Conform directivei, orice procesator de date personale trebuie să respecte următoarele reguli: 1) să obţină şi să proceseze corect informaţiile; 2) să le păstreze numai pentru unul sau mai multe scopuri specificate şi legale; 3) să le proceseze numai în moduri compatibile cu scopurile pentru care i s-a oferit acces la ele; 4) să le păstreze în siguranţă; 5) să le păstreze riguros şi la zi; 6) să se asigure că sunt adecvate, relevante şi nu în exces; 7) să nu le păstreze mai mult decât e necesar pentru scopul sau scopurile specificate; 8) să ofere, la cerere, oricărei persoane o copie a datelor sale.

Milioane de cetăţeni europeni folosesc servicii de e-mail de la Google, Yahoo sau Microsoft, servicii de stocare de la Google Drive sau Dropbox, pun clipuri personale pe YouTube şi fotografii personale pe Facebook sau Instagram. Cum se împacă programul PRISM cu legile europene de protecţie a datelor?

Mai important încă, în privinţa companiilor, multe organizaţii europene sau internaţionale folosesc aplicaţii de business găzduite de firmele de cloud din SUA. De pildă, organizaţiile UE folosesc soft de management al resurselor umane de la Oracle sau Workday, soft de CRM de la Microsoft sau Salesforce, soft financiar de la Netsuite etc. Dat fiind că NSA poate avea acces, în teorie, la date sensibile ale acestor organizaţii fără mandat şi fără avertisment, e puţin probabil ca aceste companii să fie încântate de PRISM.

Spre a pune chestiunea într-un context mai general, care va fi efectul programelor de supraveghere ca PRISM, în următorii ani, asupra evoluţiei cloud computingului şi a sistemelor de software-as-a-service?

Interesul meu de a găsi răspunsuri la astfel de întrebări vine din două surse. Întâi, faptul că sunt cetăţean european şi vreau să ştiu dacă şi când datele mele personale şi potenţial confidenţiale (pe care vreau să le împărtăşesc doar unui grup restrâns) nu mai sunt sigure. În al doilea rând, fiindcă sunt implicat profesional în industria de soft de business şi sunt foarte interesat să-i înţeleg dezvoltarea istorică şi să-i anticipez evoluţia viitoare.

CE ESTE CLOUD COMPUTINGUL? Cloud computing înseamnă un model de business unde companiile, în loc să recurgă pentru nevoile lor de IT la resurse proprii (servere, soft, personal), le închiriază de la companii specializate, care le oferă astfel de resurse prin intermediul internetului. De obicei, termenii unor astfel de acorduri sunt controlaţi prin contracte de servicii bine definite. Acest nou tip de contract pentru servicii IT&C aduce cu unul încheiat de o companie cu un furnizor de utilităţi.

Într-un raport publicat la 28 februarie, Gartner estima piaţa mondială a serviciilor publice de cloud la 131 mld. dolari în 2013, cu 18,5% mai mare decât în 2012. Piaţa este substanţială şi are un mare potenţial de creştere în următorii ani: Gartner prezice că din 2013 până în 2016, la scară globală se vor cheltui 677 mld. dolari pe servicii de cloud. Cea mai mare creştere e aşteptată în segmentul de infrastructure-as-a-service (47,3% în 2013, după o creştere de 42,4% în 2012). Ca distribuţie geografică, SUA e cea mai mare piaţă a serviciilor de cloud, cu 59% din totalul cheltuielilor noi estimate până în 2016, în timp ce Europa de Vest va reprezenta 24%.

A UCIDE PRISM CLOUDUL? În lumina informaţiilor scurse în presă despre programul PRISM şi altele similare, nu putem să nu ne întrebăm dacă mai e posibil să continue creşterea companiilor de cloud, aşa cum a prezis Gartner înainte de izbucnirea scandalului, sau dacă acestea vor fi afectate negativ.

Clienţii companiilor de cloud (în special ai celor furnizoare de software-as-a-service) se întreabă, probabil, cât de sigure sunt informaţiile lor confidenţiale. Datele pot fi surse foarte puternice de avantaj competitiv: de pildă, datele despre clienţi şi comportamentul lor sau despre potenţialii clienţi şi oportunităţile de vânzări. Nu multe organizaţii şi-ar externaliza informaţiile valoroase dacă nu au o asigurare convingătoare că acestea sunt depozitate în siguranţă şi ferite de ochi curioşi.

Probleme de securitate au existat şi înainte de PRISM, aşa încât multe companii preferă şi vor continua mereu să prefere infrastructuri IT proprii. Totuşi, înainte de PRISM, exista măcar un acord de servicii cu o companie de cloud care oferea un anumit grad de încredere că firma respectivă va oferi ceea ce a promis. A compromis PRISM această încredere? Întrebarea se pune mai ales pentru organizaţiile din afara SUA care îşi stochează datele în companii de cloud americane (Microsoft, Google, Amazon, Salesforce etc.).

RĂSPUNSUL MEU LA ASTFEL DE ÎNTREBĂRI ESTE NEGATIV. Modelul de business bazat pe cloud a devenit popular la începutul anilor 2000, mai ales graţie inovaţiilor Amazon, comerciant online care a vrut să-şi valorifice mai bine infrastructura IT, folosită în majoritatea timpului la 10% din capacitate. Dar modelul n-a fost inventat de Amazon. Există cel puţin alte două momente când industria IT a fost tentată de modelul de calcul utilitar (utility computing): cel bazat pe time-sharing (mai mulţi utilizatori împart acelaşi computer mainframe, conectaţi de la diverse terminale), deja răspândit în anii ‘60, şi modelul, datând tot de atunci, al proiectelor de soft tehnic specializat, ca de pildă Infonet (un serviciu de prelucrare a datelor contabile pentru firmele mici), CompuTicket (serviciu de rezervare a biletelor la cinema) sau SpeeData (management al stocurilor pentru micile magazine). Proiectele din anii ‘60 şi ‘70 au eşuat în majoritatea cazurilor din cauza lipsei unei infrastructuri tehnice şi de comunicaţii adecvate. Computerele din anii ‘60 erau lente, protocolurile de comunicaţii nu erau standardizate. Aceste proiecte au eşuat şi din cauza escaladării costurilor: pentru fiecare proiect, totul trebuia construit de la zero - hardware, software, sisteme de operare, infrastructură de comunicaţii.

Extinderea globală a internetului şi progresele extraordinare în industria de soft şi a cipurilor au înlăturat astfel de obstacole. Acum, obstacolele nu mai sunt de ordin tehnic, ci de ordin juridic şi politic. Dar fezabilitatea economică a modelului a fost dovedită. Aşa încât, din nou, nu cred că scandalul PRISM va opri sau va compromite cloud computingul.

TOTUŞI, SCANDALUL RELEVĂ O SERIE DE CHESTIUNI FOARTE IMPORTANTE. În primul rând, că mai e mult loc de mai bine în contractele de servicii cu companiile de cloud, iar nerăbdarea de a folosi prea devreme aceste servicii expune la surprize neplăcute.

În al doilea rând, scandalul arată că diferenţele legislative pot ridica bariere importante în calea creşterii companiilor de cloud. În UE, legile de protecţie a datelor sunt destul de complexe şi de avansate, în timp ce în SUA, domeniul protecţiei datelor e încă într-o zonă gri. În alte zone ale lumii (de pildă în India, unul dintre marii jucători pe piaţa de outsourcing IT), astfel de reglementări nu există deloc. Ce se întâmplă şi cine garantează protecţia datelor (personale sau ale organizaţiilor) când datele au originea într-o ţară, dar sunt prelucrate în alta? Din moment ce o legislaţie globală de protecţie a datelor nu e de aşteptat în viitorul apropiat, acest obstacol ar putea însemna că, deocamdată, companiile de cloud vor putea să-şi vândă serviciile numai la nivel naţional, cel mult la nivel regional. Altminteri vor fi nevoite să-şi creeze entităţi independente din punct de vedere juridic în fiecare dintre pieţele-ţintă.

Anii ce vor veni vor oferi răspunsurile, dar de această dată logica economică ţine cu modelul de calcul utilitar.