Limiti legali utilizzo piattaforme SaaS (es: CRM/mailing)

gobbofrancesca · 30 Agosto 2017, 10:29am

Buongiorno a tutti,
sono Francesca e mi occupo di ricerca nell’ambito della comunicazione pubblica per conto di un ente strumentale di Regione Lombardia.
Per l’attività di ricerca che mi trovo a svolgere avrei necessità di appurare se esistono dei limiti legali (soprattutto in termini di sicurezza informatica) per la Pubblica Amministrazione all’utilizzo di piattaforme CRM (es. Wordpress) per la gestione del sito istituzionale e di piattaforme di mailing esterne (es. Mailchimp) per l’invio di newsletter.
Per caso qualcuno conosce dei casi di PA che hanno adottato soluzioni di questo tipo?
Grazie per l’attenzione. A presto,

Francesca

PS Spero di aver scelto la categoria giusta, se così non fosse chiedo scusa!

rasky · 30 Agosto 2017, 10:36am

Buongiorno Francesca,
per chiarire meglio la tua domanda, quando citi per esempio “Wordpress”, fai riferimento comunque all’utilizzo di piattaforme erogate in modalità Software-as-a-Service giusto? Quindi nel caso specifico intendi “hosting su wordpress.com” piuttosto che l’uso di Wordpress in sé come strumento opensource (che è ben diffuso dentro la PA)?

gobbofrancesca · 30 Agosto 2017, 10:52am

Buongiorno Giovanni,
grazie mille per la celere risposta! Io mi occupo di comunicazione da diversi anni, ma mai per la PA. Da quando ho cominciato a collaborare con l’Istituto (circa un mese fa) mi sono scontata con mille cavilli burocratici che parrebbero non consentire l’utilizzo di alcun tipo di servizio che consente di fare tutto ciò a cui sono abituata: impaginare e mandare una newsletter con Mailchimp, gestire un sito carino e aggiornato basato su Wordpress, ecc.
Quello che sto cercando (da profana) di capire è se davvero all’interno della PA è tutto così imbrogliato. Come posso farmi un’idea?
Grazie!

rasky · 30 Agosto 2017, 4:22pm

È un po’ difficile darti una risposta precisa e breve ad una domanda comunque generica, quindi sarò prolisso

In generale, non ci risulta sussistere un limite legislativo nazionale che impedisca l’utilizzo di un servizio in hosting, anche per trattare dati soggetti a privacy. Da questo punto di vista, la normativa europea pone condizioni specifiche (semplificando oltre misura) qualora i trattamenti dei dati personali siano svolti avvalendosi di fornitori stranieri; per le aziende americane, ad esempio, esiste un meccanismo chiamato Privacy Shield che consente ad aziende e amministrazioni europee di avvalersi dei relativi servizi (in virtù di un accordo bilaterale tra Europa e USA); sul sito che ti ho linkato, puoi trovare la lista completa ed effettuare una ricerca per azienda o prodotto per verificare la compliance; per esempio, Mailchimp è presente. Ovviamente, si tratta poi di informare gli utenti con una Privacy Policy e dei Terms of Service correttamente redatti.

Superato quindi questo primo “scoglio”, c’è poi il tema degli acquisti. Le PA tipicamente possono effettuare con semplicità acquisti di piccoli tagli solo tramite la piattaforma MEPA, su cui sono a volte presenti i servizi che citi tramite dei rivenditori, ma più spesso non lo sono; per esempio Mailchimp non è presente, e quindi, per quanto potrebbe essere utilizzato nel suo piano gratuito, l’eventuale necessità di passare ad un piano a pagamento potrebbe essere un freno importante.

Inoltre, l’acquisto di servizi informatici in hosting viene caricato a bilancio nelle spese correnti che di norma sono soggette a limiti molto più stringenti rispetto a, per esempio, acquistare una soluzione proprietaria installata su infrastruttura della Pubblica Amministrazione, che spesso può essere catalogato come investimento ed essere per questo soggetto a limitazioni minori, anche se a fronte di un costo maggiore.

Per finire, ovviamente ciascuna PA può avere poi un regolamento tecnologico interno che indirizza verso determinate tecnologie e ne vieta altre. Di conseguenza, il contesto su cui ti puoi trovare ad operare può non dipendere da una norma nazionale, quanto invece da un regolamento interno. In generale, nel mondo della PA spesso non c’è familiarità nell’uso di questi servizi, e, come nelle grandi aziende, c’è a volte reticenza e timore nel cambiare le tecnologie su cui si è lavorato per molti anni.

Per quanto riguarda i case study, non riesco io almeno ad aiutarti molto, magari qualcuno può subentrare. Mi risulta che Wordpress (così come Drupal e Joomla, nelle loro versioni open source) sia molto diffuso in PA grandi e piccole. Per Mailchimp non ho sottomano esempi da darti; per esempio, in Developers Italia per la newsletter utilizziamo Mailup.