Il Parlamento europeo,

–  vista la comunicazione della Commissione del 27 settembre 2012 intitolata "Sfruttare il potenziale del cloud computing in Europa" (COM(2012)0529) e il documento di lavoro che la accompagna,

–  vista la comunicazione della Commissione del 3 marzo 2010 intitolata "Europa 2020: una strategia per una crescita intelligente, sostenibile e inclusiva" (COM(2010)2020),

–  vista la comunicazione della Commissione del 19 maggio 2010 intitolata "Un'agenda digitale europea" (COM(2010)0245),

–  vista la sua risoluzione del 5 maggio 2010 sulla nuova Agenda europea del digitale: 2015.eu(1),

–  vista la decisione n. 243/2012/UE del Parlamento europeo e del Consiglio, del 14 marzo 2012, che istituisce un programma pluriennale relativo alla politica in materia di spettro radio,

–  vista la proposta di regolamento del Parlamento europeo e del Consiglio concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati (regolamento generale sulla protezione dei dati) (COM(2012)0011), presentata dalla Commissione il 25 gennaio 2012,

–  vista la proposta di regolamento del Parlamento europeo e del Consiglio che istituisce il meccanismo per collegare l'Europa (COM(2011)0665), presentata dalla Commissione il 19 ottobre 2011,

–  vista la direttiva 1999/5/CE del Parlamento europeo e del Consiglio, del 9 marzo 1999, riguardante le apparecchiature radio e le apparecchiature terminali di telecomunicazione e il reciproco riconoscimento della loro conformità,

–  visto il lavoro dell'Istituto europeo per le norme di telecomunicazione (ETSI) sulla mappatura delle norme relative al cloud,

–  vista la direttiva 2011/83/UE del Parlamento europeo e del Consiglio, del 25 ottobre 2011, sui diritti dei consumatori, recante modifica della direttiva 93/13/CEE del Consiglio e della direttiva 1999/44/CE del Parlamento europeo e del Consiglio e che abroga la direttiva 85/577/CEE del Consiglio e la direttiva 97/7/CE del Parlamento europeo e del Consiglio,

–  vista la direttiva 1999/44/CE del Parlamento europeo e del Consiglio, del 25 maggio 1999, su taluni aspetti della vendita e delle garanzie dei beni di consumo(2),

–  vista la direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati(3),

–  vista la direttiva 2000/31/CE del Parlamento europeo e del Consiglio, dell'8 giugno 2000, relativa a taluni aspetti giuridici dei servizi della società dell'informazione, in particolare il commercio elettronico, nel mercato interno(4),

–  vista la direttiva 2001/29/CE del Parlamento europeo e del Consiglio, del 22 maggio 2001, sull'armonizzazione di taluni aspetti del diritto d'autore e dei diritti connessi nella società dell'informazione(5),

–  visto l'articolo 48 del suo regolamento,

–  visti la relazione della commissione per l'industria, la ricerca e l'energia e i pareri della commissione giuridica, della commissione per le libertà civili, la giustizia e gli affari interni e della commissione per il mercato interno e la protezione dei consumatori (A7‑0353/2013),

A.  considerando che se i servizi informatici a distanza sotto varie forme, ora comunemente conosciuti come "cloud computing", non sono una novità, la portata, le prestazioni e il contenuto del cloud computing costituiscono un importante progresso per le tecnologie dell'informazione e della comunicazione (TIC);

B.  considerando che il cloud computing è stato tuttavia oggetto di attenzione negli ultimi anni per via dello sviluppo di nuovi modelli commerciali innovativi su ampia scala, di una forte spinta da parte dei fornitori di cloud computing, delle innovazioni tecnologiche e dell'aumento delle capacità di elaborazione, di una riduzione dei prezzi e delle comunicazioni ad alta velocità, nonché dei potenziali benefici economici e di efficienza, anche in termini di consumo di energia, che i servizi di cloud offrono a tutti gli utenti;

C.  considerando che la diffusione e lo sviluppo di servizi di cloud computing nelle zone scarsamente popolate e remote possono contribuire a ridurre il loro isolamento, ma rappresentano nel contempo una sfida particolarmente impegnativa data l'insufficiente disponibilità delle infrastrutture necessarie;

D.  considerando che i benefici dei fornitori di servizi di cloud computing consistono, ad esempio, nei costi del servizio, nella monetizzazione delle risorse informatiche sottoutilizzate e in eccesso, nelle economie di scala, nella possibilità di vincolare la clientela (il cosiddetto effetto "lock-in") e di utilizzare le informazioni degli utenti per scopi secondari, ad esempio a fini pubblicitari, tenendo debitamente conto degli obblighi in materia di riservatezza e protezione dei dati personali; che l'effetto "lock-in" può produrre svantaggi competitivi che possono tuttavia essere affrontati con ragionevoli misure di normalizzazione e una maggiore trasparenza sugli accordi di licenza della proprietà intellettuale;

E.  considerando che i benefici per gli utenti dei servizi di cloud sono riconducibili a costi potenzialmente più bassi, all'accesso universale, alla praticità, all'affidabilità, alla scalabilità e alla sicurezza;

F.  considerando che il cloud computing comporta anche dei rischi per gli utenti, in particolare per quanto riguarda i dati sensibili, e che gli utenti dovrebbero essere consapevoli di tali rischi; che se il trattamento sul cloud avviene in un paese specifico, le autorità di quel paese possono avere accesso ai dati; che la Commissione dovrebbe tenerne conto nell'elaborazione di proposte e raccomandazioni relative al cloud computing;

G.  considerando che i servizi di cloud obbligano gli utenti a fornire informazioni al provider di servizi di archiviazione sul cloud, ovvero a un terzo, il che fa emergere problemi legati al controllo costante delle informazioni dei singoli utenti, all'accesso a tali informazioni e alla loro protezione nei confronti del provider stesso, di altri utenti dello stesso servizio e di altre parti; che la promozione di servizi che consentano esclusivamente all'utente di disporre della chiave d'accesso alle informazioni memorizzate, senza che i provider di servizi di archiviazione sul cloud possano accedervi, potrebbe risolvere alcuni problemi al riguardo;

H.  considerando che il maggiore utilizzo dei servizi di cloud forniti da un numero limitato di grandi provider implica che una quantità crescente di informazioni è aggregata nelle mani di tali provider, migliorando in tal modo la loro efficienza, ma aumentando nel contempo i rischi di perdite catastrofiche di informazioni, di punti di guasto centralizzati che potrebbero compromettere la stabilità di Internet, e di accesso alle informazioni da parte di terzi;

I.  considerando che le responsabilità e gli obblighi di tutte le parti interessate nei servizi di cloud computing devono essere chiariti, in particolare per quanto concerne la sicurezza e il rispetto degli obblighi in materia di protezione dei dati;

J.  considerando che il mercato dei servizi di cloud sembra essere suddiviso in due ambiti: quello dei consumatori e quello delle imprese;

K.  considerando che, per quanto riguarda gli utenti commerciali, i servizi di cloud standardizzati possono, se rispondono alle esigenze specifiche dell'utente, costituire un interessante strumento per trasformare le spese d'investimento in spese operative e per permettere una rapida disponibilità e scalabilità di capacità di archiviazione ed elaborazione supplementari;

L.  considerando che, per quanto riguarda i consumatori, il fatto che i fornitori di sistemi operativi per diverse tipologie di dispositivi di largo consumo, in particolare, orientino sempre più i consumatori – tramite l'utilizzo di impostazioni predefinite, ecc. – verso l'utilizzo di servizi di cloud proprietari significa che tali provider stanno creando una clientela vincolata e aggregando le informazioni dei loro utenti;

M.  considerando che l'uso di servizi di cloud esterni nel settore pubblico deve essere attentamente valutato tenendo conto dell'aumento dei rischi per quanto concerne le informazioni sui cittadini e della garanzia dello svolgimento delle funzioni di servizio pubblico;

N.  considerando che, dal punto di vista della sicurezza, l'introduzione di servizi di cloud implica che la responsabilità per il mantenimento della sicurezza delle informazioni appartenenti a ciascun utente è trasferita dall'utente al provider, rendendo così necessario garantire che i provider di servizi dispongano della capacità giuridica di offrire soluzioni di comunicazione sicure e solide;

O.  considerando che lo sviluppo dei servizi di cloud aumenterà la quantità dei dati trasmessi e la domanda di banda larga, di velocità di caricamento più elevate e di una maggiore disponibilità di banda larga ad alta velocità;

P.  considerando che la realizzazione degli obiettivi dell'agenda digitale europea, in particolare la diffusione e l'accesso per tutti alla banda larga, i servizi pubblici transfrontalieri e gli obiettivi in materia di ricerca e innovazione, è un passo necessario se l'UE vuole sfruttare appieno i benefici che il cloud computing può offrire;

Q.  considerando i recenti sviluppi in fatto di violazioni della sicurezza, in particolare lo scandalo dello spionaggio del PRISM;

R.  considerando la mancanza di parchi di server sul territorio europeo;

S.  considerando che il mercato unico digitale costituisce un fattore chiave per il conseguimento degli obiettivi della strategia Europa 2020 e rappresenterebbe uno stimolo importante per la realizzazione degli obiettivi dell'Atto per il mercato unico e la risposta alla crisi economica e finanziaria che colpisce l'Unione;

T.  considerando che una fornitura europea di connettività a banda larga, un accesso universale e uguale per tutti i cittadini ai servizi Internet e la garanzia della neutralità della rete sono i presupposti fondamentali per lo sviluppo di un sistema di cloud computing europeo;

U.  considerando che il meccanismo per collegare l'Europa è destinato, tra l'altro, a incrementare l'adozione della banda larga in Europa;

V.  considerando che il cloud computing dovrebbe stimolare l'integrazione delle PMI attraverso la riduzione degli ostacoli all'accesso al mercato (ad esempio, riducendo i costi dell'infrastruttura informatica);

W.  considerando che per la realizzazione di un sistema di cloud computing europeo è essenziale garantire norme giuridiche europee in materia di protezione dei dati;

X.  considerando che lo sviluppo del cloud computing dovrebbe contribuire a promuovere la creatività a vantaggio sia dei titolari dei diritti che degli utenti; considerando inoltre che in tale processo occorre evitare le distorsioni del mercato unico e rafforzare la fiducia dei consumatori e delle imprese nel cloud computing;

Considerazioni generali

1.  si compiace della comunicazione della Commissione sullo sfruttamento del potenziale del cloud computing in Europa e approva l'ambiziosa volontà della Commissione di mettere a punto un approccio coerente ai servizi di cloud; ritiene tuttavia che, per realizzare gli ambiziosi obiettivi fissati dalla strategia, uno strumento legislativo sarebbe stato più adeguato per alcuni aspetti;

2.  sottolinea che le politiche volte a garantire infrastrutture di comunicazione sicure e ad alta capacità sono un elemento essenziale per tutti i servizi che si basano sulle comunicazioni, inclusi i servizi di cloud, e osserva che, a causa della dotazione di bilancio limitata del meccanismo per collegare l'Europa, il sostegno alla diffusione della banda larga deve essere integrato da aiuti erogati a titolo di altri programmi e iniziative dell'Unione, tra cui i Fondi strutturali e di investimento europei;

3.  sottolinea che i servizi di cloud devono offrire una sicurezza e un'affidabilità proporzionali ai maggiori rischi derivanti dalla concentrazione dei dati e delle informazioni nelle mani di un numero limitato di provider;

4.  sottolinea che il diritto dell'Unione deve essere neutrale e, in assenza di ragioni imperative di interesse pubblico, non deve essere adattato al fine di agevolare od ostacolare modelli o servizi commerciali legali;

5.  sottolinea che la strategia relativa al cloud computing deve tenere conto anche di aspetti collaterali, quali il consumo energetico dei centri di dati e le questioni ambientali correlate;

6.  sottolinea le enormi possibilità dell'accesso ai dati da qualsiasi dispositivo collegato a Internet;

7.  sottolinea che l'UE ha un evidente interesse a disporre di più parchi di server sul proprio territorio, e questo in una duplice ottica: in termini di politica industriale, ciò permetterebbe di rafforzare le sinergie con gli obiettivi di introduzione delle reti di accesso di nuova generazione (NGA) fissati dall'agenda digitale, e in termini di sistema di protezione dei dati dell'Unione, aumenterebbe la fiducia, assicurando la sovranità dell'Unione sui server;

8.  sottolinea l'importanza dell'alfabetizzazione digitale di tutti i cittadini e invita gli Stati membri a sviluppare progetti per la promozione dell'utilizzo sicuro dei servizi Internet, inclusi quelli di cloud computing;

Il cloud come strumento per la crescita e l'occupazione

9.   sottolinea che, alla luce del potenziale economico del cloud in termini di aumento della competitività globale dell'Europa, esso può diventare un potente strumento per la crescita e l'occupazione;

10.  sottolinea pertanto che lo sviluppo dei servizi di cloud, in assenza di un'infrastruttura a banda larga o nel caso in cui questa sia insufficiente, rischia di aggravare il divario digitale tra le zone urbane e rurali, rendendo la coesione territoriale e la crescita economica regionale ancora più difficili da raggiungere;

11.  sottolinea che l'Unione si trova a far fronte a molteplici pressioni simultanee sulla crescita del PIL in un periodo in cui il margine per stimolare la crescita ricorrendo ai fondi pubblici è limitato dagli elevati livelli di debito e di deficit, e invita le istituzioni europee e gli Stati membri a mobilitare tutte le leve di crescita possibili; rileva che il cloud computing può diventare un fenomeno in grado di trasformare tutti i settori dell'economia, con particolare pertinenza in ambiti come l'assistenza sanitaria, l'energia, i servizi pubblici e l'istruzione;

12.  sottolinea che la disoccupazione, inclusa quella giovanile e di lungo termine, ha raggiunto livelli elevati inaccettabili in Europa ed è probabile che si mantenga elevata nel prossimo futuro, e che è necessaria un'azione determinata e urgente a tutti i livelli politici; rileva che le competenze informatiche e le iniziative di formazione digitale nello sviluppo del cloud computing possono, di conseguenza, essere estremamente importanti per far fronte alla disoccupazione in aumento, in particolare tra i giovani;

13.  sottolinea la necessità di migliorare le competenze informatiche degli utenti e di organizzare formazioni per dimostrare i benefici che il cloud computing può offrire; ricorda che è necessario creare più programmi di qualificazione per gli specialisti della gestione del cloud computing;

14.  sottolinea che le PMI sono al centro dell'economia dell'UE e che sono necessarie ulteriori iniziative per promuovere la competitività globale delle PMI europee e creare il miglior ambiente possibile per la diffusione di nuovi sviluppi tecnologici promettenti, come il cloud computing, che possono avere un forte impatto sulla competitività delle imprese dell'UE;

15.  insiste sull'impatto positivo dei servizi di cloud computing per le PMI, in particolare per quelle stabilite in zone remote e periferiche o con difficoltà economiche, dal momento che tali servizi contribuiscono alla riduzione dei costi fissi per le PMI offrendo la possibilità di affittare potenza di calcolo e capacità di archiviazione, e invita la Commissione a considerare un quadro appropriato che consenta alle PMI di aumentare la loro crescita e produttività grazie al fatto che possono beneficiare di costi iniziali ridotti e di un migliore accesso agli strumenti di analisi;

16.  incoraggia la Commissione e gli Stati membri a sensibilizzare in particolare le PMI sul potenziale economico del cloud computing;

17.  sottolinea che l'UE deve sfruttare il fatto che questa tecnologia si trova in una fase relativamente iniziale e investire nel suo sviluppo, al fine di beneficiare delle economie di scala che presumibilmente si presenteranno, rilanciando in tal modo la sua economia, in particolare nel settore delle TIC;

Il mercato dell'UE e il cloud

18.  sottolinea che il mercato interno deve rimanere aperto a tutti i provider che rispettano il diritto dell'Unione, dal momento che la libera circolazione dei servizi e delle informazioni a livello mondiale aumenta la competitività e le opportunità per l'industria dell'Unione e porta vantaggi ai cittadini europei;

19.  deplora gli indizi di un accesso governativo massiccio, pervasivo e indiscriminato alle informazioni relative agli utenti dell'Unione archiviate in cloud di paesi terzi e chiede che i provider di servizi di cloud siano trasparenti nella gestione delle informazioni fornite loro dai consumatori attraverso l'utilizzo di tali servizi;

20.  insiste affinché, per contrastare il rischio che governi stranieri accedano direttamente o indirettamente alle informazioni quando tale accesso non è consentito dal diritto dell'Unione, la Commissione:

21.  si compiace dell'intenzione della Commissione di istituire un sistema di certificazione a livello di UE che incoraggerebbe gli sviluppatori e i provider di servizi di cloud computing a investire in una migliore protezione della vita privata;

22.  invita la Commissione, in cooperazione con l'industria dell'Unione e altri soggetti interessati, a identificare i settori nei quali un approccio specifico dell'Unione potrebbe rivelarsi particolarmente interessante a livello mondiale;

23.  sottolinea l'importanza di garantire un mercato dell'Unione competitivo e trasparente al fine di offrire a tutti utenti dell'UE servizi sicuri, sostenibili, economicamente accessibili e affidabili; chiede un metodo semplice e trasparente per individuare le lacune della sicurezza, in modo tale che i provider di servizi sul mercato europeo siano sufficientemente e opportunamente incentivati a porvi rimedio;

24.  sottolinea che tutti i provider di cloud che operano nell'Unione devono concorrere in condizioni paritarie, con le stesse regole applicabili a tutti;

Appalti pubblici, appalti concernenti soluzioni innovative e il cloud

25.  sottolinea che l'utilizzo di servizi di cloud da parte del settore pubblico potrebbe ridurre i costi per le pubbliche amministrazioni e fornire servizi più efficienti ai cittadini, mentre l'effetto leva digitale sarebbe estremamente vantaggioso per tutti i settori dell'economia; osserva che il settore privato può altresì beneficiare dei servizi di cloud per gli appalti concernenti soluzioni innovative;

26.  incoraggia le pubbliche amministrazioni a prendere in considerazione servizi di cloud sicuri, affidabili e protetti nell'ambito degli appalti informatici, sottolineando nel contempo le loro particolari responsabilità quanto alla protezione delle informazioni relative ai cittadini, all'accessibilità e alla continuità del servizio;

27.  invita, in particolare, la Commissione a prendere in considerazione l'utilizzo di servizi di cloud, ove opportuno, al fine di dare il buon esempio;

28.  invita la Commissione e gli Stati membri a velocizzare i lavori del partenariato europeo per il cloud;

29.  invita la Commissione e gli Stati membri a includere il cloud computing tra gli ambiti prioritari dei programmi di ricerca e sviluppo e a promuoverlo nella pubblica amministrazione, quale soluzione innovativa di amministrazione elettronica di interesse pubblico, e nel settore privato, come strumento innovativo per lo sviluppo imprenditoriale;

30.  sottolinea che l'uso di servizi di cloud computing da parte delle autorità pubbliche, incluse le autorità preposte all'applicazione della legge e le istituzioni dell'UE, esige un'attenzione particolare e il coordinamento tra gli Stati membri; ricorda che occorre garantire l'integrità e la sicurezza dei dati nonché impedire l'accesso non autorizzato, anche da parte di governi esteri e dei loro servizi di intelligence senza una base giuridica nel quadro della legislazione dell'Unione o degli Stati membri; sottolinea che tale principio si applica anche alle attività specifiche di trattamento dei dati da parte di alcuni enti non governativi fondamentali, come banche, società di assicurazione, fondi pensione, scuole e ospedali, e in particolare al trattamento di categorie specifiche di dati personali; sottolinea altresì che quanto sopra esposto è di particolare importanza in caso di trasferimento dei dati (al di fuori dell'Unione europea tra diverse giurisdizioni); ritiene pertanto che le autorità pubbliche, così come gli enti non governativi e il settore privato, debbano affidarsi per quanto possibile a fornitori europei di servizi di cloud computing per il trattamento dei dati e delle informazioni sensibili, fino a quando non saranno state introdotte norme internazionali soddisfacenti in materia di protezione dei dati che garantiscano la sicurezza dei dati sensibili e delle banche dati detenute dagli enti pubblici;

Norme e il cloud

31.  invita la Commissione ad assumere un ruolo di guida nella promozione di norme e specifiche a sostegno di servizi di cloud rispettosi della vita privata, affidabili, altamente interoperabili, sicuri ed efficienti sotto il profilo energetico, come parte integrante della futura politica industriale dell'Unione; sottolinea che l'affidabilità, la sicurezza e la protezione dei dati sono necessarie per la fiducia dei consumatori e la competitività;

32.  sottolinea che le norme si basano su esempi di migliori pratiche;

33.  insiste sul fatto che le norme dovrebbero permettere una portabilità semplice e completa dei dati e dei servizi e un elevato grado di interoperabilità tra i servizi di cloud, al fine di rafforzare la competitività piuttosto che limitarla;

34.  valuta positivamente la mappatura delle norme che è stata affidata all'ETSI e sottolinea l'importanza di continuare a seguire un processo aperto e trasparente;

Consumatori e il cloud

35.  invita la Commissione a garantire che i dispositivi di largo consumo non utilizzino servizi di cloud come impostazione predefinita e non siano limitati a un provider specifico di servizi di cloud;

36.  invita la Commissione a garantire che gli accordi commerciali tra operatori di telecomunicazioni e provider di servizi di cloud computing siano pienamente conformi alla legislazione dell'UE in materia di concorrenza e che garantiscano ai consumatori il pieno accesso a tutti i servizi di cloud attraverso una connessione Internet offerta da un operatore di telecomunicazioni;

37.  rammenta alla Commissione la prerogativa tuttora non sfruttata, in virtù della direttiva 1999/5/CE (la direttiva RTTE), di richiedere che le apparecchiature includano elementi di salvaguardia a tutela delle informazioni degli utenti;

38.  invita la Commissione e gli Stati membri a sensibilizzare i consumatori in merito a tutti i rischi connessi all'uso dei servizi di cloud;

39.  invita la Commissione a garantire che i consumatori, quando sono invitati ad accettare o viene loro offerto un servizio di cloud, ricevano in primo luogo le informazioni necessarie per prendere una decisione informata, soprattutto per quanto concerne la giurisdizione competente in materia di dati archiviati in detto servizio di cloud;

40.  sottolinea che le informazioni così fornite dovrebbero indicare, tra l'altro, chi è il provider ultimo del servizio e il modo in cui il servizio è finanziato; sottolinea inoltre che, se il servizio è finanziato utilizzando le informazioni degli utenti per orientare la pubblicità o per permettere ad altri di farlo, ciò dovrebbe essere comunicato agli utenti;

41.  sottolinea che le informazioni dovrebbero essere presentate in un formato standardizzato, portabile, facilmente comprensibile e comparabile;

42.  invita la Commissione a valutare misure appropriate per raggiungere un livello minimo accettabile di tutela dei diritti dei consumatori in relazione ai servizi di cloud, che contemplino questioni come la vita privata, l'archiviazione di dati in paesi terzi, la responsabilità per la perdita di dati e altri aspetti di notevole interesse per i consumatori;

43.  esorta la Commissione e gli Stati membri ad adottare misure concrete per l'utilizzo e la promozione del cloud computing in relazione al libero accesso e alle risorse educative aperte;

Proprietà intellettuale, diritto civile ecc. e il cloud

44.  esorta la Commissione a intervenire per armonizzare ulteriormente le leggi tra gli Stati membri, al fine di evitare la confusione e la frammentazione giurisdizionali e assicurare la trasparenza nel mercato unico digitale;

45.  invita la Commissione a rivedere altri atti legislativi dell'Unione per colmare le lacune relative al cloud computing; chiede, in particolare, di precisare il regime dei diritti di proprietà intellettuale, di rivedere la direttiva sulle pratiche commerciali sleali, la direttiva sulle clausole abusive nei contratti e la direttiva sul commercio elettronico, che sono i principali atti legislativi dell'Unione che si applicano al cloud computing;

46.  invita la Commissione a stabilire un quadro giuridico chiaro nel settore del contenuto protetto da diritti d'autore nel cloud, specialmente per quanto riguarda le normative sulla concessione di licenze;

47.  riconosce che l'avvento dell'archiviazione di opere protette dal diritto d'autore da parte dei servizi di cloud computing non dovrebbe compromettere il diritto di cui godono i titolari di diritti europei a ricevere un compenso equo per l'utilizzo delle loro opere, ma si domanda se questi servizi possano essere considerati alla stregua dei supporti e dei materiali di registrazione tradizionali e digitali;

48.  invita la Commissione a esaminare i vari tipi di servizi di cloud computing e l'impatto dell'archiviazione nel cloud di opere protette sui sistemi di riscossione dei diritti d'autore e, più in particolare, sulla maniera in cui sono imposti i prelievi per copie private applicabili a taluni tipi di servizi di cloud computing;

49.  invita la Commissione a promuovere, insieme alle parti interessate, lo sviluppo di servizi decentrati, basati su software liberi e aperti, che contribuirebbero ad armonizzare le pratiche fra i provider di servizi di cloud e permetterebbero ai cittadini dell'Unione di riprendere il controllo dei propri dati e comunicazioni personali, ad esempio attraverso la cifratura punto a punto;

50.  sottolinea che, a causa delle incertezze relative alle leggi e alla giurisdizione applicabili, i contratti sono lo strumento principale per stabilire relazioni tra i provider di servizi di cloud e i loro clienti, e che pertanto è evidente la necessità di elaborare orientamenti comuni dell'Unione in questo ambito;

51.  invita la Commissione a collaborare con gli Stati membri al fine di elaborare modelli di buone pratiche dell'Unione per i contratti, o ''contratti tipo", che garantiranno la massima trasparenza specificando tutte le condizioni contrattuali in un formato estremamente chiaro;

52.  invita la Commissione a elaborare, insieme alle parti interessate, regimi volontari di certificazione per i sistemi di sicurezza dei provider, che contribuirebbero ad armonizzare le pratiche in uso tra i provider di servizi di cloud e renderebbero i clienti più consapevoli di quanto si possono aspettare da loro;

53.  sottolinea che, a causa di problemi giurisdizionali, nella pratica è poco probabile che i consumatori dell'Unione possano far valere i propri diritti contro i provider di servizi di cloud in altre giurisdizioni; invita pertanto la Commissione a mettere a disposizione mezzi di ricorso adeguati nell'ambito dei servizi ai consumatori, dal momento che vi è un forte squilibrio di poteri tra i consumatori e i provider di servizi di cloud computing;

54.  invita la Commissione a garantire una rapida attuazione della risoluzione alternativa delle controversie e della risoluzione delle controversie online e ad assicurarsi che i consumatori siano dotati di strumenti adeguati di ricorso collettivo contro violazioni della sicurezza e della vita privata nonché contro disposizioni contrattuali sleali per i servizi di cloud;

55.  deplora l'attuale mancanza di mezzi di ricorso efficaci per gli utenti in caso di inosservanza degli obblighi contrattuali;

56.  chiede che il consumatore sia sistematicamente informato, nella proposta di contratto, in merito alle attività di trattamento dei dati personali e che il consenso degli utenti sia obbligatorio prima di poter modificare le condizioni del contratto;

57.  invita la Commissione, nel quadro delle discussioni del suo gruppo di esperti, ad esigere che i fornitori di servizi di cloud includano nei contratti specifiche clausole chiave a garanzia della qualità del servizio, come l'obbligo di aggiornare il software e l'hardware se necessario, di definire gli interventi in caso di perdita di dati e di determinare le tempistiche necessarie per la risoluzione di un problema o la rapidità con cui il servizio di cloud può rimuovere eventuali materiali offensivi, qualora il cliente lo richieda;

58.  ricorda che, qualora un fornitore di servizi di cloud computing utilizzi i dati per fini diversi da quelli concordati nell'accordo di servizio, o li comunichi o utilizzi in violazione dei termini contrattuali, dovrà essere considerato il responsabile del trattamento e ritenuto responsabile delle violazioni e infrazioni commesse;

59.  sottolinea che gli accordi di servizi di cloud computing devono definire, in modo chiaro e trasparente, gli obblighi e i diritti delle parti per quanto riguarda le attività di trattamento dei dati da parte dei provider di servizi di cloud computing; osserva che gli accordi contrattuali non comportano una rinuncia alle garanzie, ai diritti e alle tutele previste dalla normativa dell'Unione in materia di protezione dei dati; invita la Commissione a presentare proposte per ristabilire l'equilibrio tra i provider di servizi di cloud computing e i loro clienti per quanto concerne le condizioni utilizzate da tali servizi, incluse disposizioni che:

60.  sottolinea che il ruolo del provider di servizi di cloud computing, nel quadro dell'attuale normativa dell'Unione, deve essere determinato caso per caso, poiché i provider possono essere sia responsabili sia incaricati del trattamento dei dati; chiede il miglioramento delle condizioni contrattuali per tutti gli utenti mediante lo sviluppo di modelli internazionali di buone pratiche per i contratti e la precisazione del luogo in cui il provider archivia i dati e in virtù di quale normativa dell'Unione esegue tale archiviazione;

61.  sottolinea che occorre prestare particolare attenzione alle situazioni in cui lo squilibrio nelle condizioni contrattuali tra il cliente e il provider di servizi di cloud computing impone al cliente di stipulare accordi contrattuali che prevedono servizi standard e la sottoscrizione di un contratto in cui il provider definisce le finalità, le condizioni e gli strumenti del trattamento(6); sottolinea che, in tali circostanze, il provider di servizi di cloud computing dovrebbe essere considerato il responsabile del trattamento dei dati e diventare responsabile in solido con il cliente;

Protezione dei dati, diritti fondamentali, applicazione della legge e il cloud

62.  è del parere che l'accesso a un Internet sicuro sia un diritto fondamentale di tutti i cittadini e che il cloud computing continuerà a svolgere un ruolo importante in tal senso; ribadisce pertanto l'invito alla Commissione e al Consiglio a riconoscere in maniera inequivocabile le libertà digitali come diritti fondamentali e presupposti essenziali per il godimento dei diritti umani universali;

63.  ribadisce che, come regola generale, il livello di protezione dei dati in un contesto di cloud computing non deve essere inferiore a quello richiesto per qualsiasi altro contesto di trattamento dei dati;

64.  sottolinea che la normativa dell'Unione in materia di protezione dei dati, in quanto tecnologicamente neutra, si applica già pienamente ai provider di servizi di cloud computing che operano nell'UE e deve pertanto essere scrupolosamente rispettata; sottolinea che occorre tenere conto del parere del gruppo di lavoro "articolo 29" sul cloud computing(7), poiché fornisce un orientamento chiaro per l'applicazione ai servizi di cloud dei principi e delle norme della legislazione dell'Unione in materia di protezione dei dati, come i concetti di responsabile/incaricato del trattamento dei dati, la limitazione delle finalità e la proporzionalità, l'integrità e la sicurezza dei dati, il ricorso a subappaltatori, la ripartizione delle responsabilità, le violazioni e i trasferimenti internazionali di dati; sottolinea la necessità di colmare, nell'attuale revisione del quadro giuridico dell'Unione in materia di protezione dei dati, eventuali lacune relative alla protezione dei dati nell'ambito del cloud computing, sulla base di ulteriori orientamenti del Garante europeo della protezione dei dati e del gruppo di lavoro "articolo 29";

65.  ribadisce la sua profonda preoccupazione per le recenti rivelazioni sui programmi di sorveglianza dell'Agenzia per la sicurezza nazionale statunitense e su analoghi programmi condotti dai servizi di intelligence in diversi Stati membri, e riconosce che, qualora le informazioni disponibili ad oggi fossero confermate, si potrebbe configurare una grave violazione del diritto fondamentale alla vita privata e alla protezione dei dati ai danni dei cittadini e dei residenti dell'UE, nonché del diritto alla vita privata e familiare, della riservatezza delle comunicazioni, della presunzione di innocenza, della libertà di espressione, della libertà di informazione e della libertà d'impresa;

66.  ribadisce la sua profonda preoccupazione in merito alla divulgazione diretta obbligatoria di dati e informazioni a carattere personale, trattati nel quadro di accordi di cloud computing, alle autorità di paesi terzi da parte di provider di servizi di cloud computing soggetti al diritto di paesi terzi o che utilizzano server di archiviazione ubicati in paesi terzi, nonché in merito all'accesso diretto a distanza a dati e informazioni a carattere personale trattati dalle autorità di contrasto e dai servizi di intelligence di paesi terzi;

67.  deplora che tale accesso avvenga generalmente tramite l'applicazione diretta delle proprie norme giuridiche da parte delle autorità di paesi terzi, senza ricorrere agli strumenti internazionali istituiti per la cooperazione giuridica, come gli accordi di assistenza giudiziaria reciproca o altre forme di cooperazione giudiziaria;

68.  sottolinea che tali pratiche sollevano problemi di fiducia nei confronti dei provider di servizi di cloud computing e di servizi online al di fuori dell'Unione, nonché nei confronti dei paesi terzi che non ricorrono agli strumenti internazionali per la cooperazione giuridica e giudiziaria;

69.  si attende che la Commissione e il Consiglio adottino le misure necessarie per risolvere tale situazione e assicurare il rispetto dei diritti fondamentali dei cittadini dell'UE;

70.  ricorda che tutte le imprese che offrono servizi all'interno dell'UE sono tenute a rispettare senza eccezioni il diritto dell'Unione e sono responsabili di qualsiasi violazione;

71.  sottolinea che i servizi di cloud computing che rientrano nella giurisdizione di paesi terzi dovrebbero fornire agli utenti stabiliti nell'UE un'avvertenza chiara e ben visibile della possibilità che i loro dati personali siano sottoposti, per effetto di ordini segreti o ingiunzioni, a una sorveglianza da parte dei servizi di intelligence e delle autorità di contrasto di paesi terzi, seguita, se del caso, dalla richiesta di consenso esplicito dell'utente al trattamento dei dati personali;

72.  esorta la Commissione a prestare particolare attenzione, nella negoziazione di accordi internazionali che includono il trattamento di dati personali, ai rischi e alle sfide che il cloud computing comporta per i diritti fondamentali, in particolare, ma non solo, per il diritto alla vita privata e alla protezione dei dati personali, come stabilito dagli articoli 7 e 8 della Carta dei diritti fondamentali dell'Unione europea; esorta inoltre la Commissione a prendere atto delle disposizioni nazionali dei paesi partner nei negoziati per quanto concerne l'accesso ai dati personali elaborati attraverso servizi di cloud computing da parte delle autorità di contrasto e dei servizi di intelligence, in particolare esigendo che tali autorità e servizi possano accedere ai dati soltanto nel pieno rispetto delle procedure previste dalla legge e in presenza di una base giuridica inequivocabile, e imponendo di specificare le condizioni precise di accesso, le finalità di tale accesso, le misure di sicurezza attuate nel trasferimento dei dati e i diritti dei singoli, nonché le norme concernenti la vigilanza e mezzi di ricorso efficaci;

73.  sottolinea la sua profonda preoccupazione in merito ai lavori condotti in seno al Consiglio d'Europa dalla commissione per la convenzione sulla criminalità informatica, al fine di elaborare un protocollo aggiuntivo sull'interpretazione dell'articolo 32 della summenzionata convenzione del 23 novembre 2001 relativo all'"accesso transfrontaliero ai dati informatici archiviati previo consenso o quando sono pubblicamente disponibili"(8), onde "facilitarne un utilizzo e un'attuazione efficaci alla luce degli sviluppi giuridici, politici e tecnologici"; invita la Commissione e gli Stati membri, in vista dell'imminente esame da parte del comitato dei ministri del Consiglio d'Europa, a garantire la compatibilità delle disposizioni dell'articolo 32 della convenzione sulla criminalità informatica, così come la sua interpretazione negli Stati membri, con i diritti fondamentali, compresa la protezione dei dati e, in particolare, le disposizioni sui flussi transfrontalieri di dati personali, come sancito nella Carta dei diritti fondamentali dell'Unione europea, l'acquis dell'UE in materia di protezione dei dati, la convenzione europea dei diritti dell'uomo e la convenzione del Consiglio d'Europa sulla protezione delle persone rispetto al trattamento automatizzato dei dati a carattere personale ("convenzione 108"), che sono giuridicamente vincolanti per gli Stati membri; invita la Commissione e gli Stati membri a respingere fermamente qualsiasi misura che metta a repentaglio l'applicazione di tali diritti; esprime preoccupazione per il fatto che, in caso di approvazione di tale protocollo aggiuntivo, la sua attuazione potrebbe portare a un accesso a distanza illimitato da parte delle autorità di contrasto ai server e ai sistemi informatici soggetti ad altre giurisdizioni, senza il ricorso agli accordi di assistenza giudiziaria reciproca o ad altre forme di cooperazione giudiziaria introdotte per garantire i diritti fondamentali della persona, compresa la protezione dei dati e il rispetto delle procedure;

74.  sottolinea che occorre prestare particolare attenzione alle PMI che fanno sempre più affidamento sulla tecnologia del cloud computing per l'elaborazione dei dati personali e che non sempre dispongono delle risorse o della competenza necessarie per far fronte adeguatamente alle problematiche in materia di sicurezza;

75.  sottolinea che la qualifica di responsabile o incaricato del trattamento dei dati riflettersi adeguatamente nell'effettivo livello di controllo dei mezzi di trattamento dei dati, onde attribuire con chiarezza la responsabilità della protezione dei dati personali nell'ambito del cloud computing;

76.  sottolinea che tutti i principi sanciti dalla normativa dell'Unione in materia di protezione dei dati, quali l'equità e la liceità, la limitazione delle finalità, la proporzionalità, l'accuratezza e i periodi limitati di conservazione dei dati, devono essere presi in debita considerazione dai provider dei servizi di cloud computing nel trattamento dei dati personali;

77.  sottolinea l'importanza di poter imporre sanzioni amministrative efficaci, proporzionate e dissuasive ai servizi di cloud computing che non sono conformi alle norme dell'Unione in materia di protezione dei dati;

78.  sottolinea che, onde definire le garanzie più appropriate da attuare, occorre valutare l'impatto sulla protezione dei dati di ciascun servizio di cloud computing;

79.  sottolinea che un provider di servizi di cloud computing dovrebbe agire sempre in conformità della legislazione europea sulla protezione dei dati, anche qualora ciò sia contrario alle istruzioni di un cliente o di un responsabile dei dati stabilito in un paese terzo o qualora i soggetti interessati siano (esclusivamente) residenti di paesi terzi;

80.  sottolinea l'esigenza di far fronte alle sfide poste dal cloud computing a livello internazionale, in particolare per quanto riguarda la sorveglianza da parte dei servizi di intelligence governativi e le necessarie garanzie;

81.  sottolinea che i cittadini dell'UE soggetti al controllo dei servizi di intelligence di paesi terzi dovrebbero beneficiare almeno delle stesse garanzie e degli stessi mezzi di ricorso a disposizione dei cittadini del paese terzo interessato;

82.  deplora l'approccio adottato dalla Commissione nella sua comunicazione, nella quale non sono menzionati i rischi e le sfide associati al cloud computing, ed esorta la Commissione a proseguire il suo lavoro al riguardo, elaborando una comunicazione più completa sul cloud computing che tenga conto degli interessi di tutte le parti e che, accanto all'ovvio riferimento alla tutela dei diritti fondamentali e al rispetto degli obblighi in materia di protezione dei dati, contenga almeno i seguenti elementi:

83.  chiede alla Commissione di valutare l'adeguatezza di un riesame dell'accordo UE-USA sull'approdo sicuro, al fine di adeguarlo agli sviluppi tecnologici, in particolare per quanto concerne gli aspetti legati al cloud computing;

o
o   o

84.  incarica il suo Presidente di trasmettere la presente risoluzione al Consiglio e alla Commissione.

(1) GU C 81 E del 15.3.2011, pag. 45. (2) GU L 171 del 7.7.1999, pag. 12. (3) GU L 281 del 23.11.1995, pag. 31. (4) GU L 178 del 17.7.2000, pag. 1. (5) GU L 167 del 22.6.2001, pag. 10. (6) Soprattutto nel caso di utilizzo di servizi di cloud computing da parte dei consumatori e delle PMI. (7) Parere 5/2012, WP 196, disponibile all'indirizzo http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/index_en.htm#h2-1. (8) http://www.coe.int/t/dghl/cooperation/economiccrime/Source/Cybercrime/TCY/TCY%202013/T CY(2013)14transb_elements_protocol_V2.pdf http://www.coe.int/t/DGHL/cooperation/economiccrime/cybercrime/default_en.asp (9) Regolamento (CE) n. 2271/96 del Consiglio del 22 novembre 1996 relativo alla protezione dagli effetti extraterritoriali derivanti dall'applicazione di una normativa adottata da un paese terzo, e dalle azioni su di essa basate o da essa derivanti (GU L 309 del 29.11.1996, pag. 1).