IL CLOUD COMPUTING E LE ISTITUZIONI SCOLASTICHE: INNOVAZIONE E CAUTELA

Nota breve di informazioni e parziale valutazione

 

Che cos’è il Cloud computing?

                In informatica con questo termine inglese (in italiano: nuvola informatica) si indica un insieme di tecnologie e di modalità di fruizione di servizi informatici che permettono, tipicamente sotto forma di un servizio offerto da un provider al cliente, di memorizzare/archiviare e/o elaborare dati grazie all’utilizzo di risorse hardware/software distribuite e virtualizzate in Rete.

 

 

                Spesso utilizziamo tecnologie cloud senza nemmeno saperlo: alcuni dei più diffusi servizi di posta elettronica o di elaborazione testi, molte delle funzioni offerte dai cellulari di nuova generazione (smarthphone) quelli che sfruttano la geolocalizzazione per individuare i locali o gli esercizi commerciali più vicini o che consentono di ascoltare musica o di accedere ai giochi on line, nonché altre funzioni e “app”, archiviazione dati, immagini, foto etc.

 

Tipi di cloud: Private cloud - Public cloud – Hybrid cloud

                Una private cloud è un’infrastruttura informatica per lo più dedicata alle esigenze di una singola organizzazione, ubicata nei suoi locali o affidata in gestione ad un terzo (nella tradizionale forma dell’hosting dei server) nei confronti del quale il titolare dei dati può spesso esercitare un controllo puntuale. Le private cloud possono essere paragonate ai tradizionali “data center” nei quali, però, sono usati degli accorgimenti tecnologici che permettono di ottimizzare l’utilizzo delle risorse disponibili e di potenziarle attraverso investimenti contenuti e attuati progressivamente nel tempo.

                Nel caso delle public cloud, invece, l’infrastruttura è di proprietà di un fornitore specializzato nell’erogazione di servizi che mette a disposizione di utenti, aziende o amministrazioni - e quindi condivide tra di essi - i propri sistemi attraverso l’erogazione via web di applicazioni informatiche, di capacità elaborativa e di stoccaggio. La fruizione di tali servizi avviene tramite la rete Internet e implica il trasferimento dell’elaborazione o dei soli dati presso i sistemi del fornitore del servizio, il quale assume un ruolo importate in ordine all’efficacia delle misure adottate per garantire la protezione dei dati che gli sono stati affidati. In questo caso l’utente insieme ai dati, infatti, cede una parte importante del controllo esercitabile su di essi.

Caratteristiche:

  • I dati non risiedono più su server “fisici” dell’utente, ma sono allocati sui sistemi del fornitore secondo la logica dell’esternalizzazione (outsourcing)
  • L’infrastruttura del fornitore del servizio è condivisa tra molti utenti per cui sono fondamentali adeguati livelli di sicurezza
  • L’utilizzo del servizio avviene via web tramite la rete Internet che assume dunque un ruolo centrale in merito alla qualità dei servizi fruiti ed erogati
  • I servizi acquisibili presso il fornitore del servizio sono a consumo e in genere è facile far fronte ad eventuali esigenze aggiuntive (ad esempio più spazio disco o più potenza elaborativa)

 

                 Esistono inoltre i cloud ibridi (hybrid cloud) caratterizzati da soluzioni che prevedono l’utilizzo di servizi erogati da infrastrutture private accanto a servizi acquisiti da cloud pubblici, e le community cloud (cloud di gruppo) in cui l’infrastruttura è condivisa da diverse organizzazioni a beneficio di una specifica comunità di utenti.

 

Modelli di servizio

Riferiti sia a soluzioni di private cloud che di public cloud:

Iaas (Cloud Infrastructure as a Service – infrastruttura cloud resa disponibile come servizio), il fornitore noleggia un’infrastruttura tecnologica, cioè server virtuali remoti che l'utente finale può utilizzare con tecniche e modalità che ne rendono semplice, efficace e produttiva la sostituzione o l'affiancamento ai sistemi già presenti nei locali dell'azienda. Tali fornitori sono in genere operatori di mercato specializzati che realmente dispongono di un'infrastruttura fisica, complessa e spesso distribuita in aree geografiche diverse.

SaaS (Cloud Software as a Service - software erogato come servizio della cloud ), il fornitore eroga via web una serie di servizi applicativi ponendoli a disposizione degli utenti finali. Tali servizi sono spesso offerti in sostituzione delle tradizionali applicazioni installate localmente dall'utente sui propri sistemi, che è quindi spinto ad esternalizzare” i suoi dati affidandoli al fornitore. Si pensi, ad esempio, ad applicazioni tipiche per l’ufficio erogate in modalità web quali fogli di calcolo, elaborazione dei testi, applicazioni per il protocollo informatico, la rubrica dei contatti e i calendari condivisi, ma anche alle moderne offerte di posta elettronica cloud.

PaaS (Cloud platform as a service - piattaforme software fornite via web come servizio), il fornitore offre soluzioni per lo sviluppo e l’hosting evoluto di applicazioni. In genere questo tipo di servizi è rivolto a operatori di mercato che li utilizzano per sviluppare e ospitare soluzioni applicative proprie, allo scopo di assolvere a esigenze interne oppure per fornire a loro volta servizi a terzi. Anche nel caso dei PaaS il servizio erogato dal fornitore elimina la necessità per il fruitore di doversi dotare internamente di strumenti hardware o software specifici o aggiuntivi.

 

Perché le Istituzioni Scolastiche fra “le nuvole”?

                Gli ultimi mesi sono stati caratterizzati da diverse disposizioni legislative sulla  “dematerializzazione” delle attività degli Uffici di Segreteria con  l’obiettivo di limitare la produzione di documentazione cartacea, anche in attuazione di quanto previsto nell’Agenda Digitale per l’istruzione.

Alcune procedure che di seguito citiamo rispecchiano l’evoluzione del processo di dematerializzazione sopra citato:

  • iscrizioni on-line
  • registri on-line
  • pagelle on-line
  • invio delle comunicazioni agli alunni e alle famiglie in formato elettronico
  • albo pretorio obbligatorio dal 01 Gennaio 2013

 

Alcuni di questi nuovi servizi offerti all’utenza comportano anche l’utilizzo del cloud computing con il trasferimento dei dati in possesso della scuola (computer locali) verso sistemi remoti di proprietà di un terzo fornitore cloud (nuvola).

Utilizzare un servizio di cloud computing per memorizzare dati personali o sensibili espone le Istituzioni Scolastiche a potenziali problemi di violazione della Privacy assumendo rilievo, di conseguenza, la disciplina in materia di protezione dei dati “trattati”.

 

Innovazione ma contestuale protezione dei dati

Da quanto fin qui esposto nasce da parte del Garante per la protezione dei dati personali l’esigenza di predisporre, attraverso la sua attività editoriale che comprende anche pubblicazioni per l’approfondimento tecnico-giuridico di alcune tematiche ritenute rilevanti e considerevoli di trattazione, una guida che fornisce indicazioni per l’utilizzo consapevole dei servizi di Cloud computing.

La stessa ha l’obiettivo di informare le Pubbliche Amministrazioni su importanti aspetti giuridici e sui rischi connessi al trasferimento dei dati sul “cloud”,  di fornire indicazioni sugli adempimenti necessari a garantire il corretto utilizzo di tali tecnologie e focalizzare l’attenzione sulle responsabilità derivanti dall’adozione delle stesse.

Quanto sopra in attesa di una normativa nazionale e internazionale aggiornata e uniforme che permetta di governare il fenomeno senza rischiare di penalizzare l’innovazione e le potenzialità delle “nuvole” informatiche.

 

Cosa devono fare le Istituzioni Scolastiche?

Preso atto di quanto esplicitato dal Garante nella guida succitata vediamo di seguito quali sono le valutazioni, i controlli e gli adempimenti a cui la scuola dovrebbe attenersi:

 

  • accertare l’esperienza, la capacità e l’affidabilità del fornitore prima di trasferire sui sistemi cloud i propri dati. Tenendo in considerazione le proprie esigenze istituzionali, la quantità e la tipologia delle informazioni che intendono allocare, i rischi e le misure di sicurezza adottate.
  • procedere, in qualità di  “Titolare del trattamento dei dati”, a designare il fornitore dei servizi cloud “Responsabile del trattamento”.
  • accertare personalmente che i dati siano sempre “disponibili” a chi ne ha diritto e sempre “riservati” verso chi non ne ha diritto.
  • mantenere un adeguato controllo anche sugli eventuali sub-fornitori del fornitore, ad esempio gli internet provider.
  • assicurarsi che i dati siano fruibili anche in assenza di collegamento a internet. Definire un eventuale piano di emergenza nel caso di inaccessibilità ai dati.
  • garantirsi che il fornitore sia obbligato ad esportargli facilmente tutti i dati presenti sul cloud. Garantirsi sull’interoperabilità dei dati.
  • assicurarsi, esplicitamente nel contratto, che il fornitore si assuma una responsabilità risarcitoria in caso di danno provocato da una violazione e/o una perdita dei dati e informarsi sui sistemi di protezione di cui dispone il fornitore di servizi cloud contro virus, attacchi hacker o altri pericoli informatici. Individuare possibili procedure di recupero dei dati.
  • assicurarsi di non sottoscrivere clausole contrattuali penalizzanti per le modalità di recesso dal servizio ed il passaggio ad altro fornitore.

 

E’ stato, inoltre, evidenziato dal Garante come (citiamo testualmente): “cedendo i propri dati si ceda anche una parte importante del controllo dei medesimi”. Questo aspetto è assolutamente rilevante in quanto “in caso di violazioni commesse dall’azienda a cui si cedono i dati, anche il titolare (il Dirigente Scolastico) sarà chiamato a rispondere dell’eventuale illecito”.

 

               

                Configurandosi il fornitore dei servizi cloud come “Responsabile del trattamento dei dati”  è nostro parere che nella nomina formale predisposta dal Titolare del trattamento dei dati (Dirigente Scolastico), vengano impartite le direttive e le istruzioni in tema di trattamento dei dati personali a cui il fornitore dovrà attenersi. Alle famiglie, inoltre, dovrà essere consegnata l’ informativa del trattamento digitale dei dati, ivi compresa la nomina a Responsabile del trattamento dei dati del fornitore esterno.

 

                Questo contributo vuole essere un semplice approccio ad un argomento che, nel suo aspetto più tecnico, per molti di noi è sconosciuto. Abbiamo cercato di fornire alcuni spunti e delle riflessioni che, ricondotte al lavoro amministrativo di tutti i giorni, potrebbero essere un input rispetto ad una materia che sarà sicuramente oggetto di interventi legislativi futuri, anche in considerazione dell’espansione dei servizi digitali.                                                

                                                                                                             

Lì, 21.05.2013                                                                                    D’INTESA CON LA PRESIDENZA NAZIONALE

IL DIRIGENTE ANQUAP

                                                                                                                                Ferrari Alessandra

 

                                                                                              



 
Categoria: Approfondimenti Data di creazione: 22/05/2013
Sottocategoria: Sottocategoria n. 1 Ultima modifica: 29/05/2013 12:11:03
Permalink: IL CLOUD COMPUTING E LE ISTITUZIONI SCOLASTICHE: INNOVAZIONE E CAUTELA Tag: IL CLOUD COMPUTING E LE ISTITUZIONI SCOLASTICHE: INNOVAZIONE E CAUTELA
Autore: Alessandra Ferrari Pagina letta 2579 volte
Pagina disponibile anche nella sezione: Contributi professionali -> Didattica Pagina disponibile anche nella sezione: Uffici ANQUAP -> Didattica



  Feed RSS Stampa la pagina ...