi cloud.
A tal fine, a partire dall’Executive Board e in tutti gli organi decisionali della associazione, sono previsti meccanismi che garantiscano una presenza bilanciata di providers e customers.
Va sottolineato che la presenza dei customers è fortemente incoraggiata e, per questo motivo, si è convenuto che la partecipazione alla associazione sia gratuita (il fee di adesione è per loro nullo).
Tutti i documenti di Governance, i codici di condotta, le modalità di adesione, le dichiarazioni di adesione da parte dei providers sono disponibili nel già citato sito www.swipo.eu.
Ma come funzionano questi codici di condotta?
Innanzitutto, un Cloud Provider che intenda dichiarare la sua adesione a questi codici di condotta dovrà pubblicare un Transparency Statement nel quale riporti tutte le informazioni necessarie ad un potenziale Cloud Customer per valutare ed effettuare eventuali operazioni di data porting per effettuare il provider switching.
Queste informazioni sono finalizzate a prevenire il rischio di vendor lock-in fornendo ai customers la descrizione del processo da intraprendere qualora debbano spostare i loro dati di business fra diversi cloud providers.
E’ infatti estremamente importante che all’atto della sottoscrizione di un contratto di un servizio cloud si presti attenzione a tutta una serie di aspetti relativi alla fase di migrazione dei dati quali, ad esempio,
-
- formati di interscambio dei dati (sia a livello sintattico che a livello semantico)
- politica dei dati (ovvero livelli di riservatezza, diritti alla privacy, trasferimenti transfrontalieri, localizzazione geografica dei dati, luogo di elaborazione e trattamento dei dati)
- livelli di sicurezza (ossia quali controlli devono essere in atto per soddisfare i requisiti di sicurezza basati sulla classificazione dei dati)
- metadati associati ai dati (ad cronologia di audit, rilevamento delle modifiche, ecc.)
- sicurezza durante la migrazione dei dati (es. crittografia, firma digitale)
- tecniche di migrazione (es. snap shot vs approccio graduale)
- periodo di conservazione dei dati e dei logs dopo la migrazione ad altro fornitore
- trattamento e gestione dei “dati derivati”
Nel Transparency Statement si forniscono pertanto tutte le informazioni necessarie nella fase precontrattuale per valutare tutti gli aspetti da affrontare qualora si dovesse successivamente decidere di trasferire i dati ad un altro fornitore (o a riportare in dati su infrastrutture on-premise).
Vale la pena sottolineare che queste informazioni sono fornite volontariamente dai Provider che aderiscono ai codici di condotta e hanno lo scopo primario di fornire un documento che raccolga tutti gli elementi che possono essere utili per la valutazione del rischio lock-in.
Ad ulteriore garanzia dei Customers, la associazione SWIPO ha costituito un Complaints Secretariat che ha l’obiettivo di gestire eventuali reclami e contestazioni da parte di Customers che, avendo adottato un servizio cloud dichiarato aderente ai codici SWIPO, rilevino che nella realtà dei fatti il Provider non si stia attenendo, completamente o in parte, ai codici stessi.
Concludendo questa breve sintesi sul funzionamento dei codici di condotta SWIPO, possiamo affermare che essi costituiscono un efficace strumento per raggiungere la trasparenza sui termini contrattuali sulla data portability all’atto della stipula di contratti su servizi cloud.
Considerazioni strategiche sulla data portability
Tornando alla questione più generale della data portability, possiamo certamente convenire che la natura strategica di questo tema è confermata da importanti iniziative legislative europee quali il Digital Markets Act e il Data Act che mirano a ridurre sempre di più le barriere che impediscono lo spostamento di dati fra diverse piattaforme al fine di contribuire allo sviluppo della economia digitale europea, sempre nel pieno rispetto dei principi e valori della Unione.
Vale inoltre sottolineare la importanza della data portability quando si affronta il tema della resilienza delle supply chain digitali, tema la cui importanza sta crescendo nel contesto dell’attuale scenario geo-politico.
Sarà difficile considerare resiliente una supply chain se essa non risolve il problema della data portability e, quindi, del vendor lock-in.
A tale proposito può essere interessante ricordare che Gaia-X, associazione europea per la definizione di una architettura aperta e federata per il cloud e l’edge computing al cui Board chi scrive ha l’onore di partecipare, nel proporre il suo framework per definire i criteri di labeling dei servizi che faranno parte del suo eco-sistema digitale, ha indicato, come si può riscontrare accedendo al link sotto riportato, i codici di condotta SWIPO come i riferimenti da seguire per la data portability.
https://www.gaia-x.eu/sites/default/files/2022-04/Gaia-X%20labelling%20criteria%20v22.04_Final.pdf
Come considerazione conclusiva di questa sintetica nota sui codici di condotta SWIPO e sulla data portability, può essere opportuno formulare l’auspicio che la strategicità geo-politica ed economica del tema spinga sempre di più verso un approccio di data portabilty by-design nella progettazione dei nuovi servizi cloud and edge computing.
Infatti, solo il considerare la data-portability come un requisito progettuale dei nuovi servizi potrà garantire che il valore dei dati delle aziende sia sempre più protetto e garantito nella trasformazione digitale che nei prossimi anni segnerà sempre di più lo sviluppo economico e sociale delle nostre società.
Articolo a cura di Aniello Gentile
Dopo la laurea con lode in Ingegneria Elettronica nel 1980 presso l'Università Federico II di Napoli, Aniello Gentile ha svolto attività di ricerca presso il Centro di Ricerca Olivetti per Tecnologie Meccaniche e Automazione (RTM) di Vico Canavese (TO).
Nel 1981 ha iniziato la sua attività in Enel nell'area dello sviluppo ICT dove ha gestito progetti di telecomunicazione e automazione, anche con l'impiego di tecnologie di Artificial Intelligence per il controllo ‘unattended’ delle sale calcolo.
Dal 1990 ha occupato ruoli direzionali nel settore delle Operations ICT di Enel, dove è stato responsabile della gestione dei Data Center, del Release Management, dell’End User Support.
Dal 2014 al maggio 2023 è stato direttore nella unità Global Cyber Security di Enel contribuendo a tutte le principali iniziative dell’area tra le quali la progettazione di un nuovo Framework di Cybersecurity e la definizione della metodologia Cyber Risk Analysis.
Da maggio 2023 svolge attvità indipendente di supporto consulenziale sui temi della economia dei dati e della cybersecurity.
Nel corso della sua carriera ha partecipato e contributo a numerose organizzazioni e manifestazioni internazionali.
È stato presidente e relatore in numerosi convegni ed eventi internazionali sulla Cyber Security e su Infrastrutture critiche (IBM Interconnect 2016, PowerGen 2017, SeltaChallenge 2017, I-COM Public Conferenza 2018, Electrify Europe2018).
Nel gennaio 2018 è entrato a far parte del Consiglio Direttivo della Sezione Information Technology di Unindustria Lazio.
Da aprile 2018 a maggio 2020 è stato uno dei ‘co-chairs’ del Working Group SWIPO (SWItching provider and POrting of data), organizzato dalla Commissione europea con l'obiettivo di sviluppare codici di condotta per facilitare il ‘porting’ dei dati tra diversi Service Cloud Provider al fine di ridurre i rischi di ‘lock-in provider’.
Nel giugno 2018 è entrato a far parte del gruppo di lavoro del World Economic Forum per "Systems of Cyber Resilience: Electricity".
Da maggio 2020 al maggio 2023 è stato membro dell’Executive Board di SWIPO AISBL, associazione ‘no-profit’ fondata per sviluppare, mantenere e favorire l'adozione di tali codici di condotta nel mercato dei servizi cloud.
Nel giugno del 2021 è stato eletto per la prima volta nel Board of Directors dell’associazione europea Gaia-X, l'iniziativa europea che mira a definizione di un'infrastruttura cloud federata allineata ai valori della strategia europea dei dati. Tale mandato è stato successivamente rinnovato nella Assemblea Generale del giugno 2023.
Nell'agosto 2022 è entrato a far parte del Gruppo Tecnico di Confindustria “Digitale per la competitività del sistema industriale”.
Dal dicembre 2022 fa parte della commissione Data Center e Cloud dell’Ordine Ingegneri di Roma e Provincia.
Da marzo 2023 è Consigliere di Confindustria Servizi lnnovativi e Tecnologici (CSIT) , dove ha la delega per le politiche europee per lo sviluppo dei servizi innovativi.