A cura di Domenico Laforensa e Mario Po Cloud Computing in...

de Il Sole 24 ORE Sanità

A cura di Domenico Laforensa e Mario Po

Cloud Computingin sanitàUn nuovo paradigma di sviluppo

Cloud Computing in sanità

I-XIV-prime pag - Convegno.indd 1 25/07/12 07.39

A cura di Domenico Laforensa e Mario Po

Cloud Computingin sanitàUn nuovo paradigma di sviluppo


ISBN 978-88-324-8230-0

© 2012 Il Sole 24 ORE S.p.A.

Sede legale e amministrazione: via Monte Rosa, 91 - 20149 MilanoRedazione: via C. Pisacane, 1 - 20016 Pero (Milano)Per informazioni: Servizio Clienti Tel. 02.3022.5680, 06.3022.5680Fax 02.3022.5400 oppure 06.3022.5400e-mail [email protected]

Fotocomposizione: Jo type di Nisticò Francesco & C. snc, via Figino, 1/A - 20016 Pero (Milano)

Tutti i diritti sono riservati.Le fotocopie per uso personale del lettore possono essere effettuate nei limiti del 15 per cento di ciascun volume/fascicolo di periodico dietro pagamento alla SIAE del compenso previsto dall’art. 68, commi 4 e 5, della legge 22 aprile 1941, n. 633.Le riproduzioni effettuate per finalità di carattere professionale, economico o commerciale o comunque per uso diverso da quello personale possono essere effettuate a seguito di specifica autorizzazione rilasciata da AIDRO, corso di Porta Romana, 108 - 20122 Milano, e-mail [email protected] e sito web www.aidro.org


Indice

Prefazione di Renato Mason................................................................... pag. IX

Introduzione di Domenico Laforenza e Mario Po’ .............................. » XI

1 Il G-Cloud nella strategia della trasformazione della PA italiana Carlo Mochi Sismondi ...................................................................................... » 1 1.1 G-cloud e open government: il quadro di riferimento teorico ...................................................................................... » 1 1.1.1 Lo scenario ...................................................................... » 1 1.1.2 Gli strumenti dell’innovazione .......................................... » 3 1.2 G-cloud come grande infrastruttura della PA italiana .......... » 5 1.2.1 Una definizione di Cloud Computing ................................ » 5 1.2.2 Gli obiettivi del Cloud Computing per la PA ..................... » 5 1.3 Le criticità e le cautele ............................................................ » 7 1.4 Un’occhiata oltre frontiera ..................................................... » 8 1.5 … e in Italia ............................................................................. » 8

2 Cloud-Computing: nuvola o sciame? Un’apparente digressione filosofico-medica di Gian Luigi Bianchin .................................................................................... » 11 Abstract ............................................................................................ » 11 2.1 Conclusione ............................................................................. » 15 2.2 Ringraziamenti ........................................................................ » 16 Riferimenti bibliografici ................................................................... » 16

3 Cloud Computing – Technology & Future scenarios the silicon valley vision di Burton H. Lee ............................................................................................. » 17 Abstract ............................................................................................ » 17 3.1 Introduction ............................................................................ » 17 3.2 Cloud Computing Today and Future Prospects .................... » 17 3.3 The Emerging Digital Healthcare Market and Innovation Pipeline – United States v Europe ......................................... » 21 3.4 Conclusion .............................................................................. » 23


Acknowledgments ............................................................................ pag. 23

4 Data Analysis e Knowledge management su cloud per la sanità di Domenico Talia ........................................................................................... » 25 Abstract ............................................................................................ » 25 4.1 Introduzione ........................................................................... » 25 4.2 Tecniche e applicazioni ........................................................... » 26 4.3 Cloud Computing per data analysis ....................................... » 26 4.4 Conclusioni ............................................................................. » 27 Riferimenti bibliografici ................................................................... » 27

5 Understanding Cloud Computing. Technology, Competition, Environment and Finance di Federico Etro .............................................................................................. » 29 Abstract ............................................................................................ » 29 5.1 Introduction ............................................................................ » 31 5.2 Competition issues emerging from cloud computing ........... » 34 5.3 Evaluating the impact of cloud computing ............................ » 35 5.4 The environmental impact of cloud computing .................... » 37 5.5 The impact of cloud computing on the private sector .......... » 38 5.6 The impact of cloud computing in the public sector ............ » 41 5.7 Conclusions ............................................................................. » 44 References ....................................................................................... » 44

6 “Aspetti giuridici delle applicazioni di Cloud: un’analisi legale non solo delle criticità ma anche delle opportunità” di Paolo Balboni ............................................................................................. » 47

7 Privacy e cloud compunting in sanità: un binomio difficile ma non impossibile di Laura Ferola ............................................................................................... » 53 7.1 Lo scenario attuale: verso una crescente esigenza di modernizzazione del settore sanitario e di ottimizzazione dei servizi ................................................................................. » 53 7.2 La privacy nel cloud, tra vantaggi e criticità ........................... » 54 7.3 La scheda di documentazione del Garante ............................ » 56 7.4 Considerazioni conclusive ...................................................... » 57

8 La carta di Castelfranco: Cloud Computing per l’E-Health di Mario Po’ .................................................................................................... » 59 Abstract ............................................................................................ » 59 8.1 Introduzione ........................................................................... » 59 8.2 Una chance per tutti ............................................................... » 61 8.3 Una roadmap per decidere ..................................................... » 61 8.4 La Carta di Castelfranco per gli utenti ................................... » 63 8.5 Il CIO con il cloud può generare innovazione ...................... » 64

VI INDICE


8.6 Il provider cloud in confidenza con l’ospedale? .................... pag. 65 8.7 Regole per il Cloud ................................................................. » 66 8.8 Cloud Computing e dinamiche job creation .......................... » 67 8.9 Conclusioni ............................................................................. » 69 Riferimenti bibliografici ....................................................................... » 69

9 Healthcare: la sicurezza nel cloud di Jean Paul Ballerini, Andrea Carmignani ........................................................ » 71 Abstract ............................................................................................ » 71 9.1 Introduzione ........................................................................... » 71 9.2 Il cloud e i tre pilastri della sicurezza ..................................... » 73 9.3 Specificità della sicurezza nel cloud ....................................... » 73 9.4 Conclusione ............................................................................. » 76 Riferimenti bibliografici ................................................................... » 76

10 Un modello gestionale per soluzioni “in the cloud” di Gianluca Bambozzi ...................................................................................... » 79 10.1 Le esperienze di soluzioni “in the Cloud” ............................. » 79 10.2 Metodo ed approccio .............................................................. » 80 10.3 Il modello gestionale ............................................................... » 83 10.4 I fattori critici di successo ....................................................... » 84

11 Scenari tecnologico-applicativi per il cloud computing in sanità di P. Barichello ................................................................................................ » 87 Abstract ............................................................................................ » 87 11.1 Introduzione ........................................................................... » 87 11.2 La Road map verso il cloud computing ................................. » 88 11.2.1 Step 1: Sistemi Generali .............................................. » 89 11.2.2 Step 2: Sistemi del Personale ....................................... » 90 11.2.3 Step 3: Sistema di logistica sanitaria ............................ » 90 11.2.4 Step 4: Sistemi business critical ................................... » 90 11.2.5 Step 5: Sistemi CRM .................................................... » 91 11.3 Requisiti tecnologici ................................................................ » 91 11.4 L’evoluzione dell’operatore ICT nell’azienda sanitaria ......... » 92

12 Il fascicolo sanitario elettronico e l’interoperabilitá applicativa basati su cloud computing di Sergio Di Bona, Davide Guerri, Marco Bechini ............................................... » 95 Abstract ............................................................................................ » 95 12.1 Introduzione ........................................................................... » 95 12.2 La piattaforma X1V1 di interoperabilità basata su Cloud .... » 98 12.3 Uno sguardo al futuro ............................................................. » 101 12.4 Conclusioni ............................................................................. » 102 Riferimenti bibliografici ................................................................... » 103

INDICE VII


Prefazionea cura di Renato Mason, Direttore Generale Azienda ULSS n. 8, Asolo

Cloud computing per la sanità digitale

Il tema di questo convegno, il cloud computing, è un po’ inconsueto, defilato nel dibattito culturale, ed è sicuramente affascinante che questa innovativa proposta di gestione sia presentata proprio in questo Ospedale di antiche ori-gini.

Come sappiamo, da qualche anno, viviamo una difficile crisi economica che, ovviamente ha sviluppi pure nel mondo sanitario sia nazionale, che regionale. Le nostre risorse, infatti, sono predeterminate. Si incrementeranno all’incirca dell’uno per cento l’anno a livello nazionale, a fronte di una crescita naturale dei costi del tre-quattro per cento.

La sfida dei prossimi anni sarà pertanto come preservare la sostenibilità del Sistema Sanitario mantenendo e, se possibile promuovendo, la qualità dei ser-vizi.

Interventi necessari sono sicuramente razionalizzazione e contenimento dei costi ma, in realtà, lo sappiamo, la risposta vera è innovazione.

Nell’imprenditoria a capitale privato l’innovazione è classicamente di pro-dotto oppure di processo. Lo stesso avviene nella Pubblica Amministrazione. In sanità, però, il prodotto che è il benessere psico-fisico dell’utente, può essere migliorato, adeguato ma difficilmente innovato. In definitiva non rimane che agire sul processo.

In quest’ambito importante è proprio il cloud computing che permette di rispondere alle esigenze organizzative, della sanità nel nostro caso, in un per-corso di minori costi, maggiore efficienza e sviluppo.

Nell’impresa privata in cloud computing è già una realtà ma il privato è agile, prende decisioni rapide essendo la meta semplice e chiara: il profitto. Nella Pubblica Amministrazione ed in particolare nella sanità il percorso è più accidentato. Intorno all’obiettivo finale “il benessere dell’utente” vi sono por-


X PREFAZIONE

tatori d’interesse che spesso limitano la prontezza delle scelte se non la loro realizzazione.

Peraltro deve essere chiaro che mutare, innovare il processo non porta ne-cessariamente a costi minori. Sono offerti servizi migliori alla popolazione, ma solo se vi è un’attenzione particolare, avremo pure una riduzione della spesa. Ecco allora che solo una stretta collaborazione pubblico-privato ci permetterà di affrontare le sfide evolutive delle aziende sanitarie in ambito tecnologico-informativo e clinico. Le risorse necessarie sono cospicue e il “pubblico” oggi non può agire da solo.

In definitiva, come già detto, il nostro obiettivo è rendere sostenibile il no-stro sistema sanitario, e più in generale la Pubblica Amministrazione anche at-traverso gli strumenti dell’innovazione. Sostenibilità che vuol dire raggiungi-mento degli obiettivi con le risorse date, predefinite, senza sprechi e fughe in avanti ma con decisioni senza tentennamenti.


Introduzionea cura di Domenico Laforenza, Direttore Istituto Informatica e Telematica, CNR, PisaMario Po’, Direttore Amministrativo, Azienda ULSS n. 8, Asolo

Il cloud per il processo clinico e il suo “universo”

Il cloud computing riesce ad assicurare un livello di disponibilità del servizio molto alto. Ma la sua introduzione dovrebbe essere limitata, nelle realtà sanita-rie, alle applicazioni non sensibili o critiche, nel quadro di una strategia di adattamento con una chiara exit strategy.

Questa prima affermazione emerge dal dibattito italiano ed europeo e rap-presenta una sintesi delle prese di posizione che hanno stimolato gli interventi riportati in questo e-book. Davanti cioè, alle straordinarie opportunità offerte dal lavoro con il cloud, l’organizzazione sanitaria/ospedaliera reagisce circo-scrivendone l’area di applicazione alle situazioni meno esposte. È difficile dire, però, se in un ospedale ci sono aree non sensibili a cui si adatterebbe meglio il cloud computing.

Non è una questione di fiducia o meno rispetto alle potenzialità del cloud; ma molto di più, perchè si deve parlare di responsabilità, proprio a proposito della sensibilità delle attività e delle organizzazioni ospedaliere. Per ragioni di sicurezza, protezione dei dati personali, ecc., infatti, si vorrebbe trattenere il cloud sulla porta delle applicazioni cliniche.

Ma è il principio di continuità operativa che, ribaltando le preoccupazioni surriferite, deve invece portare al cloud computing. Ciò in quanto nessun ospe-dale, ad esempio, in caso di catastrofe naturale (terremoto, alluvione, uragano, ecc.) è in grado di affrontare con soluzioni proprie nè l’esigenza di un effettivo ripristino immediato delle funzionalità ICT, nè quella delle sicurezza sulla con-servazione dei dati, nè tantomeno quella della continuità tecnologica, gestiona-le e clinica. Per quante misure prudenziali possa adottare un ospedale, sono imparagonabili con quelle che, su un ambiente geografico mondiale, può offri-re un servizio cloud per gli aspetti della sicurezza. Quindi, quale è il paradigma di maggiore responsabilità per la sicurezza clinica?


XII INTRODUZIONE

Questa impostazione al tema è probabilmente la novità più significativa che si ritrova negli interventi riportati in questo e-book. È una novità apprezzabile su due fronti.

Il primo è costituito dal punto di vista, potremmo dire, della voce che nasce da un processo clinico; cioè è la voce dell’end-consumer organizzativo. Non è una voce esterna all’ospedale, al suo “universo”, al suo linguaggio, alle sue compatibilità. Questo è importante, perchè si supera la frequente “passività propositiva” del cliente, rispetto ad un vendor che può nascondere con l’ag-gressività delle offerte la sua difficoltà a capire ciò che accade realmente dentro un ospedale.

Il secondo è costituito dalla “fiducia tecnologica”; nel senso che l’architet-tura digitale di un ospedale e l’ingegnerizzazione IT dei suoi processi sono as-sunte come versioni fisiologiche delle sue attività. Per questo il cloud compu-ting è considerato un’opportunità strategica per migliorare gli standard dei servizi sanitari, la qualità degli output clinici e, prima ancora, l’affidabilità dei processi.

Quanto riferito nell’e-book riporta una selezione di relazioni presentate in tre Incontri scientifici1. I relatori esprimono le quattro componenti di un siste-ma: innanzitutto, come abbiamo detto, gli end-consumer sanitari poi i vendor ed infine i regolatori (sia quelli pubblici che quelli istituzionali privati).

Dagli interventi qui esposti, si coglie che oggi si misura il cloud computing in sanità con i parametri degli altri ambienti. Questa erronea prospettiva porta però a concentrarci su aspetti non prioritari o fuorvianti, trascurando piuttosto l’elemento irrinunciabile di qualsiasi intervento in sanità: la conoscenza specia-listica delle situazioni. Si vuol dire che questo fattore permette di affrontare il cloud con la metodologia e la competenza che sono (o dovrebbero essere) abi-tuali in una relazione di fornitura sanitaria e che sono la vera garanzia di una migrazione appropriata al cloud computing.

Per questo dobbiamo attendere il cloud sulla porta aperta dell’ospedale per valutare le scelte migliori secondo alcune “regole”: la confidenza gestionale del provider; la condivisione semantica dell’ospedale e del provider; la combina-zione dei paradgmi con una logica tendente, ma non esclusiva, al cloud; la

1 Convegno del 18 ottobre 2011, Castelfranco Veneto, su “Cloud Computing per la Sanità Digitale” (http://www.ulssasolo.ven.it/Dal-kibbutz-all-ospedale-e-ritorno-attraverso-il-cloud-computing);

Conferenza del 19 marzo 2012, Gerusalemme, su “Cloud Computing for e-Health ~ The evolution of the applications” (http://www.ulssasolo.ven.it/Dal-kibbutz-all-ospedale-e-ritorno-attraverso-il-cloud-computing);

Seminario del 17 maggio 2012, Roma, su “Cloud computing per la sanità digitale: dalle applicazio-ni alle regole” (http://www.ulssasolo.ven.it/Nuvole-virtuali-persone-reali.-L-esperienza-dell-Ulss-8- di-Asolo-nel-cloud-computing-a-Forum-Pa-2012).


INTRODUZIONE XIII

partecipazione del provider alle procedure ospedaliere in tempi, fasi, ambiti variamente definibili; la collaborazione del provider nelle situazioni di cosid-detta “discrezionalità clinica”, cioè nel cuore dei processi.

Non è questa la sede per entrare nel merito dei predetti richiami; interessa invece annunciare un orientamento metodologico. Il cloud computing in sanità può essere compreso appieno e quindi bene applicato soltanto con gli strumen-ti del suo “universo”.


Capitolo 1

Il G-Cloud nella strategia della trasformazione della PA italiana1

Carlo Mochi Sismondi, Presidente FORUM PA, Roma

1.1 G-cloud e open government: il quadro di riferimento teorico

È ormai assodato che il Cloud per la PA non è soltanto un’opzione per l’approvvigionamento di servizi tecnologici: si tratta di un cambio di paradig-ma che può rappresentare il fattore abilitante di un nuovo modello di eroga-zione del valore pubblico alla collettività. Il passaggio a questo nuovo siste-ma, insieme agli innumerevoli vantaggi, prevede un certo numero di criticità da affrontare. Esso è comunque parte integrante della politica di Governo per l’Agenda Digitale e si situa di diritto nel contesto delle azioni per l’Open Government.

1.1.1 Lo scenario

Per capire dove si situa il g-cloud nelle politiche per la digitalizzazione della PA e dell’intera società italiana siamo partiti da tre elementi:

• il contesto socio-culturale di riferimento;• l’obiettivo al quale tendere;• il modello di sviluppo da utilizzare come riferimento.

Il contesto: Open Government

Il primo elemento, il contesto socio-culturale di riferimento, è quello dell’O-

1 Questo capitolo si è avvalso in larga misura della collaborazione svolta in queste per FORUM PA di Stefano Epifani (titolare della cattedra di tecnologie applicate alla comunicazione all’ Uni-versità di Roma La Sapienza e Direttore dell’Associazione Italiana OpenGovernment) e di Gianni Dominici, Direttore generale di FORUM PA.

001-010 - Convegno Renato Mason.indd 1 16/07/12 15.11

2 IL G-CLOUD NELLA STRATEGIA DELLA TRASFORMAZIONE DELLA PA ITALIANA

pen Government2. La complessità della società contemporanea richiama sem-pre più forte l’esigenza di sviluppare momenti di trasparenza3, di partecipazio-ne e di coinvolgimento tra classe politica, amministratori pubblici e cittadini. Partecipazione e coinvolgimento sono espressi attraverso un modello che fa riferimento ai principi dell’Open Government4, quel governo aperto postulato già nell’Illuminismo ma rilanciato concretamente dall’Amministrazione statu-nitense durante la presidenza Obama che trova in alcuni elementi abilitanti messi a disposizione dalla rete uno strumento attuativo reale.

L’obiettivo: Smart City

L’obiettivo al quale tendere è quello della Smart City. Quello delle Smart City non è un concetto nuovo, ma solo negli ultimi anni lo sviluppo delle tec-nologie ne ha reso possibile la reale definizione5 ed ha consentito di lavorare sulle prime applicazioni concrete.

2 Da Wikipedia: “Con l’espressione “Open Government” - letteralmente “governo aperto” - si intende un nuovo concetto di Governance a livello centrale e locale, basato su modelli, strumenti e tecnologie che consentono alle amministrazioni di essere “aperte” e “trasparenti” nei confronti dei cittadini. In particolare l’Open government prevede che tutte le attività dei governi e delle ammini-strazioni dello stato debbano essere aperte e disponibili, al fine di favorire azioni efficaci e garantire un controllo pubblico sull’operato”.

3 Il concetto di trasparenza trova una sua definizione legislativa precisa nella legge delega 15/2009: La trasparenza “è intesa come accessibilità totale (…) delle informazioni concernenti ogni aspetto dell’organizzazione, degli indicatori relativi agli andamenti gestionali e all’utilizzo delle risorse per il perseguimento delle funzioni istituzionali, dei risultati dell’attività di misurazione e valutazione (…)” (articolo 11, comma 1). Si tratta di una nozione diversa da quella contenuta negli articoli 22 e seguenti della legge 7 agosto 1990, n. 241, che disciplina la distinta fattispecie del diritto di accesso ai documenti amministrativi.

Per il testo della L.15/2009 e del seguente decreto delegato si veda il sito Normattiva all’indiriz-zo: http://www.normattiva.it/uri-res/N2Ls?urn:nir:stato:legge:2009-03-04;15

4 La CiVIT, Commissione indipendente per la valutazione, l’integrità e la trasparenza delle am-ministrazioni pubbliche ha definito così l’open government nella sua Delibera 105 del 2010: L’ac-cessibilità totale presuppone, invece, l’accesso da parte dell’intera collettività a tutte le “informazioni pubbliche”, secondo il paradigma della “libertà di informazione” dell’open government di origine statu-nitense. Una tale disciplina è idonea a radicare, se non sempre un diritto in senso tecnico, una posizione qualificata e diffusa in capo a ciascun cittadino, rispetto all’azione delle pubbliche amministrazioni, con il principale “scopo di favorire forme diffuse di controllo del rispetto dei principi di buon andamento e imparzialità” (articolo 11, comma 1, del decreto).

La delibera è disponibile all’indirizzo http://www.civit.it/?p=21825 Una definizione semplice di smart city è su http://saperi.forumpa.it/story/42038/smart-city-

siamo-pronti-immaginare-citta-piu-intelligenti : una città smart è uno spazio urbano, ben diretto da una politica lungimirante, che affronta la sfida che la globalizzazione e la crisi economica pongono in termini di competitività e di sviluppo sostenibile con un’attenzione particolare alla coesione sociale, alla diffusione e disponibilità della conoscenza, alla creatività, alla libertà e mobilità effettivamente fruibile, alla qualità dell’ambiente naturale e culturale.


IL G-CLOUD NELLA STRATEGIA DELLA TRASFORMAZIONE DELLA PA ITALIANA 3

La Smart City è la città i cui cittadini, forti della presenza di tecnologie “in-telligenti”, riescano a costruire una società migliore. Migliore in quanto basata su strumenti di partecipazione; migliore in quanto basata sulla trasparenza dell’amministrazione e su un rapporto tra essa ed i suoi stakeholder (cittadini, imprese, organizzazioni) realmente collaborativo6; migliore in quanto in grado di esprimere il meglio delle persone e delle organizzazioni attraverso il ricorso ad una tecnologia che sia realmente uno strumento concreto di innovazione sociale.

Il modello di sviluppo: Innovazione Sociale.

Se l’Open Government è il contesto che definisce l’humus culturale della società e la smart city (abitata da smart citizen) è l’obiettivo al quale tendere, il modello di sviluppo non può che essere quello dell’innovazione sociale7. Innovazione sociale intesa come capacità della società di sviluppare processi di collaborazione, interazione ed innovazione che siano finalizzati ad un aumento del benessere pubblico, nell’ambito di una visione di società che attraverso le reti (e non certo solo quelle online) riesca a produrre un reale miglioramento della qualità della vita dei cittadini. Un modello di innovazione che consenta di ripensare i valori della società moderna e svilupparli con un approccio sosteni-bile dal punto di vista ambientale, economico, culturale.

1.1.2 Gli strumenti dell’innovazione

Definiti questi tre elementi: contesto (Open Government), obiettivo (Smart City) e modello di sviluppo (Innovazione Sociale), da essi discendono gli stru-menti necessari:

La linfa vitale: Open Data.

Conoscere le informazioni prodotte dall’Amministrazione è indispensabile

6 Per una visione della smart city è illuminante l’intervista che Carlo Ratti, direttore del Senseable city laboratory del MIT, ha rilasciato a FORUM PA: http://saperi.forumpa.it/story/66017/una-citta-smart-e-come-una-macchina-di-formula1-carlo-ratti-forum-pa-2012

7 Secondo l’approccio pragmatico, l’innovazione sociale fa riferimento alle attività e ai servizi innovativi che si producono con l’obiettivo di rispondere a un bisogno sociale e che sono in larga misura diffusi attraverso organizzazioni a scopo prevalentemente sociale. Secondo l’approccio siste-matico l’innovazione sociale è un processo complesso di introduzione di nuovi prodotti, processi e programmi che cambiano profondamente le abitudini, le risorse disponibili e i flussi di autorità o le convinzioni del sistema sociale in cui l’innovazione si produce. Per una definizione della materia e per un’ampia casistica si può fare riferimento al dossier pubblicato da FORUM PA all’indirizzo http://saperi.forumpa.it/story/57448/tutti-pazzi-l-innovazione-sociale



per il cittadino nel momento in cui vuole sviluppare reali dinamiche di parteci-pazione. In tal senso, le logiche connesse all’Open Data8 – che postula la dispo-nibilità dei dati della PA verso il cittadino o gli altri stakeholder – consentono di disegnare percorsi di partecipazione basati sulla conoscenza e sulla condivi-sione, oltre che sulla collaborazione tra attori pubblici e privati nella costruzio-ne di nuovi servizi basati sui dati messi a disposizione della collettività.

G-Cloud.

Il G-Cloud, ossia l’applicazione per la PA di sistemi di Cloud Computing, rappresenta una grande opportunità per la Pubblica Amministrazione, confi-gurandosi come una vera e propria infrastruttura sulla quale sviluppare i servi-zi e le applicazioni necessari. Grazie al G-Cloud le amministrazioni potranno accedere a servizi ed a loro volta erogarne al cittadino liberandosi delle com-plessità tecniche connesse alla loro gestione.

Web 2.0

Se il G-Cloud è l’infrastruttura di servizio ed i dati sono la linfa vitale neces-saria per attivare percorsi di partecipazione, il Web 2.09 è lo strumento attraver-so il quale sviluppare tali dinamiche. Il Social Networking ha definito nuovi contesti e nuove forme di socializzazione tra cittadini. Tali forme si stanno ra-pidamente estendendo anche alle Amministrazioni Pubbliche, ed anzi rappre-senteranno in futuro delle modalità di interazione in grado di ridisegnare pro-fondamente il rapporto tra Pubblica Amministrazione e Cittadino.

8 Per una definizione operativa di Open Data, anche alla luce delle recenti normative, si con-sulti il “Vademecum – Open Data, come rendere pubblici i dati delle pubbliche amministrazioni” realizzato dal Formez a fine 2011 e liberamente scaricabile all’indirizzo http://www.dati.gov.it/sites/default/files/VademecumOpenData.pdf

9 Per una visione di insieme dell’Amministrazione 2.0 può essere utile il libro di Alberto Cottica “Wikicrazia. L’azione di governo al tempo della rete. Capirla, progettarla, viverla da protagonista” edito da Navarra edizioni nel settembre 2011 e anche il manifesto della PA 2.0 realizzato da un pool di amministrazioni, disponibile, insieme a una ricca documentazione, su http://manifestopa. pbworks.com/w/page/20249515/FrontPage



1.2 G-cloud come grande infrastruttura della PA italiana

1.2.1 Una definizione di Cloud Computing10

Il cloud computing è un nuovo pRdigma per fornire risorse IT (capacità computazionale, spazio di memorizzazione o anche software) come servizi ac-cessibili in rete. Esistono varie definizioni di cloud nella letteratura scientifica. Le più importanti sono quelle proposte dal National Institute of Standards and Technology11 e da un gruppo di esperti riuniti dalla Comunità Europea nel re-port “The Future of Cloud Computing”12

“Il cloud computing è un ambiente di esecuzione elastico che consente l’acces-so via rete e su richiesta ad un insieme condiviso di risorse di calcolo configurabi-li (ad esempio rete, server, dispositivi di memorizzazione, applicazioni e servizi) sotto forma di servizi a vari livelli di granularità. Tali servizi possono essere rapi-damente richiesti, forniti e rilasciati con minimo sforzo gestionale da parte dell’u-tente e minima interazione con il fornitore.”

Con la locuzione G-Cloud intendiamo l’applicazione del paradigma tecno-logico del Cloud Computing nella Pubblica Amministrazione.

1.2.2 Gli obiettivi del Cloud Computing per la PA

È abbastanza agevole definire quelli che sono i macro obiettivi del G-Cloud, almeno come è inteso nella maggior parte dei Paesi avanzati:

• tagliare i costi;• migliorare i servizi pubblici;• razionalizzare le risorse esistenti;• sostenere la crescita economica e la creazione di posti di lavoro;• ridurre l’inquinamento.

Anche nel caso del G-Cloud il motore dell’innovazione è quindi la riduzione dei costi, ma il G-Cloud può ottenere un doppio effetto positivo anche sullo sviluppo economico: da una parte rende più efficace ed efficiente l’azione del

10 Per un completo ed aggiornato esame del G-Cloud si veda la recente pubblicazione di DigitPA “Raccomandazioni e proposte sull’uso del Cloud Computing nella PA” uscito nel maggio 2012 in occasione di FORUM PA e disponibile sul sito dell’Ente all’indirizzo http://www.digitpa.gov.it/sites/default/files/notizie/Raccomandazioni%20Cloud%20e%20PA%20-%201.7.pdf

11 P. Mell, T. Grance: The NIST Definition of Cloud Computing. Recommendation of the Na-tional Institute of Standards and Technology (NIST), U.S. Department of Commerce, January 2011

12 European Commission - Expert Group Report: The Future Of Cloud Computing. Opportu-nities For European Cloud Computing Beyond 2010, Ed. Keith Jeffery, Burkhard Neidecker-Lutz



government migliorando la qualità e la quantità dei servizi resi e permettendo l’interoperabilità e lo scambio dei dati tra le amministrazioni, ottenendo così un miglioramento nella qualità della vita dei cittadini e delle imprese; dall’altra stimola l’innovazione, sia per le grandi imprese che possono sviluppare offerte di private, hybrid e public cloud, sia per le PMI che possono sviluppare apps e servizi sulla base dei dati aperti che il cloud espone.

Le già citate recenti raccomandazioni di DigitPA in questo senso parlano chiaro:

Pur in un quadro in rapida evoluzione, i servizi cloud si presentano come uno dei mezzi più economici per assicurare ad una gran parte dei servizi di eGo-vernment caratteristiche di efficacia, efficienza, trasparenza, partecipazione, con-divisione, cooperazione, interoperabilità e sicurezza. Le strategie di eGovernment di molti Paesi (tra i quali USA, UK, Francia, Giappone e Canada) puntano già con decisione alla promozione e all’adozione del cloud da parte dell’amministra-zione statale. Come già ricordato, sono attese durante la primavera del 2012 la pubblicazione di una strategia cloud europea, annunciata dalla VP della Commissione UE Neelie Kroes13, la cui preparazione è stata accompagnata da numerosi studi e approfondimenti tecnici e da una vasta consultazione, e l’avvio della European Cloud Partnership, che punta a promuovere il procurement di servizi cloud a livello europeo concordando requisiti e standard adeguati al settore pubblico.

G-Cloud, quindi, come infrastruttura di sistema in grado di rappresentare una risposta reale a molte delle esigenze di flessibilità, efficacia ed efficienza della Pubblica Amministrazione.

In particolare il g-cloud:

• Può consentire un sostanziale vantaggio in termini di riduzione di costi, aumento di efficienza, flessibilità e velocità di implementazione dei servizi della PA.

• Può abilitare il cambiamento del modello organizzativo dell’IT nelle varie Amministrazioni Centrali e Locali – da gestori di infrastrutture a broker di servizi.

• Può consentire alla PA di mettere a disposizione una serie di risorse condi-vise per alimentare lo sviluppo dell’intero ecosistema-Paese.

• Le tecnologie Cloud e Web2.0 aprono le porte “all’Open Government” con la possibilità di mettere a disposizione i dati della PA per consentire a citta-

13 Neelie Kroes, Towards a European Cloud Computing Strategy, discorso al World Eco-nomic Forum, Davos, 27 gennaio 2011, http://europa.eu/rapid/pressReleasesAction.do? reference=SPEECH/11/50



dini e terze parti di sviluppare applicazioni “riusabili” in modalità Cloud Services.

1.3 Le criticità e le cautele

A fronte di indubitabili vantaggi, da molte parti si sono levati giustificati al-larmi e inviti alla cautela contro un uso troppo disinvolto dei servizi cloud nel-la PA, soprattutto per quanto attiene al “public cloud”. In particolare il Garante per la protezione dei Dati Personali, in una scheda di documentazione14 uscita nell’autunno del 2011, mette in guardia rispetto ad alcune peculiarità del pu-blic cloud. In particolare ricorda che Il fornitore, in base alla tipologia dei ser-vizi offerti, assume la responsabilità di preservare la riservatezza, l’integrità o la disponibilità dei dati; pertanto, l’utente al momento della stipula dei contratti di servizio dovrà tenere in debito conto gli accorgimenti previsti per garantire il corretto trattamento dei dati immessi in cloud. Prima di adottare un sistema basato nel cloud computing è necessario, quindi, valutare attentamente il rap-porto tra rischi e benefici derivante dall’utilizzo del predetto servizio virtuale, minimizzando i primi attraverso una attenta verifica dell’affidabilità del forni-tore di servizi al quale ci si intende affidare.

Il garante inoltre rivolge alle amministrazioni alcune raccomandazioni:

• ponderare prioritariamente rischi e benefici dei servizi offerti;• effettuare una verifica in ordine all’affidabilità del fornitore;• privilegiare i servizi che favoriscono la portabilità dei dati;• assicurarsi la disponibilità dei dati in caso di necessità;• selezionare con cura i dati da inserire nella cloud;• non perdere di vista i dati;• informarsi su dove risiederanno, concretamente, i dati;• fare attenzione alle clausole contrattuali;• verificare le politiche di persistenza dei dati legate alla loro conservazione;• esigere e adottare opportune cautele per tutelare la confidenzialità dei dati;• formare adeguatamente il personale.

14 Il testo della scheda di documentazione è disponibile sul sito del garante all’indirizzo http://www.garanteprivacy.it/garante/document?ID=1819933. Successivamente il garante ha pubblicato un Vademecum dal titolo “Cloud Computing – Proteggere i dati per non cadere dalle nuvole”, de-dicato sia alle imprese, sia alla PA e disponibile sul sito all’indirizzo http://www.garanteprivacy.it/garante/doc.jsp?ID=1894503



1.4 Un’occhiata oltre frontiera

Le pubbliche amministrazioni di tutto il mondo si stanno interrogando su come riuscire a fare di più, rispondendo così alle aspettative crescenti di fami-glie e imprese, spendendo di meno.

Una risposta, la stanno trovando nelle tecnologie di cloud computing e nel-le soluzioni che vengono comunemente riferite come government cloud (g-cloud):

• Un approccio, formalizzato è presente in molti dei principali governi con specifici documenti programmatici e di indirizzo. In particolare appaiono fortemente impegnate le amministrazioni degli USA (USA State of Public Sector Cloud Computing15); del Canada (Cloud Computing and the Canadian Environment16); del Giappone (The Kasumigaseki Cloud17), dell’Austria (Cloud Computing Strategic Direction Paper18), del Regno Unito (Government Cloud Programme19)

Le principali azioni previste dai diversi documenti sono:

• data centre consolidation;• definizione di standard;• coinvolgimento privati in programmi di PPP.

1.5. … e in Italia

In Italia, salvo alcune esperienze isolate relative ad alcuni ministeri o enti territoriali non esistono un progetto complessivo volto a consolidare e virtua-lizzare i server, lo storage e le reti degli attuali data center.

Una fotografia recente ha messo in evidenza i seguenti numeri relativi alla Pubbica Amministrazione Centrale (PAC).

15 http://www.cio.gov/pages.cfm/page/State-of-Public-Sector-Cloud-Computing16 http://www.cloudbook.net/directories/gov-clouds/public-works-and-government-services-

canada-pwgsc17 http://www.cloudbook.net/directories/gov-clouds/ministry-of-internal-affairs-and-communications-

japan--mic18 http://www.finance.gov.au/e-government/strategy-and-governance/cloud-computing.html19 http://www.cio.gov/pages.cfm/page/Cloud-Computing-Update-Best-Practices-for-Acquiring-

IT-as-a-Service



I CED della PAC sono suddivisi sul territorio:

• 92 centrali (servono l’intero territorio nazionale)• 67 in sedi regionali o sovra-regionali• 874 in sedi provinciali

L’infrastruttura IT dei CED della PAC comprende:• 31 mainframe• 9.600 server (35% nei CED provinciali della PAC)• 60.000 mq di spazi occupati• 7.300 addetti (FTE, l’80% è personale interno alla PAC) di cui il 60% nei

CED provinciali

Sulla base delle esperienze internazionali e possibile ipotizzare una roadmap per il governo italiano basata sulle seguenti azioni:

• analisi delle esperienze in corso nelle amministrazioni italiane;• analisi delle esperienze negli altri paesi con particolare attenzione alle azioni

finalizzate alla riduzione dei costi e alla creazione di posti di lavoro;• censimento dei dati center pubblci (l’ultimo risale per conto del CNIPA al

2006);• realizzazione di linee guida (valorizzando il lavoro attualmente svolto da

DIGITPA);• studio di fattibilità per un’iniziativa pubblica-privata volta a: o Consolidamento dei data center pubblici; o CloudPA italiana; o Application store per la PA.

I recenti bandi20 del Ministero per l’Istruzione, l’Università e la Ricerca de-dicati alle Smart Community e alle Smart City prevedono uno spazio di finan-ziamento per sperimentazioni di tecnologie cloud, ma sembra mancare, almeno per ora, una strategia complessiva di Governo che vada al di là delle pur lode-voli raccomandazioni di DigitPA.

20 http://www.istruzione.it/web/ministero/cs050312


Capitolo 2

Cloud-Computing: nuvola o sciame? un’apparente digressione filosofico-medicaDott. Gian Luigi Bianchin – Direttore dei Servizi Sociali Azienda ULSS n. 8 Regione Veneto, [email protected]

Abstract

L’autore propone alcune riflessioni sul tema del “cloud-computing”, a partire da suggestioni di origine letteraria (la commedia di Aristofane “Le nuvole”), filosofica (la dottrina medievale dell’“intelletto pubblico” di Averroè), scienti-fica (il concetto di “meme” proposto da R. Dawkins) e pratica (la tradizionale idea di “archivio” nella pubblica amministrazione). La conclusione getta uno sguardo sul senso della metafora.

* * *

L’uso metaforico dell’immagine della nuvola dovrebbe implicare almeno una precisazione: si tratta di bianche, vaporose, leggere nuvole primaverili o di nubi autunnali minacciose, scure, incombenti, gonfie di pioggia?

La nuvola informatica non sfugge a questa necessità, ma a differenza della nuvola atmosferica la risposta appare assai più complessa.

Tentiamo di delinearne alcuni possibili contorni, divagando liberamente (e con un po’ di fantasia) sul senso della metafora.1) Probabilmente la parola “nuvole” (nefélai) appare per la prima volta nella storia della cultura occidentale quale titolo di un’opera letteraria nella nota commedia di Aristofane, rappresentata alle Grandi Dionisie del 423 a.c. Nel testo, che costituisce un violento attacco contro la sofistica (a torto individuata dall’Autore nella figura di Socrate), le nuvole sono i membri del coro e rap-presentano divinità celesti oggetto di oziose e pericolose speculazioni da parte di pensatori, che del resto hanno “la testa tra le nuvole” dai tempi di Talete e che si propongono di insegnare ai giovani – dietro compenso – come usare a proprio vantaggio ogni tipo di argomentazione, trasformando un “discorso de-bole” in un “discorso forte” e vincente nelle sedi politiche, nei tribunali, nelle transazioni commerciali.

011-016 - Convegno Bianchin.indd 11 16/07/12 15.12

12 CLOUD COMPUTING: NUVOLA O SCIAME?

Possiamo partire da qui per individuare un primo problema: vi sono garan-zie sufficienti per un uso non doppio (appunto i “dissoi logoi” dei sofisti), non ambiguo, non strumentale dei dati di cui sono fatte le nuvole informatiche?

In realtà una più attenta lettura della commedia (si veda A. Grilli, 1998) suggerisce ulteriori considerazioni, che vanno oltre l’ambito di questo contri-buto, ma che sono utili a guardare meglio dentro la metafora. Per esempio al verso 348, dove Socrate dice delle nuvole che “gígnontai pánth’óti boúlontai” (“diventano ciò che vogliono”), individuandone un aspetto trasformistico e mimetico che connota la metafora informatica di suggestioni inquietanti. O al verso 814, dove il protagonista Strepsiade si trova a giurare “mà tèn Omíchlen” (“per la Nebbia”), con implicazioni che, al di là dei riferimenti religiosi propri del testo, suggeriscono pericolose evoluzioni della metafora della nuvola infor-matica in senso confusivo e opacizzante.

2) Le nuvole informatiche si aggiungono alla “rete”, la arricchiscono, la am-plificano e la complicano: dobbiamo immaginarci un mondo in cui ad ogni momento si muovono in ogni direzione miliardi di informazioni (=attività fi-siologica di base o “rumore di fondo”), si realizzano nuovi “contatti” (=nuove sinapsi), si creano e si consultano archivi (=attività immagazzinamento e di re-trieval mnemonici), si spostano masse di informazioni per utilizzarle, elaborar-le, ricomporle, eliminarle (=attività finalizzata, con coinvolgimento di aree col-legate). Tale gigantesca metafora del lavoro del cervello, esterna alle persone, ma alimentata da informazioni che appartengono a miliardi di singoli cervelli “biologici”, richiama suggestivamente per certi aspetti la dottrina averroista dell’“intelletto pubblico”, nota anche come “monopsichismo”.

Soprattutto tra i pensatori medievali di scuola araba, i diversi commenti ad Aristotele avevano portato a formulare una teoria per cui si riteneva che il processo della conoscenza avvenisse grazie all’intervento dell’intelletto agente (noûs poietikós) unico ed universale sull’intelletto materiale o potenziale (noûs ylikós) individuale, che costituiva l’elemento razionale dell’anima individuale.

Secondo Averroè invece l’intelletto materiale non può essere identificato con una proprietà dell’anima umana per le stesse ragioni per cui non può es-serlo l’intelletto agente: “... perché le forme intelligibili che sono il suo oggetto potenziale sono universali, eterne, indistruttibili e non lo sarebbero se seguis-sero le sorti dell’anima umana, che è diversa in diversi individui...e non pensa allo stesso modo in tutti” (N. Abbagnano, Storia della filosofia, 1993). “Per gli stessi motivi anche l’intelletto acquisito o speculativo che risulta dall’azione dell’intelletto agente sull’intelletto materiale o potenziale è uno in tutti gli uo-mini e separato dall’anima umana” (ibidem).

Non ci interessa naturalmente in questa sede il contenuto della teoria aver-roista, contro cui prese fortemente posizione tra gli altri Tommaso d’Aquino


CLOUD COMPUTING: NUVOLA O SCIAME? 13

(“De unitate intellectus, contra averroistas”, 1270) in difesa dell’anima indivi-duale. Ma ci pare suggestivo osservare come, al pari di tante altre teorie che sono state messe da parte nel corso della storia del pensiero umano, ma che presentano aspetti rilevanti anche indipendentemente dal contenuto teorico sensu stricto, l’idea di un’attività “simil-cerebrale” esterna agli individui biolo-gici sia per certi aspetti l’idea stessa dell’“intelligenza artificiale”.

Ci pare di ricavare da tutto ciò almeno un secondo problema: l’attività di elaborazione/computazione sui dati contenuti nelle nuvole informatiche av-viene indipendentemente dai cervelli biologici individuali ma riguarda infor-mazioni che provengono dalle persone. Non segna forse questo una sorta di “indipendenza” dalle singole persone di un’attività “simil-cerebrale” o “simil-mentale” (almeno secondo il modello computazionale della mente) che avviene al di fuori dei confini individuali ma che comunque riguarda intimamente gli esseri umani? In che modo l’attività delle nuvole informatiche può incrementa-re questa sorta di “cervello pubblico”, modificandone i rapporti con gli ambiti personali privati?

3) Da quando Richard Dawkins l’ha formulato nel suo libro straordinario “Il gene egoista” (1976), il concetto di “meme” ha provocato dibattiti e contro-versie assai accesi. Secondo la definizione dell’Autore il “meme” “è un’unità di trasmissione culturale o un’unità di imitazione”. “Proprio come i geni si propa-gano nel pool genico saltando di corpo in corpo tramite spermatozoi o cellule uovo, così i memi si propagano nel pool memico saltando di cervello in cervello tramite un processo che, in senso lato, si può chiamare imitazione”.

Queste entità culturali, che funzionerebbero come autentici “parassiti” dei cervelli umani, sono per Daniel Dennett (“L’evoluzione della libertà”, 2003) “strutture informative ingegnosamente progettate che si servono involontaria-mente di esseri pensanti, senza per questo essere loro stessi degli esseri pensan-ti. Non possiedono un sistema nervoso; non hanno neanche un corpo, almeno non nel senso ordinario del termine. Sono molto più simili a un virus...”.

Esempi di memi secondo Dawkins sono: “melodie, frasi, mode, modi di modellare vasi o costruire archi”. Poco dopo però l’Autore passa a considerare “l’idea di Dio”, di cui dice che “...non sappiamo in che modo si sia originata nel pool memico. Probabilmente si è originata molte volte per ‘mutazioni’ in-dipendenti. In ogni caso è molto antica..... e fornisce una risposta superficiale plausibile a problemi profondi ed inquietanti dell’esistenza”.

Non sappiamo se ed in quali modi sia stata considerata la possibile relazione tra memi, geni e psicopatologia.

Sappiamo però – a proposito delle idee deliranti – che, mentre i contenuti dei deliri tendono ad essere per lo più “storicamente declinati” (il megalomane attuale non si ritiene più Napoleone ed anche il delirante ipocondriaco può at-



tingere le proprie convinzioni patologiche ad una nosografia diversa da quella dei tempi di Ippocrate), vi sono esperienze deliranti più strettamente legate ad aspetti “culturali” (in senso antropologico) ed altre più riconducibili ad istanze “strutturali” della mente umana.

Per esempio: certi contenuti deliranti olotimici propri delle depressioni psi-cotiche riguardano temi quali l’inadeguatezza personale, la colpa, la punizione, la responsabilità nella rovina della famiglia, la dannazione, largamente ricon-ducibili ad istanze etiche e ad insegnamenti religiosi appresi e dunque “cultu-ralmente determinati”.

È noto per contro come un elemento psicopatologico fondamentale della condizione schizofrenica (sintomo “di primo rango” secondo la celebre defini-zione di Schneider, 1950) sia rappresentato dalle esperienze di diffusione, in-serzione, furto e trasmissione del pensiero. Tali esperienze non sembrano “cul-turalmente determinate” e paiono piuttosto riconducibili alla compromissione di una istanza biologica primaria fondamentale (geneticamente determinata?) per la specie homo sapiens: la difesa dei propri confini mentali individuali, definiti come confini dell’Io o del Sé. A questo stesso ambito possono inoltre riferirsi quelle esperienze schizofreniche che riguardano la violazione dei confi-ni corporei, quali le allucinazioni cenestesiche e cinestesiche e le esperienze di “passività somatica”.

Si potrebbe allora proporre di definire i deliri depressivi come “memetici” e le esperienze schizofreniche di passività mentale e somatica come “genetiche”.

Si tratta in realtà di una distinzione astratta, in quanto nel funzionamento mentale gli ambiti genetici e memetici appaiono saldamente e variamente in-trecciati e suscettibili di reciproco influenzamento. Ma in quale modo?

L’influenza della rete sul linguaggio è un esempio di possibile effetto me-metico su una funzione strutturale, biologica e putativamente genetica quale il linguaggio.

L’avvento di internet ha aumentato in maniera inimmaginabile per gli esseri umani la possibilità non solo di accedere ad informazioni di ogni genere ma anche di esprimersi e di comunicare con persone ed istituzioni; in questo senso la rete può apparire come “facilitazione” o “soluzione” di un’esigenza di rela-zionalità che è strutturale in homo sapiens e che si fonda su ciò che S.Pinkler ha definito “l’istinto del linguaggio”. Dunque, al pari dell’idea di Dio secondo Dawkins, questa azione della rete sul linguaggio può costituire un meme.

Assistiamo però all’emergere di comportamenti per cui da un lato l’effetto di “fascinazione” della rete esita in autentici fenomeni di dipendenza patolo-gica e dall’altro la stessa relazionalità diviene virtuale, generica, superficiale, funzionale più ad esigenze espressive che alla qualità dell’espressione (e della relazione), con effetti di modificazione del linguaggio stesso, che appare sem-


CLOUD COMPUTING: NUVOLA O SCIAME? 15

pre più regressivo, volgarizzato, banalizzato, infarcito di espressioni gergali e di codici, talora ai limiti dell’“idiosincrasia”.

Sembra proponibile allora una terza questione: può un meme, che si presen-ta come una facilitazione/soluzione culturale di un’istanza umana, rivelarsi non solo una “soluzione patologica” (come nel caso di disturbo di dipendenza dalla rete), ma anche un fattore di modificazione profonda di una funzione struttu-rale come il linguaggio? Possono le nuvole informatiche, amplificando la rete, intensificare questi effetti problematici?

4) Per passare infine a questioni più prosaiche, i servizi della pubblica am-ministrazione (ma più in generale ogni attività che implichi conservazione di dai) lavorano da sempre con un’idea di archivio fondata sulla conservazione dei dati in un luogo fisicamente definito ed immobile, sulla base del detto di Esiodo per cui la terra è “sede per sempre sicura”. La nuvola informatica tra-sforma radicalmente quest’idea: l’archivio diviene un’entità virtuale non loca-lizzata fisicamente ed anzi in potenziale, continuo movimento, con possibilità di migrazione in ogni area del pianeta, forse con preferenza per le zone fredde (il paese degli iperborei di cui parla Erodoto?), ma in ogni caso non ancorata ad una sede definita.

Ciò suggerisce un quarto problema: al di là delle tematiche più strettamente legali, a quali insicurezze possono essere esposti i dati in questa continua migra-zione? Come rassicurare persone ed istituzioni in modo convincente?

2.1 Conclusione

L’informatizzazione del pianeta è un evento straordinario di portata epocale. Il cloud-computing ne rappresenta un’espansione ricca di potenzialità ma anche di problemi. Abbiamo cercato di gettare uno sguardo su alcuni possibili pro-blemi a partire da quelle persone che, a differenza di coloro che appartengono felicemente alla “generazione digitale” (il cui Dasein può riassumersi nella for-mula: “sono connesso, dunque sono”) si sentono, o sono, o rischiano di diven-tare in qualche modo “sconnesse”.

Siamo consapevoli di trovarci già dentro nuvole elettroniche ed aggrovi-gliati in reti informatiche di cui fatichiamo a valutare adeguatamente l’impatto potenziale nella nostra vita e nel nostro futuro. C’è bisogno allora di una ri-flessione accurata che definisca e disciplini opportunamente il funzionamento delle nuvole e delle reti.

Ma per tornare alla metafora iniziale: siamo certi che si tratti proprio di nuvole?

Certo l’immagine della nuvola è positiva e rassicurante, però non sembra



accordarsi col ronzìo al quale ci hanno abituati tanti anni di uso quotidiano dei pc. Se dunque questa nuvola producesse un sia pur tenue ronzìo, dovremmo piuttosto pensare ad uno sciame in movimento, immagine non altrettanto se-rena e priva di inquietudini. Si dirà: ma che cosa potrebbe mai distruggere un innocuo sciame di dati informatici? Per esempio altre nuvole o altri sciami di dati.....

2.2 Ringraziamenti

L’autore ringrazia la figlia Marta per i preziosi suggerimenti e per l’aiuto sostan-ziale nella versione del testo in Lingua Inglese

Riferimenti bibliografici

[1] Aristofane: “Le nuvole”, a cura di A. Grilli, ed. RCS, Milano, 2001.[2] Nicola Abbagnano: “Storia della filosofia”, Vol. 2 “Il pensiero medievale e rina-

scimentale: dal misticismo a Bacone”, ed. Gruppo editoriale L’Espresso, Roma, 2006.[3] Tommaso d’Aquino: “De unitate intellectus, contra averroistas” (1270). Cit. in:

Sergio Landucci “La doppia verità”, ed. Feltrinelli, Milano, 2006.[4] Gorge Steiner: “Dieci (possibili) ragioni della tristezza del pensiero”, ed. Gar-

zanti, Milano, 2007.[5] Richard Dawkins: “Il gene egoista”, ed. Mondatori, Milano, 1992.[6] Daniel Dennett: “L’evoluzione della libertà”, ed. Raffaello Cortina, Milano,

2004.[7] Kurt Schneider: “Klinische Psychopathologie”, 3rd ed. Stuttgart: Thieme, 1950.

Cit. in: M. Shepherd e O.L. Zangwill: “Manuale Cambridge di Psichiatria”, Vol. 1, ed. Zanichelli, Bologna, 1984.

[8] Steven Pinker: “L’istinto del linguaggio“, ed. Mondatori, Milano 1997.[9] Esiodo: “Teogonia” v. 117, a cura di C. Cassanmagnago, ed. Bompiani, Milano,

2009.[10] Erodoto; “Le storie”,vol. 4, cap. 32-36, a cura di A Colonna e F. Bevilacqua,

ed. UTET. Torino, 2006.


Capitolo 3

Cloud Computing – Technology & Future scenarios the silicon valley visionDr. Burton H. Lee PhD MBA – Stanford University, School of Engineering, European Entrepreneurship & Innovation Program: [email protected]

Abstract

Cloud computing is emerging as a major paradigm shift in computing and di-gital technologies for the 21st century. Driven largely by the leading Internet, enterprise computing and e-commerce enterprises of the United States, cloud computing technologies offer important benefits and challenges for the global healthcare and digital innovation system at many levels. While the introduc-tion of cloud technologies in Europe promises to provide new opportunities to significantly reduce costs and expand patient services, the strong central role of government in European healthcare systems, along with policy and cultural constraints, appear to be slowing adoption of cloud technologies by leading he-alth institutions in many countries across the continent. This paper provides an overview of the emerging global cloud computing market, and addresses key opportunities, benefits and challenges in introducing “cloudtech” into current healthcare institutions, policy environments and business models in Europe and the United States. The author also offers a “back-of-the-envelope” asses-sment and comparison of the relative speed, magnitude and strength of digital healthcare innovation today across Europe vs the USA.

3.1 Introduction

Information and communications technologies (ICT) are undergoing seve-ral concurrent and inter-linked paradigm shifts across multiple domains that promise to fundamentally restructure the delivery and management of patient and institution-level healthcare information, services, products and processes around the globe. These emerging paradigms are built upon recent technology and business model innovations in the following hardware/software/applica-tion areas: cloud computing, “big data”, mobile devices, social media, gaming,

017-024 - Convegno Burton.indd 17 16/07/12 15.22

18 CLOUD COMPUTING: TECHNOLOGY & FUTURE SCENARIOS

video and open source. Established ICT enterprises and start-up companies out of the United States are leading the development and adoption of most of these technologies in consumer, industrial and government markets. The parti-cipation of European corporations and start-up firms in this digital innovation sector is also noted, but appears to significantly lag the USA in speed and ma-gnitude of development and adoption.

While the focus of this paper is specifically on cloud computing and its ap-plications in healthcare, we also touch upon the broader digital innovation pi-peline as it relates to medical and healthcare technologies, of which cloudtech forms one important piece and infrastructure element. In assessing prospects for adoption of cloud computing and related information technologies in Euro-pean vs US healthcare systems, we provide below a quick snapshot and compa-rison of digital healthcare innovation pipelines in Europe and the United States; this is not intended, however, as a comprehensive survey of the US v European digital medtech scenes. Our goal in making this assessment is to determine whe-ther the European digital healthcare innovation pipeline is sufficiently strong, fast, deep and broad to meet Europe’s healthcare modernization goals.

3.2 Cloud Computing Today and Future Prospects

Cloud computing is today experiencing rapid growth around the globe. Mar-ket size projections developed by Forrester Research suggest that the total glo-bal public cloud market will grow from $30 Bn in 2011 to $160 Bn in 2020 (see Fig 1). Major market segments include Infrastructure-as-a-Service (IaaS), Platform-as-a-Service (PaaS), Software-as-a-Service (Saas) and Business-Pro-cesses-as-a-Service (BPaaS). Of these, the SaaS segment is expected to see the largest growth.

These market estimates include healthcare sector applications of cloud computing services.

A. Adoption of Cloud Technologies by Enterprises

The benefits of adopting cloud computing can be grouped into three catego-ries: efficiency, agility and innovation (see Fig. 2). Of particular relevance here for the European healthcare sector and broader innovation system are the be-nefits: ‘tap into private sector innovation’ and ‘encourages entrepreneurial cul-ture’. The adoption of cloud computing in the United States has witnessed the concurrent growth of ICT startups focused on mobile and other applications that rely on backend cloudtech for data storage and management.


CLOUD COMPUTING: TECHNOLOGY & FUTURE SCENARIOS 19

Figura 3.1 Global Public Cloud Computing Market Growth Projections: 2011 - 2020

Source: Forrester Research, Inc.

Figura 3.2 Cloud Benefits vs Current Environment: Efficiency, Agility and Innovation



Figura 3.3 Reasons Customers Migrate to the Cloud Computing Environment: US & Europe Combined

Enterprise adoption of cloud computing is affected by several variables re-lating to total system cost, performance, reliability and external policy/legal issues (see Fig. 3). European adoption of cloud-based services generally lags the United States due to concerns about reliability and adherence to European privacy legislation, and a more conservative approach towards use of enterprise software systems by large enterprises and government institutions.

B. Adoption of Cloud Technologies in Healthcare – Business Drivers and Concerns

The adoption of cloud computing technologies in the US healthcare sector is motivated by four primary drivers: cost reductions, agility, availability, and healthcare utility and value-added services (see Fig. 4). Major concerns that are delaying the adoption of cloudtech in healthcare include security and privacy, data sovereignty, auditability and compliance, and ‘vendor lock-in’ (see Fig. 4).

Figura 3.4 Reasons Customers Migrate to the Cloud Computing Environment: US & Europe Combined



3.3 The Emerging Digital Healthcare Market and Innovation Pipeline – United States v Europe

The digital healthcare market space in the United States has expanded in recent years beyond traditional areas of interest – electronic health records (EHR) and enterprise management software – to include emerging applications in personalized medicine, genomics and DNA sequencing, eldercare, in-home healthcare, ubiquitous healthcare, telemedicine, mobile health and personal wellness (see Fig. 5).

Figura 3.5 The Emerging Digital Healthcare Marketplace – Beyond Enterprise Systems

A. The Vision from Silicon Valley

Silicon Valley’s vision of the future digital healthcare space is substantially broader than that of the mainstream healthcare industry in the United States, Europe and around the globe. Recent technology developments in cloud com-puting, mobile, genomics and DNA sequencing technologies, and wearable sensors, together with a strong dedication to personal wellness, health manage-ment and empowerment on behalf of consumers, are driving digital healthcare innovations in several new directions. Mobile ‘apps’ and a new tablet techno-logies are being combined with cloud-based data management solutions to ac-celerate the introduction of lower cost patient and health ICT management systems at the doctor’s office and clinic level (see Fig. 6). Rural populations are also likely to benefit from a new generation of mobile health applications.Surveys of US venture capital firm investment preferences also point to incre-asing deal flow and growing seed- and early-stage investment in start-ups in the healthcare IT, cloud computing, consumer Internet spaces for 2011 (see Fig. 7).



Figura 3.6 Driving New Digital Healthcare Innovations – Personal Healthcare Management

Figura 3.7 Survey of US VC Firms Indicates Increased Flow of Funds into Healthcare IT in 2011

A back-of-envelope survey of healthcare IT start-ups in Silicon Valley suggests a total US population of between 100 and 200 venture-backed digital healthca-re start-ups today.

B. The Digital Healthcare Innovation Pipeline in Europe – A Snapshot

In the interests of doing a rough comparison of digital healthcare innovation pipelines in the USA v Europe, the author undertook a small survey of digital healthcare deal flow in selected European countries. The table below summari-zes the results of this quick ‘snapshot’ of relevant venture investor/accelerator/entrepreneurship conference organizations in Italy, United Kingdom and Swe-den (see Fig. 8).

Although this small sample of the digital healthcare innovation pipeline in Italy, UK and Sweden does not fully and completely represent the state of



digital healthcare innovation in the European technology start-up sector to-day, it does strongly suggest that Europe substantially lags the United States in bringing new cloud computing, mobile and sensor technologies into its public national healthcare systems.

3.4 Conclusion

Cloud computing offers important opportunities for European healthcare sy-stems and institutions to improve enterprise management processes and pro-ductivity, patient services and quality of care, and medical innovation and en-trepreneurship. Whereas cloud computing in the USA is currently enabling an accelerated pace of medical innovation and start-up activity in key areas (personalized medicine, mobile healthcare, doctor office and clinic healthcare records management, and institution-level enterprise software systems), in Eu-rope structural bottlenecks and government-centric business models in natio-nal innovation and national healthcare systems will likely continue to slow the adoption of cloud computing and related digital healthcare technologies for the foreseeable future.

Acknowledgments

The author would like to thank Ulsassolo for their invitation to present this paper at the “Cloud Computing for Digital Healthcare” conference in Castel-franco Veneto, Italy on October 18 2011.


Capitolo 4

Data Analysis e Knowledge management su cloud per la sanità D. Talia* – *ICAR-CNR & Exeura s.r.l., Rende, Italy, [email protected]

Abstract

I dati in formato digitale oggi sono disponibili in quantità molto elevate e ne-cessitano di notevoli potenze di elaborazione per la loro gestione e per la loro analisi. Tramite l’uso integrato di sistemi Cloud e di tecniche di knowledge management e di data mining è possibile ottenere soluzioni di data analytics utili per i servizi di sanità digitale. Questo contributo discute brevemente l’uso di sistemi di Cloud Computing per la gestione della conoscenza e per l’analisi dei dati in un contesto sanitario.

4.1 Introduzione

Anche quando sono accessibili, a causa delle loro elevate dimensioni. oggi i dati memorizzati su computer, in molti settori, non possono essere letti dagli umani. Quindi le enormi quantità di dati disponibili oggi in formato digitale richiedono tecniche di gestione e di analisi (semi-)automatiche e intelligenti per aiutare le persone ad analizzarle. Per queste ragioni è necessario progettare e realizzare algoritmi, tecniche e sistemi scalabili data intensive che possano analizzare grandi quantità di dati in tempi limitati per estrarre la conoscenza che essi contengono [3].

Infatti, anche se la memorizzazione dei dati è un grande problema, un pro-blema più complesso è l’analisi, il cosiddetto mining, dei dati per renderli utili ed efficaci per chi li possiede o li usa. Le soluzioni avanzate di knowledge ma-nagement e di knowledge discovery oggi disponibili possono essere sfruttate per realizzare applicazioni di business intelligence anche nel settore della sanità sia per gli aspetti di cura, sia per gli aspetti gestionali e informativi.

025-028 - Convegno Talia.indd 25 16/07/12 15.23

26 DATA ANALYSIS E KNOWLEDGE MANAGEMENT SU CLOUD PER LA SANITÀ

4.2 Tecniche e applicazioni

La realizzazione di applicazioni avanzate di knowledge management e business intelligence richiede:

• Lapossibilitàdilavorarecontemporaneamentesuinformazioniditipoete-rogeneo [4];

• L’usoditecnichechecombinanolasemanticadelleregolelogicheconalgo-ritmi statistici/AI avanzati.

Le soluzioni possono essere di due tipi:

• Deduttive:basatesuapproccidiintelligenzaartificialederivantidallapro-grammazione logica disgiuntiva;

• Induttive:basatesutecnichedidata,texteprocessminingcheconsentonol’individuazione di regolarità all’interno di grandi quantità di dati.

Esempi di applicazioni di business intelligence nel settore sanitario sono i se-guenti:

• Classificazionedipazienti,cureediagnosi;• Analisicomportamentale,segmentazione;• Scoperta/ottimizzazionediprocessi;• Analisidelrischio;• Cruscottidirezionaliedanalisimultidimensionali;• Previsionedieventi/comportamenti.

4.3 Cloud Computing per data analysis

In questo scenario applicativo, i sistemi di Cloud computing forniscono un supporto computazione e di data access efficiente e scalabile. I sistemi Cloud permettono infatti l’esecuzione di applicazioni distribuite data intensive per il KM e il data mining su data center di grandi dimensioni Un sistema Cloud può essere usato come un framework integrato per gestire e elaborare dati sanitari attraverso una interfaccia service-oriented per fornire scalable e-health analitics services.

In particolare è possibile progettare servizi Cloud per l’analisi di dati attra-verso la realizzazione di singoli task di data mining o singoli passi del processo di knowledge discovery come singoli Cloud services. Inoltre, è possibile com-porre questi Cloud services elementari per realizzare servizi che implementano


DATA ANALYSIS E KNOWLEDGE MANAGEMENT SU CLOUD PER LA SANITÀ 27

pattern di data mining distribuito [2] o applicazioni di data analysis service-oriented su piattaforme Cloud.

Questo approccio permette ai progettisti di programmare applicazioni sca-labili di knowledge discovery come una composizione di servizi Web/Cloud singoli o aggregati in una infrastruttura distribuita service oriented. Gli ope-ratori finali potranno usare le applicazioni composte da collezioni di servizi Cloud per accedere, gestire e analizzare i dati di loro interesse.

Inparticolare, ilmodelloPaaS(PlatformasaService)è ilparadigmaap-propriato per costruire un ambiente Cloud per eseguire applicazioni di data analysis [1]. Allo stesso tempo, nel momento in cui le applicazioni di data analysis sono state sviluppate potranno essere eseguite su un sistema Cloud se-condoilmodelloSaaS(SoftwareasaService)persfruttareinodivirtualidiela-borazione e di storage che una infrastruttura Cloud può mettere a disposizione.

4.4 Conclusioni

Oggi siamo più capaci di memorizzare i dati che di analizzarli per comprendere il loro contenuto più utile. Per questa ragione, occorre sviluppare soluzioni hardware-software per rendere i data center “più intelligenti” e per ottenere risultati in tempi ridotti. L’integrazione dei sistemi di Cloud Computing con le tecniche di knowledge management e data mining offre soluzioni scalabili ed efficaci per i sistemi sanitari di oggi e di prossima generazione.


[1]F.Marozzo,D.Talia,P.Trunfio,«ACloudFrameworkforParameterSweepingDataMiningApplications».Proc.ofthe3rdIEEEInternationalConferenceonCloudComputingTechnologyandScience(CloudCom2011),Athens,Greece,IEEECom-puterSocietyPress,November2011.

[2]E.Cesario,D.Talia,«DistributedDataMiningPatternsandServices:AnAr-chitectureandExperiments».Concurrency and Computation: Practice and Experience, 2011.(toappear).

[3] D. Talia, P. Trunfio, “How Distributed Data Mining Tasks can Thrive asKnowledgeServices”.Communications of the ACM, vol. 53, n. 7, pp. 132--137, July 2010.

[4]M.Cannataro,D.Talia,G.Tradigo,P.Trunfio,P.Veltri,“SIGMCC:aSystemforSharingMetaPatientRecordsinaPeer-to-peerEnvironment”.Future Generation Computer Systems,vol.24,n.3,pp.222--234,ElsevierScience,March2008.


Capitolo 5

Understanding Cloud Computing. Technology, Competition, Environment and Finance*

by Federico Etro – University of Venice, Ca’ Foscari, Department of Economics – Oc-tober 2011

Abstract

The new market for cloud computing allows firms to rent computing power and storage from cloud computing providers, and to pay on demand, with a profound impact on the cost structure of all the industries, reducing IT spen-ding and turning some of the fixed IT costs into operative costs. The improved efficiency of IT spending will have a positive environmental impact through an improvement in power usage effectiveness. Moreover, the change in the cost structure will have a substantial impact on the incentives to create new busi-ness, and through this, on: market structures, investments and macroeconomic growth, on job creation in traditional industries and on the public sector.

Cloud computing is defined by the US National Institute for Standards and Technology as “a model for enabling convenient, on-demand network access to a shared pool of configurable computing resources (e.g., networks, servers, applications and services) that can be rapidly provisioned and released with mi-nimal management effort or service provider interaction.” It is general purpose technology able to improve productivity in all sectors and, at the same time, to have a positive environmental impact. Vaquero et al. (2009) define it as “a large pool of easily usable and accessible virtualized resources (such as hardware, development platforms and/or services). These resources can be dynamically reconfigured to adjust to a variable load (scale), allowing also for an optimum resource utilization. This pool of resources is typically exploited by a pay-per-use model in which guarantees are offered by the Infrastructure Provider by

* This paper was prepared for the Conference on Cloud Computing in Health (Castelfranco Veneto, October 18, 2011) and the ICTNET Workshop on ICT Enabled Innovation, Productivity and Growth (Mannheim, October 24-25, 2011). Contact: Federico Etro, University of Venice at Ca’ Foscari, Dept of Economics, and Intertic (www.intertic.org). Email: [email protected]. I am thankful to Andrea Colciago and Elena Stepanova for useful discussions on the topic.

029-046 - Convegno Etro.indd 29 16/07/12 15.23

30 UNIVERSTANDING CLOUD COMPUTING

means of customized Service Level Agreements”. The impact of its diffusion may be quite relevant, as it happened for the diffusion of telecommunications infrastructures in the 70s and 80s or the introduction of the Internet in the 90s (for an interesting study on this technological revolution see Varian et al., 2002) and, in general, for the diffusion of computers in the last three decades (see also Chang, Wills and De Roure, 2010, for a discussion on the incentives to adopt cloud solutions). In an important article, Jorgenson (2001) has shown how substantial has been the contribution of the adoption of the computer for the accumulation of capital and for the growth process of the US since the 80s.1

Through cloud computing, firms will be able to rent computing power (both hardware and software in their latest versions) and storage from a service provider, and to pay on demand, as they already do for other inputs as energy and electricity (the price of using a computer for a thousand hours is the same as that of using a thousand computers for one hour). This will have a profound impact on the cost structure of all the industries using hardware and software, and therefore it will have crucial consequences on:

– environmental impact of ICT;– business creation and macroeconomic performance;– public finance accounts.

In this study we examine the new market for cloud computing and evalua-te competition policy issues concerning the development of cloud computing providers, and we try to disentangle the three aspects above with reference to the European economy in the next few years. The first aspect is in line with our earlier results derived in Etro (2009,a), on the basis of recent research on endogenous market structures in macroeconomic models by Etro and Colciago (2010) and Colciago and Rossi (2011), and recently confirmed by Center for Economic and Business Research (2010): the diffusion of the new technology may create a few hundred thousands new European SMEs with a substantial impact on employment and a reduction of the unemployment rate of a few de-cimal points. Moreover, the net impact on employment derives from a high ra-tio between new jobs in all sectors and lost jobs in traditional ICT employment: the problem of reallocation of labor (within IT departments or between these and other IT-related sectors) may be quite limited. Finally, our simulation sug-gests that the corresponding impact on the deficit/GDP ratio should be around 0.1% in the pessimistic scenario and 0.2% in the optimistic one. Therefore, the introduction of a cost reducing technology as cloud computing, can have

1 Jorgenson (2001) estimates that computers contributed to 32% of TFP growth and software to 9% of it in the period 1995-1999.


UNIVERSTANDING CLOUD COMPUTING 31

a small but not negligible impact on public finances, even if it creates a mar-ginal reduction of the costs of the public sector. This happens because public finances benefit on one side from the direct reduction in costs, and on the other side from the additional tax revenue derived from the boost of the economic activity and the creation of new private business and jobs.

The paper is organized as follows. Section 1 reviews multiple aspects of the new technology. Section 2 is about competition issues in the market for cloud computing providers. Section 3 briefly introduces the economic impact of the new technology. Section 4 is about the environmental impact of cloud compu-ting. Section 5 is about its macroeconomic impact in the private sector, with a special emphasis on the labor market. Section 6 is about the consequence for European public finances. Section 7 concludes.

5.1 Introduction

A new general purpose technology as cloud computing can exert a number of effects on the economy. First of all, it can provide huge cost savings and more efficiency in large areas of the public sector including hospitals and healthcare (especially to provide information and technologies in remote or poorer loca-tions), education (especially for e-learning and universities) and the activity of government agencies with periodic spikes in usage.

A few examples from the European health sector are in order. We start from the most simple applications to move toward more relevant ones. One of the leading Italian hospitals, the Children’s Hospital of Bambin Gesù in Rome, has recently switched to an online solution for the email services of its 2500 em-ployees (the switch took place in 2010 in less than four months, created large cost savings and allowed IT specialists to focus on other more relevant tasks for the hospital). The Swedish Red Cross has improved the coordination of its intervention adopting a cloud computing solution which has reduced costs of about 20% and enhanced communication in real time between its employers. A Russian cardiovascular centre, Penza, has adopted a cloud computing solu-tion to coordinate activities, diagnosis and decisions on treatment and surgery between doctors around the country, with crucial gains for the patients. Du-ring the H1N1 pandemic, a global cloud computing tool was build and made available in a few days (based on the Microsoft’s Windows Azure platform) to centralize and provide information on the diffusion of the flu.

Second, beyond cost efficiencies, on which we will return soon, substantial positive externalities are expected from cloud computing because of energy savings: the improvement of energy efficiency may contribute to the reduction



of total carbon emissions in a substantial way. The costs savings associated with the new technology can improve PUE (power usage effectiveness) of the data centers, which is the ratio between the power drawn by the datacenter facility and the power delivered to hardware (the difference being used for cooling the IT equipment). This ratio is around PUE = 2 in the average datacenters (for every kWh of energy which is used to operate hardware, there is another kWh of energy used to cool the same hardware), but it could go down to PUE = 1.2 with the outsorcing of certain activities to cloud computing solutions in separate datacenters which can be built in colder regions with more efficient cooling systems. Beyond this, datacenters can derive from regions with low carbon emission factors.

Last, cloud computing can provide cost efficiencies in the private sector, whose exploitation in all industries is directly related to the diffusion of what Lanvin and Passman (2008) call e-business skills in the managerial environment (the capability of exploiting new opportunities provided by the ICT and to establish new business).2 The introduction of cloud computing can also crea-te multilateral network effects between businesses and increased productivity within businesses, and it can promote entry and innovation in all the sectors where ICT costs are relevant and are drastically reduced by the adoption of cloud computing.

In a recent research based on the works of Etro and Colciago (2010) and Colciago and Rossi (2011) we have provided the first simulation in the literature on the economic impact of the diffusion of cloud computing in Europe through the incentives to promote business creation (Etro, 2009,a). The initial adoption of cloud computing solution started in the U.S., followed by the countries of the European Union. While the focus was on Europe, it is clear that similar ide-as and results apply to other countries and also to developing countries, where there is an equally wide attention to the diffusion of this new technology – for instance see Kuyucu (2011) on Turkey or Center of Information Development (2010) on China. In perspective, the Chinese market, with its wide public sec-tor, could become a major area of development of cloud computing. According to the Center of Information Development (2010), Chinese local governments are investing heavily in setting up datacentres and the central government has designated cloud computing as a strategic new business for the next years.3

2 On the financial aspects of cloud computing see also Jäätmaa (2010).3 The Center estimates that the adoption by government agencies will increase the market size

from about 1.4 billion $ in 2009 to about 10 billion $ in 2012. However, residual challenges remain about the development of reliable service providers with applications, and security issues on privacy and data sovereignity.



They key point of our research is that, somewhat surprisingly, a big portion of the benefits associated with the diffusion of the new technology derives from indirect mechanisms active in non-ICT sectors rather than from the direct effi-ciencies in the ICT sector. Here, we report some refinements of this study which take in consideration aspects that were neglected in the earlier work, namely the decomposition of the process of job creation across countries and macrosectors and between job creation and job destruction, and the role of public finances.

Starting from conservative assumptions on the cost reduction process asso-ciated with the diffusion of cloud computing over five years, we obtain that the diffusion of cloud computing could provide a positive and substantial contri-bution to the annual growth rate (up to a few decimal points), helping to create several hundred thousands new jobs every year through the development of a few hundred thousands new SMEs in the whole EU-27. The driving mecha-nism behind the positive contribution works through the incentives to create new firms, and in particular SMEs. One of the main obstacles to entry in new markets is represented by the high up-front costs of entry, often associated with physical (and ICT) capital spending. Cloud computing allows potential entrants to save in the fixed costs associated with hardware/software adoption and with general ICT investment, and turns part of this capital expenditure into operative expenditure, that is in variable costs. This reduces the constraints on entry and promotes business creation. The importance of such a mechanism is well known at the policy level, especially in Europe, where SMEs play a crucial role in the production structure.

Cloud computing is currently developing along different concepts, focused on the provision of Infrastructure as a Service (IaaS: renting virtual machines), Platform as a Service (PaaS, on which software applications can run) or Softwa-re as a Service (SaaS: renting the full service, as for email). In preparation for its development, many hardware and software companies are investing to cre-ate new platforms able to attract customers “on the clouds”. Cloud platforms provide services to create applications in competition with or in alternative to on-premises platforms, the traditional platforms based on an operating system as a foundation, on a group of infrastructure services and on a set of packaged and custom applications. The crucial difference between the two platforms is that, while on-premises platforms are designed to support consumer-scale or enterprise-scale applications, cloud platforms can potentially support multiple users at a wider scale, namely at the Internet scale.4

4 In the business literature, cloud computing has been seen as the outcome of an evolution toward a utility business model in which computing capabilities are provided as a service (Brynjolfsson, Hofmann and Jordan, 2010).



The introduction of cloud computing is going to be gradual. Currently, we are still in the middle of a phase of preparation with a few services that can be regarded as belonging to cloud computing, often derived from internal solu-tions (turning private clouds into public ones). Amazon Cloud Computing was launched in October 2006, IBM’s Blue Cloud in November 2007, followed by cloud solutions by Google and Microsoft. Meanwhile, many large high-tech companies as Amazon, Google, Microsoft, Saleforce.com, Oracle and other CCP (Cloud Computing Providers) keep building huge data centres loaded with hundreds of thousands servers to be made available for customer needs in the near future.

5.2 Competition issues emerging from cloud computing

Competition between these CCPs is probably going to reshape the ICT market structure as PC distribution did in the 80s, with consequences also at the down-stream level, that of the ISPs (Internet Service Providers). This may raise some concern for competition and for the consequences on the users of cloud services.

Let us look at the upstream level. Notice that here, antitrust evaluation may concern a market definition ranging from the three separate aspects of cloud computing (IaaS, PaaS or SaaS) at national levels or the general market for IT services at the global level, but we believe that the most relevant market definition would probably include the three forms of clouds together and at a sovra-national level. Notice however, that in case of antitrust issues involving downstream companies, namely ISPs, market definition could be restricted to the national level, which is still the relevant one in each EU country for compe-tition between telecommunication providers – see Sluijs, Larouche and Sauter (2011) for a detailed discussion.

On one side, the strength of competition for the provision of cloud services suggests that multiple players (as those mentioned above and, possibly, others) would probably share the market for a while avoiding excessive concentration. The importance of cloud computing in changing the prevailing business model in ICT is determining wide investments in innovation by these same players, therefore the ultimate success in the cloud business will be associated with the creation of superior technologies rather than with the exploitation of network effects or barriers to entry.

On the other side, the development of alternative cloud computing solutions could create the risk of being locked-in for potential customers. To avoid this, it is important to promote, especially in this initial phase, agreements between public authorities and industry leaders on a minimum set of technological stan-



dards and process standards to be respected in the provision of cloud services to guarantee data security, privacy and portability.

For sure, the diffusion of cloud computing is going to create a solid and pervasive impact on the global economy. The first and most relevant benefit is associated with a generalized reduction of the fixed costs of entry and produc-tion, in terms of shifting fixed capital expenditure (CAPEX) in ICT into ope-rative costs (OPEX) depending on the size of demand and production. This contributes to reduce the barriers to entry especially for SMEs, as infrastruc-ture is owned by the provider, it does not need to be purchased for one-time or infrequent intensive computing tasks, and it generates quick scalability and growth. The consequences on the endogenous structure of the markets with largest cost savings will be wide, with entry of new SMEs, a reduction of the mark ups, and an increase in average and total production. In spite of the fact that the relative size of IT cloud services may remain limited in the next few years, they are destined to increase rapidly as a percentage of total IT revenues, and to have a relevant macroeconomic impact, especially in terms of creation of new SMEs and of employment. Cloud platforms and new data centres are creating a new level of infrastructures that global developers can exploit, espe-cially SMEs that are so common in Europe. This will open new investment and business opportunities currently blocked by the need of massive up-front in-vestments. The new platforms will enable different business models, including pay-as-you-go subscriptions for computing, storage, and/or IT management functions, which will allow small firms to scale up or down to meet the demand needs. This mechanism is going to be crucial in Europe because of the large presence of SMEs and of the higher risk aversion of the entrepreuners compa-red to their American counterparts (largely because of differences in the capital and credit markets and in the venture capital market): reduction of the fixed costs may reduce the risk of failure and promote entry even more.

5.3 Evaluating the impact of cloud computing

To evaluate the impact of cloud computing, we have adopted a macroeco-nomic approach emphasizing the effects that this innovation has on the cost structure of the firms investing in ICT and consequently the incentives to create and expand new business, on the market structure and on the level of competition in their sectors, and ultimately on the induced effects for ag-gregate production, employment and other macroeconomic variables. The methodology is based on a dynamic stochastic general equilibrium calibra-ted model augmented with endogenous market structures in line with re-



cent developments in the macroeconomic literature. The model follows the framework introduced by Etro and Colciago (2010) and Colciago and Etro (2010) and recently extended to include the dynamics of the labour market by Colciago and Rossi (2011), and it has been augmented with a public sector producing goods and services and, for the sake of simplicity, being financed with labor income taxation.5 Such a model is perturbed with a realistic struc-tural change to the cost structure, with the purpose of studying the short and long term reactions of the economy.

Our experiment is focused on Europe taking as given the rest of the world (which is an additional conservative hypothesis). Therefore, all our data derive from official EU statistics (Eurostat), mainly for the number of firms, which is basically equivalent to the number of small and medium size enterprises (SMEs), employment and gross domestic product. In particular, we used data for most of the EU member countries. Moreover, we focused on few aggregate sectors for which we have detailed and comparable EU statistics: manufac-turing, wholesale and retail trade; services including hotels and restaurants, transport storage and communication, real estate and other financial and busi-ness activities. These aggregate sectors cover the majority of firms in terms of number (more than 17 million firms) and a large part of employment for the European countries (about 114 million workers), and include all the sectors where the effects emphasized in our analysis are relevant, namely manufactu-ring and service sectors, where the use of ICT capital and the role of entry costs and competition effects are more relevant.6

Two key factors for the impact of cloud computing are, on one side, the size of the cost savings in ICT spending and, on the other side, the reduction of the fixed costs of production. On the first point, the business literature emphasizes large savings. IDC (2009) estimated a total cost reduction of about 50% or more in the private sector, but a more prudential estimate in a negative scena-rio could go down to 20%. Estimates for the public sector are more limited, ranging between a reduction in total costs of 10% in a pessimistic scenario and of 30% in an optimistic one (but West, 2010, suggests a range between 25% and 50% in successful cases). One should also keep in mind that the portion

5 See Ghironi and Melitz (2005), Bilbiie et al. (2007), Etro (2007a), Etro and Colciago (2010), Cecioni (2010), Lewis and Poilly (2010), Totzek (2011) and Colciago and Rossi (2011). See Etro (2009,b) for a survey.

6 We ignored other aggregate private sectors (as electricity, gas and water supply), where we believe that our mechanisms are either weaker or absent, or sectors where comparable data were not available. Country specific heterogeneity and sectoral differences were taken in consideration on the basis of statistics on the labor market and the entry/competitive conditions at the level of EU countries and their aggregate sectors.



of these potential benefits that will be translated on the private sector will also depend on the level of competition in the provision of cloud services: as men-tioned above while discussing the potential antitrust issues, we have reasons to believe that competition in the field will be strong enough to conjecture a wide translation of the cost savings.

On the second point, following Etro (2009,a), we adopted a conservative assumption for our macroeconomic investigation. One of the best reviews of the state of ICT in Europe is provided by the e-Business Watch of the Eu-ropean Commission. The 2006 e-Business Report provided a comprehensive survey of ICT adoption and spending, showing that 5% of total costs is spent in ICT. Since only part of the total cost corresponds to fixed costs of pro-duction, the average ICT budget must be more than 5% of the total fixed costs of production. Of course, only a part of ICT spending represents fixed costs, and only a part of it will be cut even after the adoption of cloud com-puting in alternative to a fully internal solution. For this reason, we decided to adopt a conservative assumption and to consider a range of reduction in the fixed costs in the long run between 1% and 5%. The same cost reduction is assumed to take place in the production of goods and services of the public sector. Our main purpose is to show that even such a limited technological change due to cloud computing delivers substantial effects at the macroecono-mic level. Needless to say, larger shocks will be associated with wider effects.

5.4 The environmental impact of cloud computing

Besides economic gains, substantial positive externalities are expected from cloud computing because of energy savings: the improvement of energy effi-ciency may contribute to the reduction of total carbon emissions in a substan-tial way (currently, ICT contributes to 2% of global CO2 emissions).

The costs savings associated with the new technology can improve the PUE (power usage effectiveness) of the datacenters, which is the ratio between the power drawn by the datacenter facility and the power delivered to hardware (the difference being used for cooling the IT equipment). This ratio is around PUE = 2 in the average datacenters (for every kWh of energy which is used to operate hardware, there is another kWh of energy used to cool the same hardware),7 but it could go down to PUE = 1.1/1.2 with the outsorcing of cer-

7 The US Agency for Environmental Protection has calculated a average PUE of 1,91 for US companies in 2007.



tain activities to cloud computing solutions in separate datacenters, which can be built in colder regions (as they currently are in Ireland, Scotland and other colder EU regions) and with more efficient cooling systems (as in the Google’s project of a submarine datacenter). In a recent study on the environmental aspects of the move to cloud computing, Accenture (2010) estimates energy savings that are variable with the size of the organizations: up to 90% for small ones with less than 100 users, between 60% and 90% for medium size orga-nizations with up to 1000 users and 30-60% for larger organizations with up to 10 thousand users: clearly this corresponds to large reductions in carbon emissions (by a third on average).

Beyond this, datacenters can be located in regions with low carbon emission factors. The gains can be larger (in terms of per-user energy use and carbon footprint) in case of small deployments, since these currently operate at low utilization levels (being idle during most of the day).

Of course, cloud computing can also contribute to reduce the emissions of non-ICT processes through its indirect impact. Therefore, larger cost savings and environmental gains are expected from the adoption of cloud computing in SMEs.

5.5 The impact of cloud computing on the private sector

In this section we report the results of our simulation for the introduction and diffusion of cloud computing in the European economy. We focus on the im-pact on GDP, business creation and employment (the role of the public sector will be considered in more detail in a subsequent section) in the short term, which is defined as a period of one year since the beginning of the process of adoption of cloud computing (say in 2012), and in the medium term, that is after five years (say in 2016). Two scenarios are considered: slow adoption corresponds to the case of a slow diffusion of the new technology leading to a 1% reduction of the fixed cost, and rapid adoption leading more rapidly to a 5% rapid reduction in the fixed costs. The calibration of the model and of the shock is the same adopted in Etro (2009,a).

The contribution to GDP growth can be hardly differentiated between countries and sectors, therefore we simply summarize our average estimates to the European countries. The range is between 0.1% a year in the short run un-der slow adoption and 0.4% in the medium run under fast adoption of cloud computing.

Before entering in further details, it is worthwhile to sketch the main mecha-nism emphasized in our model. The gradual introduction of cloud computing



reduces the fixed costs needed to enter in each (non-ICT) sector and increases the incentives to enter. This increases current and future competition in each market and tends to reduce the mark ups and increase production. The asso-ciated increase in labor demand induces an upward pressure on wages that induces workers to work more (or new agents to enter in the labor force). The current and expected increase in output affects the consumption/savings beha-vior. In the short run, the demand of new business creation requires and incre-ase in savings, which may induce a temporary negative impact on consumption. However, in the medium and long run the positive impact on output leads to an increase in consumption toward a higher steady state level. Of course, a faster adoption exerts a large impact on business creation and therefore on output and employment as well.

The simulation confirms our earlier result of a permanent creation of about 400 thousand new SMEs. The largest impact is expected to occur in the ag-gregate sectors of wholesale and retail trade (about 160 thousand new firms in the medium run under fast adoption) and of real estate and other financial and business activities (plus 150 thousand new SMEs). Our empirical exercise shows a strong impact on the creation of new SMEs, in the magnitude of a few hundred of thousand in the whole EU (again, this is additional to a normal situation without the introduction of cloud computing). Incidentally, this is consistent with the conclusions of studies by IDC (2009) arguing that cloud services could add $ 800 billion in net new business revenues between 2009 and 2013. Notice that the effect is permanent and tends to increase over time: the creation of new SMEs is not going to vanish, but it is going to remain over time with a permanent impact on the structure of the economy. Moreover, the effect is deeper in countries where the diffusion of SMEs is particularly strong (as in Italy) or where ICT adoption has been generally rapid (as in the UK).

We have also examined the impact on employment in each country with a distinction between aggregate sectors. Overall, the results country by country are similar to those found in our earlier study, and are in part affected by diffe-rences in labor market conditions, that tend to affect the ability of the economy to react to a positive change through job creation, in the regulatory framework and in the competitive conditions of the goods markets (which create the con-ditions for a quick business creation).

One should take the estimates on the impact on employment with care. Even if we took in consideration country specific factors related to the labor market conditions, our basic simulations emphasize the impact in terms of hours wor-ked, whose translation in new jobs depends on a number of institutional and structural features of the labor markets and their country-specific regulation. Keeping this in mind, we confirm the spirit of the results of our earlier study.



The introduction of cloud computing could create hundreds of thousand new jobs in a permanent way. Our simulation at the EU level suggests an initial cre-ation of about three hundred thousand new jobs under the scenario of a slow adoption and more than a million new jobs under our positive scenario. The positive contribution to employment would be reduced in the following years, with a range between 70 thousand and 700 thousand new jobs created in the fifth year of the adoption process. About two thirds of job creation is expected to occur in the six largest countries (United Kingdom, Germany, France, Po-land, Italy and Spain), but each country could enjoy an increase in the work force. The positive contribution of cloud computing to the net creation of new jobs can be translated in a quicker path of adjustment toward the long run equilibrium of the labour market, that is into a more rapid reduction of the unemployment rate. Our estimates of the reduction of the unemployment rate in the European countries due to the introduction of cloud computing remain between 0.1% and 0.3% in the short run and between 0.05% and 0.2% in the medium run. In other words, the process of adjustment of the unemployment rate toward its long run level in the next years could be substantially accelera-ted by a rapid adoption of the new technology throughout the economy.

While the nature of our experiment (a simulation) suggests that these results should be taken cum grano salis, the results also suggest the relevance of the mechanism underlying the diffusion of cloud computing. Most of the new jobs are expected in the manufacturing sector (31% for our countries), followed by the sector of wholesale and retail trade (28%) and the real estate and finance and other business activities (23%), with only a minor contribution by the sec-tor related to transport and communication (10%) and the one including hotel, restaurants, and related activities (8%). Nevertheless, the process of business creation is going to be highly differentiated across countries, for instance with a predominance of the manufacturing sector in industrial countries as Germany and Italy, but also in Eastern European countries with a less developed tertiary sector, of the financial sector in the UK and of trade and services in a country as Greece. Not by chance, 36% of the new jobs in Germany are expected from the manufacturing sector, 34% in Italy and percentages above 40% in the Czech Republic, Slovakia and Romania. At the same time, only 19% of the new jobs estimated in the UK derive from manufacturing, while 29% of them are expected in the macrosector including real estate, finance and other business activities. Finally, Greece can expect 56% of the new jobs from wholesale and retail trade and from services including hotels and restaurants.

The results of our simulation on employment refer to the net creation of jobs, which is the difference between new (non-ICT) jobs created in the eco-nomy and (ICT) jobs possibly lost during the process of technology adoption.



This leads to crucial questions on the decomposition of these figures between gross job creation and job destruction.

First of all, we need to emphasize that the social problems associated with the crowding out of ICT jobs may be much lower than one may expect. A first reason for this is implicit in the same nature of our results: as mentioned, a crucial benefit of the diffusion of cloud computing is associated with the push of the economy due new business creation, which in turn is by definition crea-ting new firms with the new technology without destroying any jobs associated with the old technologies. For this reason, a lot of the benefits of the adoption of cloud computing are completely unrelated to a process of job destruction.

A second reason is that cloud computing generates a range of innovation opportunities that can only br exploited by ICT departments after a fundamen-tal change of tasks. As noticed by Brynjolfsson, Hofmann and Jordan (2010), “the real strength of cloud computing is that it is a catalyst for more inno-vation. In fact, as cloud computing continues to become cheaper and more ubiquitous, the opportunities for combinatorial innovation will only grow. It is true that this inevitably requires more creativity and skill from IT and business executives.”

In countries with a more rigid labour market, short run costs of reallocation may emerge, and policy intervention in these cases may be useful. However, the results suggest that the problem of reallocation of labour following the diffu-sion of a new technology as cloud computing may be quite limited.

5.6 The impact of cloud computing in the public sector

The adoption of cloud computing in the public sector can also have a funda-mental role in the near future. A few business studies have investigated this aspect (see West, 2010) emphasizing a potential for a large impact on cost savings (due to the reduction of fixed costs and to multi-tenancy, that is the simultanoues use of common resources by different sectors of the public admi-nistration), though lower than in the private sector.

In the U.S. interesting examples are available both for local and central pu-blic authorities. The city of Los Angeles has switched to a Google-based online solution for its email services in 2009: the estimated cost reduction was around 25%, only nine jobs were gradually eliminated and almost 100 servers were relocated to a different use within the city administration. A similar switch took place in Washington, D.C. with estimated cost savings around 50%. At a smal-ler level, the switch to a Microsoft-based online solution of the email services of the Californian town of Carlsbad created cost savings of 40% per year (West,



2010). Even higher were the savings associated with the adoption of a cloud computing solution for service hosting and mapping technologies of the city of Miami, which also allowed the local authorities to introduce a new and more efficient system of control of the urban area. A SalesForce.com solution was employed by the U.S. State Department for budget information and led to cost reductions around 75%, while private clouds have been adopted by NASA and the U.S. Air Force. In September 2009 the Obama Administration has instituted the FCCI (Federal Cloud Computing Initiative), with the purpose of promoting standards and rules for the adoption of online services to reduce the $ 76 billion spending of the American government in IT.

In Europe, the most advanced country in terms of the adoption of cloud computing in the public sector is definitely the U.K., which is trying to move to the cloud its IT assets at a rate of 10% a year, a wise gradual approach to redu-ce the £ 16 billion spending of the British government in IT. Many other local public authorities and central ministries have started to switch toward cloud computing solutions. For instance, in 2010 the Ministry of Health of Belgium adopted the SharePoint platform hosted by Microsoft to organize the entire activities of the Presidency of the European Union in the second semester of the year: this has induced high cost efficiency and better organization. Other examples are abundant in public health and education. As mentioned above, in 2010 one of the leading Italian hospitals, the Pediatric Hospital of Bambin Gesù has switched to an online solution for the email services of its 2500 em-ployees. At the same time, a similar switch took place in a university centre ba-sed near Florence, the European University Institute (a EU-sponsored research centre in social sciences), which moved to the cloud mailboxes of about 2500 researchers, students and other staff. The switch took about four months, led to a hundred times more storage space and an improved web-based experience at substantial savings (estimated in 43% by EUI).

The costs savings associated with these experiences in the public sector should not be seen as the typical ones because of an endogeneity problem: the early adopters are naturally those who benefit the most. Nevertheless a range of cost savings between 10% and 40% appears reasonable in the public sector.

The introduction of the public sector and of labour taxation in our theore-tical model allows us to derive a few more implications. First of all, the mecha-nism of propagation of the effects of the new technology is slightly different. Following, standard assumptions, a fixed part of the initial income (before the introduction of the cost reducing technology) is destined to the production of public goods (20% as in standard macroeconomic simulations). The introduc-tion of the cost saving technology makes public spending more efficient, which translates in direct savings (of spending needed to create the same amount of



public goods), but does not create a multiplier effect (as in the private sector). However, the adoption of distorsive taxation needed to finance public spen-ding introduces new and more realistic mechanisms in the model. In particular, it strengthens the propagation of the technology change (because of a classic substitution effect: higher net wages enhance labor supply) and creates chan-ges in public finance accounts. Since we assume budget balance to start with (which sets the initial tax rate at the level needed to finance the initial amount of public spending), the simulation allows one to derive the impact of the intro-duction of a cost reducing technology on public finances. As for the simulation of the impact on GDP, we are not able to provide differentiated results for countries and sectors, but we can simply derive a summary result.

It is useful to remind the reader of the though experiment we have per-formed. The gradual introduction of cloud computing creates an expansion in the economy through new business creation, additional employment and additional income. For a given tax rate, this increases the tax revenues, which creates a surplus in the public accounts (that is assumed to be redistributed to the consumers). The sum of the direct savings from the adoption of cloud computing and the increased tax revenues represent together the additional amount that the public sector redistributes to the private one (which in turn is consumed and contributes to strengthen the expansion). This sum, expressed as a percentage of total income, can be interpreted as the improvement in the ratio deficit/GDP due to the introduction of the general purpose technology, which is what we are ultimately interested in.

We focus again on the impact in the short term, that is after one year, and in the medium term, that is after five years, in our two scenarios. The model suggests that the corresponding impact on the deficit/GDP ratio is about 0.1% in the pessimistic scenario and 0.2% in the optimistic one. In other words, the introduction of a cost reducing technology as cloud computing can have a small but not negligible impact on public finances, even if it only creates a mar-ginal reduction of the costs of the public sector. This happens because public finances benefit on one side from the direct reduction in costs, and on the other side on the additional tax revenues derived from the boost to the economy and to the creation of new private business.

A back of the envelop calculation confirms these numbers: if ICT spending is about 4% of GDP and a quarter of this (1%) is within the public sector, a cost reduction between 10% may imply an impact of 0.1% of GDP that could be moderately increased because of the indirect impact of the expansion of the private sector on taxation.



5.7 Conclusions

Part of the positive effects of cloud computing are going to be positively re-lated to the speed of adoption of the new technology. Of course there are a number of factors that may slow down this adoption, as a lack of understan-ding of the cloud by firms, systemic risk, security, privacy 8 and interoperability issues, reliability, jurisdictional complexity, data governance, loss of IT con-trol and general status quo inertia. For this reason, our investigation suggests that policymakers should promote as much as possible a rapid adoption of cloud computing. Concrete interventions include (beyond the expansion of the broadband capacity, of course):

– international agreements in favour of unrestricted flow of data across borders (since datacenters are located in different countries with different privacy laws, data portability remains a key issue for the diffusion of cloud compu-ting); and to agree with the industry leaders a minimum set of technological standards and process standards to be respected in the provision of cloud computing services to guarantee data security, privacy and portability, and promote a healthy diffusion of the new technology;

– introduction of fiscal incentives for the adoption of cloud computing and a specific promotion in particular dynamic sectors (for instance, governments could finance, up to a limit, the variable costs of computing for all the do-mestic and foreign firms that decide to adopt a cloud computing solution) or sectors were environmental gains are likely to be larger.

– introduction of public support to the reallocation of employment within the IT field (from IT departments especially of small firms toward different destinations in the IT sector).

These policies may be studied in such a way to optimize the process of adop-tion of the new technology and to strengthen the propagation of its benefits.

References

Accenture, 2010, Cloud Computing and Sustainabiluty: The Environmental Benefits of Moving to the Cloud, London.

8 See Ahmad (2010) on security risk issues and Ranganathan (2010) on privacy issues. The latter suggests that a way to overcome legal problems of privacy protection across countries could rely on technological solutions (including data encryption).



Ahmad, M., 2010, Security Risks of Cloud Computing and Its Emergence as 5th Utility Service, Information Security and Assurance. Communications in Computer and Information Science, 76, 209-219.

Bilbiie, F., F. Ghironi and M. Melitz, 2007, Endogenous Entry, Product Variety, and Business Cycles, NBER WP 13646.

Brynjolfsson, E., P. Hofmann and J. Jordan, 2010, Cloud Computing and Electricity: Beyond the Utility Model, Communications of the ACM, 53, 5, 32-34.

Cecioni, M., 2010, Firm entry, competitive pressures and the US inflation dyna-mics, mimeo, Bank of Italy.

Center of Information Development, 2010, Whitepaper on Cloud Industry Deve-lopment in China, CCID Group, Beijing.

Center for Economic and Business Research, 2010, The Cloud Dividend. The eco-nomic benefits of cloud computing to business and the wider EMEA economy, London.

Chang, V., Wills, G. and De Roure, D., 2010, Case Studies and Sustainability Mo-delling presented by Cloud Computing Business Framework, in press, International Journal of Web Services Research.

Colciago, A. and F. Etro, 2010, Real Business Cycles with Cournot Competition and Endogenous Entry, Journal of Macroeconomics, 32, 4 (December), 1101-17.

Colciago, A. and L. Rossi, 2011, Endogenous Market Structures and Labor Market Dynamics, mimeo, University of Milano Bicocca.

David, P., 1990, The Dynamo and the Computer: An Historical Perspective on the Modern Productivity Paradox, American Economic Review, 80, 2, 355-61.

Economist, 2008, Where the Cloud Meets the Ground, Report, October 25th, 387.Etro, F., 2007a, Endogenous Market Structures and Macroeconomic Theory, Re-

view of Business and Economics, 52, 4, 543-566.Etro, F., 2009a, The Economic Impact of Cloud Computing on Business Creation,

Employment and Output in the E.U., Review of Business and Economics, 54, 2, 179-208.

Etro, F., 2009b, Endogenous Market Structures and the Macroeconomy, New York and Berlin, Springer.

Etro, F. and A. Colciago, 2010, Endogenous Market Structure and the Business Cycle, The Economic Journal, Vol 120, 549, 1201-33.

European Commission, 2007, The European e-Business Report, 2006/07. A por-trait of e-business in 10 sectors of the EU economy, 5th Synthesis Report of the Secto-ral e-Business Watch, Brussels, European Commission.

Ghironi, F. and M. Melitz, 2005, International Trade and Macroeconomic Dyna-mics with Heterogenous Firms, Quarterly Journal of Economics, 120, 865-915.

International Data Corporation, 2008, IT Cloud Services Forecast -- 2008-2012: A Key Driver for Growth, mimeo, October 8.

International Data Corporation, 2009, White Paper. Aid to Recovery, October 9.Jäätmaa, Jaakko, 2010, Financial Aspects of Cloud Computing Business Models.Information Systems Science, mimeo, Department of Business Technology, Aalto

University School of Economics.



Jorgenson, D., 2001, Information Technology and the U.S. Economy, American Economic Review, 91, 1, 1-28.

Kuyucu, A.D.H., 2011, The playground of cloud computing in Turkey, Procedia Computer Science, 3, 459-63.

Lanvin, B. and P. Passman, 2008, Building E-skills for the Information Age, Chap-ter 1.6 in Global Information technology Report 2007-2008, WEF.

Lewis, V. and C. Poilly, 2010, Firm Entry and the Monetary Transmission Mecha-nism, mimeo, National Bank of Belgium.

Ranganathan, V., 2010, Privacy Issues with Cloud Applications, IS Channel, 5, 1, 16-20.

Sluijs, J., P. Larouche and W. Sauter, 2011, Cloud Computing in the EU Policy Sphere, mimeo, Tilec, Tilburg University.

Totzek, A., 2011, Banks, Oligopolistic Competition, and the Business Cycle: A New Financial Accelerator Approach, mimeo, Christian-Albrechts-University of Kiel.

Vaquero, L.M., L. Rodero-Merino, J. Caceres and M. Lindner, 2009, A Break in the Clouds. Towards a Cloud Definition, Computer Communications Review, 39, 1, 50-55.

Varian, H., R. E. Litan, A. Elder and J. Shutter, 2002, The Net Impact Study: The Projected Economic Benefits of the Internet in the United States, United Kingdom, France and Germany, mimeo 2.0.

West, D., 2010, Saving Money Through Cloud Computing, mimeo, Governance Studies at Brookings.


Capitolo 6

“Aspetti giuridici delle applicazioni di Cloud: un’analisi legale non solo delle criticità ma anche delle opportunità”Paolo Balboni – Direttore dell’European Privacy Association, Responsabile Affari Esteri e Cloud Computing Sector Director dell’Istituto Italiano Privacy, Partner di ICT Legal Consulting [email protected]

Nella mia relazione esporrò i principali risultati emersi dall’analisi legale, svolta sotto la mia direzione, nello studio ‘Security and Resilience in Governmental Clouds’ pubblicato all’inizio di quest’anno dall’ENISA (Agenzia Europea per la Sicurezza delle Reti e dell’Informazione). A tale studio hanno partecipato rappresentanti sia delle principali società multinazionali che erogano servizi di cloud computing che rappresentanti di governi, pubbliche amministrazioni, fornitori di servizi sanitari interessati come potenziali clienti-fruitori di servizi cloud. Lo scopo di questo studio consisteva nel cercare di capire se la presente offerta cloud fosse matura per offrire servizi in tale modalità alla PA, principal-mente in termini di sicurezza, affidabilità e rispetto delle normative applicabili. Per farlo ci si è basati su una serie di casi pratici. Quello relativo alla sanità ha una forte dimensione italiana, avendovi partecipato anche l’ULSS 8 di Asolo condividendo la propria esperienza. Più precisamente, lo scenario preso in considerazione riguardava un gruppo di ULSS/ASL italiane che valutavano la possibilità di un accordo quadro con un fornitore di servizi cloud per eventual-mente migrare sia servizi critici, come Fascicolo Sanitario Elettronico, referti on line, prenotazioni visite on line, etc.; che meno critici, come e-learning.

Prima di descrivere le criticità e le opportunità legali occorre introdurre brevemente le peculiarità del settore sanitario. La principale sfida nel breve e medio periodo di detto settore è indubbiamente rappresentata della gestione e controllo della spesa. L’imperativo è “fare di più con meno risorse!”. Il set-tore presenta altresì un’ulteriore complessità. Esso è particolarmente esposto al rischio di danni reputazioni derivanti da un malfunzionamento dei servizi erogati. Si pensi, ad esempio, se un’ULSS/ASL subisse un furto di dati dei propri assistiti e tale episodio fosse poi divulgato sui giornali e sul web. Ciò avrebbe un dirompente impatto per la direzione della ULSS/ASL in questio-ne, nonché per il governo regionale. Dobbiamo quindi prestare particolare attenzione essenzialmente a tre fattori: capire se le soluzioni tecnologiche che si vogliono utilizzare in questo settore siano sostenibili dal punto di vista: a)

047-052 - Convegno Balboni.indd 47 16/07/12 15.23

48 ASPETTI GIURIDICI DELLE APPLICAZIONI DI CLOUD

economico; b) tecnologico; e c) legale. La tecnologia e, in termini più ampi, l’innovazione sono possibili risposte alle necessità di fornire una qualità di servizi sempre più elevata, tenendo sotto controllo la spesa. A tal proposito si assiste ad una crescente tendenza a sviluppare servizi di sanità digitale. I fornitori di servizi sanitari, sia pubblici che privati, guardano con fortissimo interesse le nuove proposte cloud. A questo proposito lo studio svolto con ENISA ha sottolineato come: a) il cloud presenti una serie di soluzioni par-ticolarmente interessanti, sia dal punto di vista economico che tecnologico, per il settore sanitario; b) i fornitori di servizi sanitari sono particolarmente propensi ad iniziare una graduale migrazione verso il cloud; c) esiste una significativa barriera rappresentata da norme inadeguate a supportare questa migrazione. Inoltre, l’eHealth è un settore particolarmente regolato, dove le norme presentano forti disomogeneità nei ventisette stati membri. Ciò rende particolarmente difficile la circolazione/erogazione dei servizi sanitari nei di-versi paesi europei.

Non possiamo però che guardare con speranza il prossimo futuro, perché al momento le principali normative europee che bloccano lo sviluppo del cloud in questo settore sono sotto revisione. Siamo infatti nel bel mezzo del processo di revisione della Direttiva europea 95/46/CE sulla tutela dei dati personali, la prima bozza del nuovo testo dovrebbe essere divulgata dalla Commissione europea, se non entro l’anno, a gennaio del prossimo. Inoltre la Commissione sta altresì lavorando sul piano d’azione europeo in materia di sanità digitale che ispirerà interventi e obiettivi per gli anni dal 2012 al 2020 (c.d. eHealth Action Plan 2012-2020). Come European Privacy Association, partecipiamo attiva-mente e monitoriamo da vicino entrambi i processi e possiamo anticipare che porteranno novità con significativi impatti anche per l’applicazione dei servizi cloud al settore sanitario.

Ci focalizziamo ora sulle attuali problematiche legali più rilevanti nell’appli-cazione del cloud al settore sanitario (considerando che diversi punti dell’anali-si possono essere estesi alla PA in generale), soffermandoci con l’analisi soprat-tutto sule criticità relative alla privacy e tutela dei dati personali, di gran lunga le più avvertite sia dai fornitori di servizi cloud che dai loro (potenziali) clienti.

Privacy

Le principali criticità legali riguardano l’applicazione della normativa sulla tutela dei dati personali, amplificate in questo settore dal trattamento di dati sanitari, sottoposti a disposizioni specifiche e particolarmente stringenti. Il nodo cruciale sta nell’individuazione dei ruoli privacy dei soggetti coinvolti nel trattamento. Posto che il fornitore di servizi sanitari che acquista servizi


ASPETTI GIURIDICI DELLE APPLICAZIONI DI CLOUD 49

cloud è da considerare ‘Titolare’ (colui che decide finalità, modalità e profilo di sicurezza del trattamento dei dati dei pazienti); il problema si pone dal lato del fornitore di servizi cloud, che potrebbe, a seconda dei casi, essere considerato quale ‘Titolare’ autonomo o ‘Responsabile’ (soggetto preposto dal Titolare a svolgere attività di trattamento). Le conseguenze dell’allocazione dei ruoli si riflettono sia sulla legge applicabile che sulla definizione dei rispettivi obbli-ghi privacy e relative responsabilità. Questa incertezza impedisce di operare un’accurata valutazione del rischio legale e quindi di prendere una decisione informata circa la migrazione. Se tale situazione può essere gestita nel settore privato, dove esiste una maggiore propensione al rischio, nel settore pubblico – e con specifico riferimento a servizi sanitari – tale rischio non è sostenibile. Esistono infatti procedure di controllo e di governo dei dati molto dettagliate e stringenti, soprattutto con riferimento a quelli idonei a rivelare lo stato di sa-lute. Occorre quindi che i prossimi interventi a livello europeo chiariscano gli obblighi e le responsabilità delle parti coinvolte, superando formalismi legati a definizioni o ruoli.

Un’altra problematica sostanziale riguarda l’ambito di circolazione terri-toriale dei dati, soprattutto con riferimento a trasferimenti fuori dallo Spazio Economico Europeo (SEE) verso paesi che non offrono un livello di protezio-ne dei dati adeguato agli standard dell’UE. Le soluzioni cloud, basandosi su un’architettura distribuita, prevedono trasferimenti multipli anche al di fuori dallo SEE. La presente normativa non è adatta a supportare questa circolazio-ne. Occorrono nuove soluzioni per abilitare tali trasferimenti, assicurando una tutela concreta dei dati del paziente.

Controllo e governo sui dati

Un ulteriore criticità è rappresentata da un eventuale accesso ai dati che si trova nel cloud da parte di forze di polizia, governi stranieri, o comunque terze par-ti non autorizzate. Questo infatti potrebbe minare il concetto di riservatezza, confidenzialità e controllo dei dati da parte dell’amministrazione locale che li ha raccolti, che in certi casi è necessario per legge.

Interoperabilità, portabilità dei dati e ‘transfer back’ sono altre condizioni necessarie affinché i fornitori di servizi sanitari (e, più in generale, la PA) pos-sano usufruire di servizi in modalità cloud. Queste rappresentano condizioni volte a prevenire il cosiddetto ‘lock-in’ nei servizi di un cloud provider; ossia una dipendenza di fatto dai servizi erogati da quest’ultimo, senza la possibilità riprendersi i dati o di spostarsi su un altro cloud provider. Supponiamo che una ULSS/ASL decida di migrare i propri servizi sulla nuvola di un fornitore, a un certo punto ravvisi dei problemi (economici, di sicurezza, di rapporti di gestio-


50 ASPETTI GIURIDICI DELLE APPLICAZIONI DI CLOUD

ne, etc.) e voglia riportare ‘in house’ o affidare ad un altro fornitore i processi esternalizzati, insieme alle informazioni ed ai dati trattati.

Questo può avvenire solo se: (i) c’è interoperabilità tra i sistemi cloud; (ii) il fornitore di servizi cloud offre un significativo aiuto nel processo di riportare i processi e i dati in house (c.d. transfer back) o migrargli sulla piattaforma cloud di un altro fornitore. Ciò permette di realizzare quanto definito: portabilità dei dati, fondamentale nel settore sanitario al fine di assicurare il diritto alla cura del paziente su tutto il territorio europeo.

Trasparenza ed allocazione delle responsabilità

“Chi deve fare cosa nella nuvola e se qualcosa va storto di chi è la responsabilità e chi paga?”

Una risposta chiara e soddisfacente a questa pragmatica domanda è neces-saria per chiunque decida di migrare i propri servizi nel cloud, tanto più nel settore sanitario, vista la criticità dei servizi erogati e dei dati trattati. Al fine di poter operare una valutazione informata del servizio e dei relativi profili di responsabilità occorre avere trasparenza con riferimento ai soggetti coinvolti nell’erogazione del servizio cloud (infatti non è raro che ad esempio un servizio SaaS offerto da un fornitore venga erogato appoggiandosi su un servizio PaaS di un altro fornitore). Una volta conosciuti i soggetti coinvolti è fondamentale ricercare nel contratto (o condizioni generali) una chiara allocazione dei rispet-tivi obblighi e responsabilità.

Tre raccomandazioni

A conclusione di questa breve ricognizione sulle criticità legali, proponiamo tre raccomandazioni rivolte alle istituzioni europee coinvolte nel menzionato processo di revisione normativa:

1. Necessità di rivedere e armonizzare l’impianto normativo a livello comuni-tario e il momento è propizio, visto che siamo in fase di revisione della diret-tiva europea in materia di protezione dei dati personali e di determinazione del piano di azione europeo sull’eHealth 2012-2020.

2. Chiara determinazione delle responsabilità nella filiera di erogazione e di fruizione dei servizi in modalità cloud computing. Bisogna superare i forma-lismi nella distinzione tra titolare e responsabile del trattamento dei dati e concentrarsi su una chiara individuazione degli obblighi e delle responsabi-lità dei player di questa filiera, cioè di coloro che partecipano alla fruizione e all’erogazione del servizio.

3. Semplificazione delle norme sia in materia di tutela dei dati personali che


ASPETTI GIURIDICI DELLE APPLICAZIONI DI CLOUD 51

in materia di sanità digitale, in nome di una tutela effettiva e non teorico/burocratica dei diritti del soggetto interessato (paziente). Ci deve essere un numero giusto di regole chiare, non una sovra-regolamentazione che di fat-to non viene poi applicata.

Opportunità

In presenza di un impianto normativo coerente, il cloud potrebbe contribuire ad un migliore rispetto da parte dei fornitori di servizi sanitari della disciplina privacy. Una migliore sicurezza, garantita dagli investimenti e professionalità in materia che può garantire un grande fornitore di servizi cloud, rispetto ad una ULSS/ASL o un ospedale. Interoperabilità dei servizi sanitari, tramite l’u-tilizzo di standard condivisi, fondamentale per assicurare la portabilità dei dati sanitari per i pazienti e garantire il loro diritto alla cura ovunque si trovino in Europa (obiettivo che verrà ribadito nel piano d’azione europeo sull’eHealth 2012-2020). Inoltre, con il principio di Privacy by Design, che dovrebbe trovare attuazione nella revisione della normativa europea, i prodotti ed i servizi (dun-que anche quelli cloud) dovranno nascere con caratteristiche volte alla tutela della privacy.


Capitolo 7

Privacy e cloud compunting in sanità: un binomio difficile ma non impossibiledi Laura Ferola*

7.1 Lo scenario attuale: verso una crescente esigenza di modernizzazione del settore sanitario e di ottimizzazione dei servizi

Il trattamento delle informazioni personali in ambito sanitario rientra fra quelli che richiedono maggiore attenzione e cura in considerazione della particolare tipologia di dati sensibili che hanno ad oggetto, ovvero principalmente i dati idonei a rivelare lo stato di salute degli interessati. Del resto, non a caso il legi-slatore nazionale, anche in conformità alla normativa adottata a livello interna-zionale ed europeo, ha previsto specifiche e rigorose cautele per il trattamento dei predetti dati personali che, riguardando aspetti particolarmente delicati dell’individuo, espongono maggiormente la persona al potenziale, ma concreto pericolo di discriminazioni sociali.

Il trattamento di tali informazioni, tuttavia, va inquadrato in un mondo che si sta fortemente sviluppando e caratterizzando per l’aumento costante dei ser-vizi erogati, della quantità di dati gestiti, della complessità diagnostica (che richiede maggiore interazione con le diverse specializzazioni mediche), delle dimensioni dell’utenza e dello sviluppo tecnologico, che rendono complesso e costoso il mantenimento ed il governo delle complesse infrastrutture informa-tiche in house.

La diffusione degli strumenti e delle risorse informatiche nel processo di cura del paziente riguardano ormai diversi ambiti specifici: si pensi al tratta-mento delle immagini diagnostiche (in cui è ormai consolidato l’uso di archi-tetture RIS/PACS che comportano elevate dimensioni in termini di spazio, di memorizzazione e di risorse di calcolo per l’elaborazione delle immagini, anche

* Funzionario nella carriera direttiva presso il Garante per la protezione dei dati personali. Le opinioni espresse dall’autore nel presente articolo non impegnano sotto alcun profilo il Garante per la protezione dei dati personali.

053-058 - Convegno Ferola.indd 53 16/07/12 15.24

54 PRIVACY E CLOUD COMPUTING IN SANITÀ

per strutture di piccole dimensioni), al settore laboratoristico (un ospedale di medie dimensioni, infatti, arriva a trattare migliaia di richieste di esami al gior-no con un’estrema necessità di affidabilità, semplicità d’uso e flessibilità nelle configurazioni dei supporti informatici), ai referti, alle terapie e procedure at-tuate nel processo di cura o alle indagini genetiche che richiedono anch’esse il trattamento di ingenti quantitativi di informazioni1.

Le recenti politiche di e-Health, inoltre, impongono una necessaria rior-ganizzazione delle infrastrutture informatiche da parte dei diversi apparati pubblici, come previsto dal Codice dell’Amministrazione Digitale. In tale quadro, infatti, le aziende e gli organismi sanitari pubblici sono tenuti ad assi-curare la disponibilità, la gestione, l’accesso, la trasmissione, la conservazione e la fruibilità dell’informazione in modalità digitale utilizzando le tecnologie dell’informazione e della comunicazione nel rispetto della disciplina rilevan-te in materia di trattamento dei dati personali (art. 2, D.Lgs. 7 marzo 2005, n. 82).

7.2 La privacy nel cloud, tra vantaggi e criticità

Tutti i predetti fattori determinano un elevato incremento dei costi di approv-vigionamento e mantenimento delle infrastrutture ICT in ambito sanitario2, pertanto si registra una crescente propensione all’utilizzo di servizi di cloud computing che, come è noto, coniugano perfettamente evidenti razionalizza-zioni dei costi con moderni sistemi di sistematizzazione delle infrastrutture, ri-

1 Sul punto si rinvia a F. Deotto, Cloud Medicine: tra cartelle cliniche digitali e privacy, 23 settem-bre 2011, in http://daily.wired.it/news/scienza/2011/09/23/dati-clinici-digitali-privacy-14564.html. Cfr. altresì A. Osnaghi, Pubblica Amministrazione che si trasforma: Cloud Computing, Federalismo, Interoperabilità, Forum PA 11 maggio 2011- Prima conferenza nazionale sul cloud computing nella pubblica amministrazione, in http://saperi.forumpa.it/relazione/pubblica-amministrazione-che-si-trasforma-cloud-computing-federalismo-interoperabilita; DMO Staff (a cura di), La sanità è online, 9 aprile 2010, http://www.datamanager.it/rivista/emc-italy/la-sanit-online.

2 Secondo recenti rilevazioni, le voci di spesa per l’informatica e le telecomunicazioni nella sanità italiana riguardano soprattutto cartelle cliniche elettroniche, cloud computing e gestione amministra-tiva per le quali, nel 2010, gli investimenti hanno raggiunto un valore stimato di 920 milioni di euro. Dominano il settore pubblico le aziende sanitarie locali (Asl) e le aziende ospedaliere (Ao): insieme generano il 79% dell’impegno economico nelle ICT per la salute. Seguono gli ospedali privati con il 15% e gli istituti di ricovero e cura a carattere scientifico (Irccs) con il 6%. È la fotografia che emerge dallo studio “Osservatorio ICT in sanità”, coordinato dalla School of management del Politecnico di Milano. Così L. Dello Iacovo, Cartelle cliniche elettroniche e cloud computing. Così la sanità investe nell’innovazione tecnologica, in Il sole 24 ore, 3 maggio 2011, in http://www.ilsole24ore.com/art/tecnologie/2011-05-03/ict-ospedale-110556.shtml?uuid=Aa8PgwTD


A PRIVACY E CLOUD COMPUTING IN SANITÀ 55

organizzazione dei flussi informativi, fruibilità dei dati ed efficiente erogazione dei servizi3.

Il Garante per la protezione dei dati personali ha sempre incoraggiato e accom-pagnato il processo di ammodernamento burocratico e dei servizi, anche in ambito sanitario, basti pensare ai provvedimenti in materia di FSE4 e di referti on-line5.

Va infatti evidenziato che i sistemi informativi a supporto della sanità, pub-blica o privata che sia, pur garantendo un elevato grado di fruibilità, devono prima di tutto soddisfare elevati requisiti di affidabilità, sicurezza e, quindi, riservatezza dei dati trattati, in conformità a quanto stabilito dal Codice sulla privacy (D.Lgs. 30 giugno 2003, n. 196).

Va quindi tenuto presente che il ricorso al cloud computing comporta la mi-grazione di dati dai sistemi locali, sotto il diretto ed esclusivo controllo dell’u-tente (i.e. titolare del trattamento), ai sistemi remoti del fornitore, che assume un ruolo centrale in ordine alla sicurezza e disponibilità dei dati e, quindi, all’a-dozione delle misure necessarie a garantirla.

Inoltre, il servizio virtuale, che spesso è il risultato finale di una catena di trasformazione di servizi acquisiti presso altri service providers non sempre co-nosciuti dall’utente, in assenza di adeguate garanzie in merito alla qualità della connettività di rete, potrebbe occasionalmente risultare degradato in presenza di elevati picchi di traffico o addirittura indisponibile laddove si verifichino eventi anomali (es. guasti), impedendo l’accessibilità temporanea ai dati in esso allocati.

3 Sono numerose le esperienze che si stanno sviluppando in tale ambito: l’azienda ospedaliero-universitaria San Giovanni Battista di Torino-Molinette, per esempio, ha ricevuto nel 2011 un premio dal Politecnico di Milano per il progetto di assistenza radiologica a domicilio iniziato quattro anni fa: un’unità mobile permette di eseguire gli esami presso l’abitazione dei pazienti, successivamente le radiografie vengono inviate attraverso una connessione in banda larga (tramite una Vpn e un colle-gamento Umts) al reparto di radiologia e refertate in ospedale. L’Ospedale San Raffaele di Milano ha sviluppato un servizio di assistenza sanitaria domiciliare al fine di monitorare, eseguire la diagnosi e assistere in remoto i pazienti al di fuori del contesto ospedaliero. L’intero ciclo di cura, dalla prescri-zione all’erogazione, assunzione e rimborso, sarà archiviato in modo sicuro nel cloud è quindi reso accessibile a pazienti, medici e personale di farmacia, v. Tclouds, la rivoluzione del cloud computing, 23 novembre 2010, in http://www.ilmagazine.it/tclouds-la-rivoluzione-del-cloud-computing/2354/. Con la Carta della salute elettronica, l’Ospedale Pediatrico Bambino Gesù ha attuato la possibilità di effettuare prenotazioni, pagamenti, consultare i referti di analisi o altre indagini diagnostiche diret-tamente on-line, ricevere promemoria via sms e installare un’applicazione (app) per dispositivi che consente di accedere tramite il proprio telefono mobile ai servizi dell’Ospedale, v. Il tuo ospedale in un click, http://www.ospedalebambinogesu.it/Portale2008/Default.aspx?Iditem=4700

4 V. Prescrizioni in tema di Fascicolo sanitario elettronico (Fse), 16 luglio 2009 (pubblica-to in G.U. n. 178 del 3 agosto 2009; doc. web n. 1633793, in http://www.garanteprivacy.it); Li-nee guida in tema di Fascicolo sanitario elettronico (Fse) e di dossier sanitario, 16 luglio 2009 (pubblicato in G.U. n. 178 del 3 agosto 2009; doc. web n. 1634116.

5 V. Linee guida in tema di referti on-line, 19 novembre 2009 (pubblicato in G.U. n. 288 dell’11 dicembre 2009; doc. web n. 1679033).


56 PRIVACY E CLOUD COMPUTING IN SANITÀ

L’adozione da parte del fornitore del servizio di tecnologie proprie può, in taluni casi, rendere complessa per l’utente la portabilità o l’interoperabilità dei dati da un sistema cloud ad un altro o lo scambio di informazioni con soggetti che utilizzino servizi cloud di fornitori differenti.

Infine i dati vengono spesso conservati in luoghi geografici differenti, con normative anche molto diverse dalla nostra in materia di riservatezza.

7.3 La scheda di documentazione del Garante

L’adozione di servizi esternalizzati non esonera i soggetti che se ne avvalgo-no per la gestione del proprio patrimonio informativo dalle responsabilità che vengono loro attribuite, in particolare, dal Codice della privacy.

L’Autorità, nell’ottica di promuovere un utilizzo corretto di servizi erogati con tecnologie cloud, specie quelle pubbliche, ha predisposto un documento recante un primo insieme di accorgimenti di cui occorre tenere conto nel mo-mento in cui l’utente decide di avvalersi di tali servizi6 e che dovrebbero guida-re anche i fornitori nel formulare le loro offerte.

Gli utenti sono quindi invitati a valutare attentamente rischi e benefici dei servizi offerti, verificando la quantità e la tipologia di dati che intendono ester-nalizzare7, anche in relazione alle garanzie offerte dal fornitore per garantirne la portabilità, nonché la relativa confidenzialità e disponibilità a fronte di even-tuali e imprevisti malfunzionamenti della rete.

6 V. scheda di documentazione intitolata Cloud computing: indicazioni per l’utilizzo consapevole dei servizi, disponibile in http://www.garanteprivacy.it/garante/document?ID=1819933. Inoltre, per un’analisi esaustiva delle problematiche legate alla tutela della privacy si rinvia all’intervento audio del Prof. F. Pizzetti, Presidente Autorità Garante per la protezione dei dati personali, alla Prima confe-renza nazionale sul cloud computing nella pubblica amministrazione, Forum PA 11 maggio 2011, in http://saperi.forumpa.it/story/60491/1-conferenza-nazionale-del-cloud-computing-la-pa-line-gli-atti.

7 Su tali aspetti gli operatori si dimostrano ben cosapevoli e attenti. Ad esempio, tra le modalità di fruizione del cloud computing, il SaaS (Software as a Service) -che prevede la fornitura di applicativi utilizzando sistemi distribuiti, la cui gestione ed i cui costi sono a carico del fornitore che eroga il servizio e con un onere “a consumo” per il cliente-, nonostante i suoi molteplici vantaggi (gran parte delle applicazioni è ormai realizzata in modalità web, con conseguente eliminazione della necessità di onerose configurazioni presso l’utente), ad oggi, nel settore della sanità, non ha ancora raggiunto le quote di mercato degli altri settori, principalmente per i dubbi sulla sicurezza e per la necessità di aderire a normative stringenti, sia in ambito internazionale (Health Insurance Portability and Ac-countability Act, http://www.hipaa.org) che nazionale. Queste oggettive difficoltà fanno propendere il mondo sanitario per soluzioni di tipo Private Cloud Computing, in cui il servizio in modalità SaaS viene fornito su porzioni di infrastruttura dedicate in modo esclusivo ad un singolo ente. In tal senso A. Corona, Servizi informativi e cloud computing per la sanità, in http://www.caspur.it/Files/annual_report_2011/SERVIZI_INFORMATIVI_E_CLOUD_COMPUTING_PER_LA_SANITA.pdf


A PRIVACY E CLOUD COMPUTING IN SANITÀ 57

È fortemente auspicabile verificare sia le clausole contrattuali (con riferi-mento a misure di sicurezza, obblighi e responsabilità previsti anche in caso di accesso non consentito, smarrimento dei dati custoditi nella nuvola e di con-seguenze in caso di decisione di passaggio ad altro fornitore), sia lo Stato dove sono fisicamente ubicati i server sui quali vengono allocati i dati e, da ultimo, se le informazioni permangono nella disponibilità fisica dell’operatore propo-nente oppure se questi svolge un ruolo di intermediario (utilizzando a sua volta tecnologie di un operatore terzo, anche per stabilire la giurisdizione e la legge applicabile sia nel caso di controversie, sia nel trattamento dei dati).

Ulteriore accorgimento da adottare consiste nel verificare il termine ultimo, successivo alla scadenza del contratto, oltre il quale il fornitore cancella defini-tivamente i dati che gli vengono affidati.

7.4 Considerazioni conclusive

Il rispetto della privacy in senso lato rappresenta un aspetto particolarmente delicato dell’utilizzo di sistemi cloud, a causa della vulnerabilità degli archivi dematerializzati e in transito sulla rete, nonché della legge applicabile al trat-tamento o nell’ipotesi dell’insorgenza di un eventuale contenzioso tra utente e fornitore del servizio. La sfida è senza precedenti, specie nel mondo della sani-tà, pubblica e privata: oltre al necessario completamento della banda larga (in modo da offrire a tutti –persone fisiche, pubbliche amministrazioni, imprese, aziende e organismi sanitari- la possibilità di collegamenti rapidi alla rete per fruire dei servizi), occorre che tanto i pazienti quanto gli operatori possano avere la massima sicurezza sull’inviolabilità e il corretto trattamento delle infor-mazioni sensibili allocate nelle cloud.

Le nuove sfide poste sotto il profilo della riservatezza dal crescente utilizzo di servizi di cloud computing sicuramente costituiranno oggetto di opportu-ni approfondimenti del Garante, che non si esimerà dal favorire il progresso tecnologico, pur assicurando il rispetto del diritto alla privacy degli individui, come ha sempre fatto.


Capitolo 8

La carta di Castelfranco: Cloud Computing per l’E-HealthDott. Mario Po’ – Direttore Amministrativo Azienda ULSS n. 8 Regione Veneto, [email protected]

Abstract

Il cloud computing può sostenere significativamente lo sviluppo della sanità digitale.

Questo paradigma non è ancora ben conosciuto nelle sue potenzialità; inoltre, le problematiche connesse sono spesso considerate come una ragione bloccante, piuttosto che questioni da risolvere all’interno di una decisione fa-vorevole.

La carta di Castelfranco, grazie al Convegno organizzato il 18 ottobre 2011 dall’Azienda ULSS n. 8 di Asolo, nasce da questa riflessione. Per questo offre dei consigli in forma di raccomandazioni alle amministrazioni ospedaliere e sanitarie, sia per ciò che spetta a loro fare direttamente, sia per ciò che, compe-tendo ai fornitori IT, esse devono contrattualizzare o almeno promuovere nei partner tecnologici.

8.1 Introduzione

Il cloud computing può consentire ad un’Azienda sanitaria, che ha già fatto pas-si importanti nel rendere digitale la sua attività clinica, di far evolvere ulterior-mente i propri servizi. Un’opportunità diversa, parimenti importante, è data alle aziende sanitarie più in ritardo che per varie ragioni non hanno introdotto anco-ra la tecnologia ICT negli ambiti gestionali e sanitari della loro organizzazione.

Questa duplice chance rappresenta la ragione probabilmente più interes-sante per aprire le porte al cloud computing. Ciò non significa ignorare i pro-blemi, che richiamano nuove soluzioni e responsabilità; ma queste questioni non possono essere ritenute bloccanti, per cogliere invece i prevalenti vantaggi di una evoluzione che, comunque, si imporrà.

059-070 - Convegno Po.indd 59 16/07/12 15.24

60 LA CARTA DI CASTELFRANCO: CLOUD COMPUTING PER L’E-HEALTH

L’Azienda ULSS di Asolo opera con il digitale clinico avvalendosi di so-luzioni di sistema, gestendo flussi completi di attività, sino all’erogazione di prestazioni digitali ai cittadini. Questo posizionamento è stato reso possibile da alcune scelte preliminari assunte qualche anno fa; in particolare dall’allestimen-to di una rete geografica a banda larga di 1 Gbps, che collega le varie strutture aziendali dislocate in un territorio di circa 801 kmq, e dal funzionamento di una rete interna di 100 Mbps.

Una descrizione chiara del posizionamento dell’Azienda ULSS di Asolo ri-spetto ai 13 indicatori previsti dall’Unione Europea1 per definire gli obiettivi dell’Agenda digitale, è offerta dal grafico Fig. 1. Questo grafico indica la “rela-zione competitiva” che spinge le amministrazioni e le aziende dei Paesi euro-pei ad investire nel digitale per garantire ai cittadini dell’Europa servizi pari a quelli ottenuti dai cittadini di altre nazioni avanzate quali ad esempio gli Stati Uniti, il Canada, ecc..

Figura 8.1 Range da 0 a 5, in cui 0 equivale a 0% mentre 5 a 100%. n Italia; n UE; n ULSS Asolo.

1 Gli indicatori sono riferiti ad un sistema-Paese , ma senza eccessive forzature sono applicabili anche a singole amministrazioni, trattandosi di questi obiettivi: A. Connettività esterna; B. Banda larga > 50 mbps; C. Un solo sistema wireless; D. Una sola cartella clinica elett. (Epr) per tutti i dipartimenti; E. Sistema Pacs; F. Prescrizione elettronica (richieste verso farmacia ospedaliera); G. Sistema integrato di refertazione (sul CUP); H. Telemonitoraggio (telecardiologia); I. Scambio di informaz. sanitarie con cen-tri esterni (accesso al DataBase aziendale); L. Scambio di risultati di laborat. con centri esterni (accesso al DataBase aziendale); M. Scambio di dati radiologici con centri esterni (accesso al DataBase aziendale); N. Regole chiare sull’accesso ai dati clinici; O. sist. di allerta in emergenza (Eas) in meno di 24h.

059-070 - Convegno Po.indd 60 16/07/12 15.24

LA CARTA DI CASTELFRANCO: CLOUD COMPUTING PER L’E-HEALTH 61

8.2 Una chance per tutti

Il cloud computing, in questa fase temporale e tecnologica, è la risorsa più effi-cace per sbloccare la situazione di ritardo che si riscontra nelle organizzazioni sanitarie italiane, ma anche europee, rispetto alla tendenza presente nei Paesi più innovativi.

Infatti, il cloud ha la capacità di semplificare le dinamiche formative del fattore “domanda” nel mercato della sanità digitale, dato che il cliente può ridurre sensibilmente la sua competenza specialistica e la sua “cultura ICT”, evitando gran parte degli investimenti hardware più impegnativi, che in que-sti anni hanno bloccato molte amministrazioni ospedaliere. Ma l’impatto più significativo è riscontrabile nell’utilizzo “on demand” di piattaforme cliniche di servizi (radiologia, pronto soccorso, cardiologia, ecc.), in quanto l’ospedale non è più tenuto a realizzare progetti complessi (per acquisizione tecnologica, disponibilità finanziarie, dotazione sistemistica, ecc.), potendo concentrarsi in-vece sulla definizione accurata degli SLA da contrattualizzare. Viene così meno la preoccupazione di individuare risorse economiche da destinare ad investi-menti, in quanto gli impegni trattati vengono gestiti come costi di fornitura di servizi.

Analoghi vantaggi, anche se su scala inferiore, sono conseguibili con la so-luzione dell’acquisizione di funzioni di software. Ciò che, in ogni caso, interes-sa è la natura di “cliente puro” che l’amministrazione sanitaria può assumere con il cloud, senza caricarsi dei connotati attuali di “produttore/fornitore di se stesso”, che implicano competenze, responsabilità, complessità, organizzazio-ne oggettivamente importanti, che spiegano la loro azione attualmente scorag-giante su un sistema sanitario non molto innovativo.

Il cloud permette, dunque, di saltare alcune “fasi generazionali” tecnologi-che e gestionali ed offrire ad un sistema in ritardo le performance del servizio più avanzato, senza quegli obblighi progettuali, contrattuali ed operativi a cui si sono attenuti gli utenti precedenti.

8.3 Una roadmap per decidere

È strategica la formulazione di una roadmap; in questo modo un’azienda sani-taria definisce se passare e come passare al cloud, con tutte le varianti possibili.

Le questioni da affrontare sono molteplici; quelle principali, a nostro pare-re, sono le seguenti:

• elaborare un programma che riferisca dei vincoli, delle flessibilità, delle

059-070 - Convegno Po.indd 61 16/07/12 15.24


scadenze, delle potenzialità, della situazione tecnologica esistente; le pro-spettive esterne all’azienda che rappresentano il futuro clinico-digitale e tecno-gestionale verso cui tendere; le scelte compatibili di cambiamento dei paradigma cloud (IaaS, PaaS, SaaS);

• esplicitarelerisorseeconomichedisponibili,distinguendoquellecorrelatead interventi immediatamente sostitutivi di costi preesistenti da quelle ri-guardanti costi aggiuntivi (a loro volta destinati a durare od a cessare dopo una fase di parallelismo);

• definiregliSLAdelproviderchedeveinteragireconcapacitàcongliam-bienti clinici chiamati ad erogare trattamenti diagnostico-terapeutici, deri-vanti da un’esternalizzazione di cui si deve aver fiducia;

• valutare le implicazionie lechanceorganizzative interneall’ospedalechehanno un’efficacia significativa e di semplificazione nel passaggio al cloud, compensando anche aspetti impegnativi quali quelli detti prima.

Si può pensare che la roadmap abbia un’architettura piramidale (v. Fig. 2), nel senso di poter compiere una valutazione successiva soltanto se la precedente è risultata soddisfacente o completata, secondo una sequenza logica dal basso all’alto in cui l’economia del processo governa le varie fasi e determina, su un lato, il “peso” singolo di ogni gradino e step progettuali, decisionali, operativi e, su un altro alto, il “peso” cumulato della progressione attuativa del procedi-mento:

Figura 8.2 I gradini “pesati” della roadmap

059-070 - Convegno Po.indd 62 16/07/12 15.24


8.4 La Carta di Castelfranco per gli utenti

La roadmap del cloud sanitario è probabilmente il punto decisivo dei dodici punti che costituiscono il contenuto della Carta di Castelfranco. Questa di-chiarazione racchiude in uno stesso testo strutturato le varie conclusioni dei contributi presentati dai relatori al Convegno del 18 ottobre 2011, tenutosi a Castelfranco Veneto, sul tema “Cloud Computing per la Sanità Digitale”.

La Carta si presenta come uno strumento di aiuto per le aziende che pro-gettano di introdurre in ospedale, soprattutto in ambiti clinici, soluzioni cloud computing. Essa è quindi la sintesi delle questioni che un cliente responsabile, a mio parere, dovrebbe porsi.

Questi dodici punti sono raggruppabili in cinque ambiti, per omogeneità di problematica:

A. Raccomandazioni per condizioni e attività preliminari:1. Operare con una rete a banda larga ridondata, per la connessione tra strut-

ture ospedaliere, medici, cittadini e provider.2. Accertare preliminarmente l’utilizzabilità del “private cloud”, prima di de-

cidere di avvalersi di un “public cloud”.3. Predisporre una roadmap per portare al cloud computing i sistemi ospeda-

lieri disponibili, secondo condizioni sostenibili di tipo economico, gestiona-le e di sicurezza.

B. Raccomandazioni per garanzie dai fornitori:4. Accertare la conservazione dei dati clinici in data center situati in un Paese

U.E., con garanzia di applicazione delle norme e della giurisdizione italiane, se diverse da quelle europee.

5. Richiedere ai provider garanzie di: • interoperabilitàtrasistemiospedalieriintra-cloud,inter-cloudesistemi

cloud con no-cloud; • portabilitàdeidatineicasidipassaggioadaltrofornitore.6. Richiedere ai provider garanzie di continuità operativa permanente dei si-

stemi in cloud computing.C. Raccomandazioni per attività di controllo:7. Specificare la policy di gestione del fornitore per l’attività di salvataggio/

backup dei dati clinici on the cloud.8. Monitorare l’esclusione di ingerenze esterne nei dati clinici cloud, consen-

tendo sempre l’accesso ai sistemi da parte delle autorità preposte.

D. Raccomandazioni per profilo del provider:9. Formalizzare la responsabilità del provider nelle ipotesi di smarrimento,

059-070 - Convegno Po.indd 63 16/07/12 15.24


perdita e sottrazione dei dati clinici, sospensione della continuità operativa, crisi di interoperabilità.

10. Verificare la confidenza dei provider rispetto ai processi clinici e all’organiz-zazione ospedaliera.

E. Raccomandazioni per organizzazione dell’azienda sanitaria:11. Disporre l’evoluzione della struttura ICT ospedaliera verso competenze ser-

vice management.12. Istituire un “Privacy and risk manager ospedaliero” per la protezione, ge-

stione, sicurezza dei dati cliniciQueste raccomandazioni derivano da un’impostazione secondo cui il cloud: • segnaunanuovastradaperaccrescerecapacitàoperativeeprodurreser-

vizi sanitari e clinici; • fuoriescepermoltiaspettidalleregoleesistenti,noninterminidiscelta

di conflitto, ma per il suo intrinseco carattere di nuova risorsa globale; • halapotenzialitàdioffriresueregole; • suggeriscediripensaretutele,vincoli,compatibilitàdefinitecongliattua-

li paradigmi.

Questa complessiva considerazione, che attribuisce al cloud opportunità di tra-sformazione dell’attuale situazione non ignora alcuni problemi e rischi correla-ti, che del resto emergono da alcune raccomandazioni della Carta. Ma l’enfasi positiva tende ad investire sulla capacità intrinseca al cloud di “saltare” alcuni ritardi consolidati, presenti nelle organizzazioni sanitarie, di cui non si vede, peraltro, dopo molti progetti, un facile superamento.

Su questo piano un’indicazione utile è contenuta nell’undicesima raccoman-dazione, quale consiglio rivolto alla revisione della struttura ICT dell’Ospedale od alla sua nuova costituzione.

8.5 Il CIO con il cloud può generare innovazione

Un fatto non trascurabile, proprio per l’handicap consolidato nel digitale che hanno le organizzazioni ICT delle aziende sanitarie ed ospedaliere, è costituito dal nuovo posizionamento e le nuove attività del CIO (Chief Information Offi-ce) e della sua struttura, che il cloud computing rende necessarie.

I responsabili della gestione dei sistemi informativi aziendali con il cloud cambiano volto, passando da un ruolo tecnico ad un ruolo di management, as-sumendo cioè la missione di trasformare la dotazione IT da costo fisso a fattore evolutivo dell’azienda. Le nuove infrastrutture date dal cloud sono meno rigide e pesano molto meno economicamente. Per questo le scelte tecniche che ha in

059-070 - Convegno Po.indd 64 16/07/12 15.24


Figura 8.3 Una nuvola di soluzioni

mano il CIO possono avere un grande rebound economico e dare una spinta accelerata verso lo sviluppo.

Tutta la struttura dell’information technology deve riqualificarsi e riconver-tirsi per diventare un interlocutore di business dei provider; essa può elaborare progetti senza più richiedere una spesa in conto capitale. Per questo, sfruttan-do le nuove opportunità, sempre meno si occuperà dell’acquisizione di tecno-logia e sempre più di soluzioni aziendali (v. Fig. 3).

Questo processo può aiutare a risolvere la situazione critica delle organiz-zazioni sanitarie che oggi non dispongono di risorse professionali importanti dedicate e proprio per questo in ritardo e carenti di iniziative e risultati; esse oggi non riescono, forse, neppure a progettare un’alternativa di rilancio, fino a che permangono gli attuali livelli richiesti per una struttura aziendale che deve essere autonoma.

Questa struttura deve dialogare efficacemente con il provider cloud; anzi, deve saper esprimere una capacità di governance di tale rapporto, che può essere anche plurilaterale, dovendo mantenere spesso introduzioni di vari part-ner tecnologici. Ma quali caratteristiche d’azione devono avere questi protago-nisti sempre più pervasivi dell’assistenza sanitaria?

8.6 Il provider cloud in confidenza con l’ospedale?

La decima raccomandazione suggerisce di accertare se il provider cloud abbia sufficiente confidenza dei processi clinici in cui si inserisce e, parallelamente,

059-070 - Convegno Po.indd 65 16/07/12 15.24


se egli stesso la promuova. Confidenza è più di conoscenza. È, innanzitutto, il presupposto della rinuncia a disporre di una struttura ospedaliera che lavori di-rettamente sull’IT, perché il partner tecnologico ha, tra l’altro, capito la cultura, l’etica, l’organizzazione, ecc. dell’ambiente ospedaliero.

Questo requisito è irrinunciabile in capo a società che non possono consi-derare l’ospedale come un ambiente più o meno complesso, approcciabile però come altre organizzazioni.

Dobbiamo attenderci che il provider abbia confidenza in tre situazioni:

a) confidenza con i sistemi: sistemi tecnologici, professionali, operativi, nor-mativi, economici. Cioè con la comprensione che ogni elemento della strut-tura è sistemico e così lo deve essere nel suo disegno di presenza anche ogni progetto e soluzione;

b) confidenza con i processi: processi clinici tecnici, ingegneristici, gestionali, in quanto ogni caso trattato ed ogni dato è definibile soltanto attraverso un’azione di processo, che non ne riduca innaturalmente la portata ad una o poche fasi, perché la sostanza del processo è la persona curata;

c) confidenza con il linguaggio: linguaggio del processo clinico, dei vincoli etici, delle risorse umane assegnate, delle regole di governo dell’azione sani-taria.

Questi “requisiti di confidenza” sono un impegno di lavoro per il provider cloud, che, quando si propone all’Ospedale cliente, pensa di essere idoneo perché possiede un’adeguatezza tecnologica provata in altri ambiti gestionali-applicativi (un contesto bancario, un’attività alberghiera, un’organizzazione universitaria, ecc.) Le criticità e le delusioni possono determinarsi quando ap-punto si constata che ciò che è adeguato per un certo contesto non lo è assolu-tamente per un ospedale.

Da qui l’esigenza di lavorare da subito progettualmente, in termini speciali-stici, per un cloud computing per la sanità digitale.

8.7 Regole per il Cloud

Il cloud computing si afferma in modo inarrestabile per i vantaggi pratici ed economici che garantisce. Le regole di un’epoca e di una concezione pre-cloud prodotte da Paesi e Continenti conservatori come l’Italia e l’Europa posso-no però ostacolare la sua diffusione. Se questo dovesse perdurare nel medio periodo, perderemmo un’opportunità di evoluzione strategica, caricando sui cittadini europei costi e sottraendo loro servizi, diversamente da quanto accade negli USA, in Canada, ecc..

059-070 - Convegno Po.indd 66 16/07/12 15.24


Gli standard di confronto nel cloud sono ovviamente globalizzati, cioè mondiali; anzi, il cloud è proprio uno dei risultati buoni della globalizzazione in senso complessivo e tecnologico in particolare.

Possiamo decidere di mantenere regole pre-cloud, più o meno aggiornate, comunque costose e complesse, ma dobbiamo determinare anche ciò che per-diamo di per sé e rispetto ad altre parti nel mondo. Ciò vale anche per le regole rivolte ai sistemi sanitari in cloud.

Ad esempio, la quarta raccomandazione della nostra Carta suggerisce che la conservazione dei dati clinici debba avvenire in un data center collocato in un Paese dell’U.E.. Questo consiglio raccoglie le indicazioni del dibattito europeo sull’argomento e l’attuale regolamentazione. Però, ci sono sufficienti motivi per non ammettere la localizzazione di un data center in Norvegia o negli USA, mentre lo si può prevedere in Grecia o in Romania? I data center di molte aziende che si occupano di telemonitoraggio di soggetti cardiopatici non stanno nei Paesi dell’Unione Europea; né quelli delle grandi compagnie che mantengono la posta elettronica di un ospedale; né quelli che conservano immagini digitali cliniche.

Probabilmente, bisogna pensare che le regole e le norme devono nascere e tener conto della nuova realtà, per indirizzarla, incoraggiarla e controllarla nella sua normalità. Senza assumersi, però, il ruolo improprio di regolazione-creazione delle sue potenzialità. Il cloud, in sintesi, non può essere amministra-to dalle regole riviste dell’epoca pre-cloud.

Dobbiamo evitare, tuttavia, il rischio opposto; cioè che sia la forza del cloud computing, a dettare le regole. Per questo dobbiamo, con la piena capacità di comprendere il fenomeno nuovo, produrre norme costruite sulla sua fisiologia, anche partendo, senza esserne soggiogati, dalle preoccupazioni dei consuma-tori2.

8.8 Cloud Computing e dinamiche job creation

Il 75% della spesa IT è riferito oggi alla manutenzione dei sistemi esistenti, agli aggiornamenti periodici, ai costi del progresso (legacy drag). Tutto ciò cam-bia profondamente con il cloud computing, che permette di liberare risorse da investire nell’innovazione tecnologica finalizzata a sostenere l’innovazione aziendale.

2 Secondo i risultati di Global Risk Study 2010, nell’accesso, utilizzo e controllo dei dati, in soluzioni cloud i consumatori sono preoccupati per la loro privacy con un peso del 77%, per la perdita di dati al 50%, per la sicurezza della rete aziendale al 23%.

059-070 - Convegno Po.indd 67 16/07/12 15.24


Questa direzione, secondo alcune analisi3, si tradurrà, da qui al 2015 in una crescita dei posti di lavoro determinati dal cloud. Attualmente in Italia gli addetti impegnati nella “nuvola” sono 67.500; nel 2015 saranno più alti del 125% (la Francia registrerà una crescita del 137%, il Regno Unito del 108%, la Germania del 135%, la Spagna del 139%, Israele del 137%, la Polonia del 168%). Su scala mondiale, in cinque anni, la crescita dei posti di lavoro sarà di 14 milioni di addetti (Cina ed India insieme ne avranno in più quasi 7 milioni).

Questo fenomeno, considerato rispetto ai settori economici, mostra una di-namica molto diversa, in quanto l’applicazione del cloud computing alle atti-vità sanitarie, ove la tecnologia è molto diffusa (v. Fig. 4), è invece più debole degli altri ambiti, a causa delle preoccupazioni per la sicurezza, il “pregiudizio clinico”, i vincoli normativi e, probabilmente, per la difficoltà industriale e di confidenza dei sistemi ospedalieri, di cui abbiamo fatto cenno prima, che limi-tano i fornitori.

Figura 8.4 La dinamica “job creation

3 vds. “Cloud computing’s role in job creation”, Microsoft-Idc 2011

059-070 - Convegno Po.indd 68 16/07/12 15.24


8.9 Conclusioni

Questa informazione ci porta ad una riflessione complessiva e conclusiva parti-colarmente motivata per il panorama italiano. Le raccomandazioni della Carta di Castelfranco nascono anche dalla constatazione che, nell’affermazione dell’e-health, al “digital divide”, che deprime oggi ancora molte organizzazioni sanita-rie tra Paese e Paese e tra vari settori di servizi, si aggiunge un “cloud computing divide”. È uno specifico gap di sviluppo che rispecchia una società con una consistenza ed una tipologia di attività sanitarie ridotte digitali ed ottenute ad un costo più elevato rispetto a ciò che sarebbe possibile con il nuovo paradigma.

Per questo la Carta di Castelfranco cerca un equilibrio tra vincoli e pro-spettive, cogliendo con ottimismo tutta la potenzialità del cloud computing affinché diventi “azione” dell’e-health.


[1] J. Ericson, Health intelligence: An End to “Needless”, Information Mangement, February 2012.

[2] G. Armellin, D. Betti, F. Casati, A. Chiasera, G. Martinez, J. Stevovic, Privacy preserving event driven integration for interoperating social and health systems, Secure Data Management: 7th Vldb Workshop (SDM’10), September 2010.

[3] Talend: Cloud Enabled Open Source Integration Software, http://www.talend.com/products-talend-cloud/.

[4] TC3 Health Case Study: Amazon Web Services, http://aws.amazon.com/solu-tions/case-studies/tc3-health/.

[5] Raquel Barba, Cloud Computing e Conservazione Sostitutiva: si può fare?, https://www-304.ibm.com/connections/blogs/df478a23-100a-4c71-91df-729cda475824/entry/cloud_computing_e_conservazione_sostitutiva_si_pu%25c3%25b2_fare3?lang=it_it.

[6] Convegno Cloud Computing per la Sanità Digitale, Castelfranco Veneto (Tre-viso) Italia, 18 ottobre 2011, http://www.ulssasolo.ven.it/Dal-kibbutz-all-ospedale-e-ritorno-attraverso-il-cloud-computing.

[7] Conference Cloud Computing for e-Health: The evolution of the applications, Jerusalem 19 March 2012, http://www.ulssasolo.ven.it/Dal-kibbutz-all-ospedale-e-ritorno-attraverso-il-cloud-computing.

[8] Global Forum 2011, Bruxelles, http://www.items.fr/spip.php?rubrique110[9] Cloud Computing e IT as a service, 2012, Reportec, http://www.reportec.it/

index.php?option=com_content&view=article&id=453.

Ringrazio per la collaborazione: Maria Favretto, Marco Zamengo, Alessandro Bruno, Mauro Pellizzari.

059-070 - Convegno Po.indd 69 16/07/12 15.24

059-070 - Convegno Po.indd 70 16/07/12 15.24

Capitolo 9

Healthcare: la sicurezza nel cloudJean Paul Ballerini, Andrea Carmignani – IBM Italia, [email protected], [email protected]

Abstract

In questo paper verranno discussi gli aspetti della sicurezza più vicini alle ar-chitetture cloud, sia dal punto di vista tecnico-architetturale, sia da quello or-ganizzativo. Verranno sottolineati aspetti più rilevanti al mondo della Sanità in particolare legati all’intrinsica necessità di conservare dati potenzialmente per decenni e di condividere i dati per evitare il ripetersi di visite ed esami. Dopo una breve introduzione seguirà un paragrafo che volge ad allineare la sicurezza nel cloud ai tre pilastri fondamentali della security: riservatezza, inte-grità e disponibilità (Confidentiality, Integrity e Availability). Il paragrafo suc-cessivo prende spunto da un framework globalmente accettato quale quello di Cobit per sottolineare aspetti specifici legati alle varie aree operative di un ente o azienda.

9.1 Introduzione

Indubbiamente il termine “cloud” viene utilizzato con crescente frequenza in virtù delle opportunità di offrire nuovi servizi potenzialmente a costi ridotti; una combinazione che interessa sempre più aziende ed enti in tutti i settori. Si può notare in Fig. 1 come dal 2009 ad oggi l’interesse per il Cloud da parte dei Chief Information Officer è quasi duplicato [1]

Allo stesso tempo il crescente numero di vulnerabilità nelle infrastrutture IT e l’esplosione di attacchi che nel 2011 hanno colpito numerevoli aziende in modo preciso e mirato [2] rendono molti responsabili del settore alquanto titubanti e, giustamente, preoccupati di come gestire la sicurezza nel cloud. Da un lato esiste l’aspetto tecnico che, in un certo senso, non varia in modo impor-tante da quello di una qualunque altra architettura IT, e dall’altro quello orga-

071-078 - Convegno Carmignani.indd 71 16/07/12 15.24

72 HEALTHCARE: LA SICUREZZA NEL CLOUD

Figura 9.1 Statistica che mostra l’intenzione di entrare nel cloud

100%

Busine

ss in

tellig

ence

and

analy

tics

Mob

ility s

olutio

ns

Virtua

lizat

ion

Cloud

com

putin

g

Busine

ss p

roce

ss

man

agem

ent

Risk m

anag

emen

t

and

com

plian

ce

Self-s

ervic

e po

rtals

Collab

orat

ion a

nd

socia

l net

workin

g

90%

80%

70%

60%

50%

40%

30%

20%

10%

Figura 9.2 Alcuni dei possibili inibitori del Cloud Computing

Security privacy ofcompany data

69%

54%

53%

52%

47%

Percent rating the factor as a signi�cant barrier (4 or 5)Respondents could select multiple items

Service quality

Doubts about truecost savings

Performance / Insufficientresponsiveness over

network

Difficulty integratingwith in-house IT

nizzativo e di condivisione della responsabilità. Non si tratta solo di proteggere il dato (preoccupazione primaria di tutti i Chief Security Officer) ma anche di poter dimostrare la conformità con le normative nazionali, settoriali e aziendali


HEALTHCARE: LA SICUREZZA NEL CLOUD 73

a fronte di una collaborazione fra più parti. In Fig. 2 sono evidenziati aspetti di security nel cloud che principalmente preoccupano i CSO

9.2 Il cloud e i tre pilastri della sicurezza

Quando parliamo di cloud è bene ricordare che siamo lontani dall’usare un sinonimo di internet. Cloud è un’architettura che porta grandi benefici da un punto di vista di prestazioni e costi, ma che evidenzia l’importanza di uno degli elementi fondamentali di tutte le infrastrutture IT di oggi: la sicurezza, i cui pilastri fondamentali sono riservatezza, integrità e disponibilità.

La riservatezza, è la massima priorità di chi è responsabilie di garantire la privacy. Una grande sfida che ci porta l’architettura cloud è l’interconnessione non solo di applicazioni ma anche di persone appartenenti a reparti, aziende o addirittura a nazioni diverse. L’accesso al dato va quindi limitato e garantito solo a coloro che ne hanno la necessità. L’Identity and Access Management (IAM) è la disciplina che si preoccupa di determinare l’identità di ogni utente e di associargli che cosa è visibile e cosa rimane nascosto.

L’integrità permette di potersi fidare che il dato sia sempre corretto. Questo problema non è strettamente legato al cloud ed esistono già diverse opzioni per garantire, ad esempio, che un medico non si debba preoccupare della validità dell’informazione su cui basa la propria diagnosi. Qualunque soluzione deve tenere conto che in ambito sanitario la mole dei dati da mantenere disponibili cresce esponenzialmente; da un lato non esistono vincoli di tempo, forse solo l’esistenza in vita del paziente, dall’altro l’evoluzione delle tecnologie mediche ha innalzato la qualità delle immagini diagnostiche e quindi, per ogni paziente, occorre molto più “spazio”.

La disponibilità è ormai responsabilità di chi gestisce l’IT. Tutti noi ci aspet-tiamo che ogni servizio ci sia e sia efficiente; siamo infastiditi quando dobbiamo aspettare “per colpa dei computer”. La security cerca di innalzare il livello di continuità del servizio (e.g. con Intrusion Prevention Systems). Considerando che l’architettura cloud permette semplificazione e riduzione del numero di data center, il suo corretto design e implementazione sicuramente favorisce la fornitura e garanzia dei servizi basati su di essa.

9.3 Specificità della sicurezza nel cloud

Per sfruttare appieno il cloud computing, un’organizzazione deve assicurar-si che dati, applicazioni e sistemi siano adeguatamente protetti, in modo che



l’infrastruttura cloud non esponga l’azienda a rischi. In quest’ambito, come e ancor più che nelle architetture tradizionali, è necessario un approccio globale alla sicurezza.

Le problematiche intrinseche di un paradigma come il cloud computing possono essere allineate ai domini di framework noti; in questo caso facciamo riferimento a Cobit [3].

A. Persone e identità

Le organizzazioni devono assicurare che gli utenti autorizzati a livello aziendale e la catena di fornitura abbiano accesso ai dati e ai tool di cui hanno bisogno, quando ne hanno bisogno – bloccando al contempo gli accessi non autorizzati.

Gli ambienti cloud di solito supportano una grande e diversificata comunità di utenti, pertanto questi controlli sono ancora più essenziali. Inoltre, il cloud introduce un nuovo livello di utenti privilegiati: gli amministratori che lavorano per il cloud provider (sia esso interno o esterno). Il monitoraggio degli utenti privilegiati, incluso il logging delle attività, diventa un requisito fondamentale. Chi è responsabile di gestire le identità nell’ambito di queste comunità? Fra i principali vantaggi del cloud troviamo il self-service e l’automazione: chi deter-mina i cataloghi di ruoli e opzioni legate agli utenti? La gestione federata delle identità (Federated Identity Management) indirizza questo tipo di problemati-ca e sta trovando molto riscontro sul mercato.

B. Dati e informazioni

La maggior parte delle organizzazioni cita la protezione dei dati come il proble-ma di sicurezza più importante. Le preoccupazioni tipiche riguardano il modo di archiviare e di accedere i dati, i requisiti di conformità e di audit oltre alle problematiche di business che interessano il costo delle violazioni dei dati, ed il danno di immagine.

In questo frangente l’adozione della crittografia assieme alla corretta gestio-ne delle chiavi crittografiche, dei dati in transito da e verso il cloud, o “at rest” ossia quando sono a memorizzati nel data center del fornitore del servizio, è si-curamente la tecnologia preferita per proteggere la privacy dei dati e rispettare le normative sulla conformità. La crittografia dei supporti mobili e la possibilità di condividere in modo sicuro tali chiavi crittografiche tra il fornitore del ser-vizio cloud e il consumatore è un’esigenza importante ma, purtroppo, spesso trascurata.

C. Applicazione e processi

I clienti considerano generalmente i requisiti di sicurezza delle applicazioni



cloud in termini di sicurezza delle immagini dei sistemi virtuali. Queste però sono da trattare come tutti gli altri dati; i requisiti di sicurezza delle applicazio-ni si riferiscono alle interfacce web, alle architetture SOA, etc; si riferisce, in sostanza, alla sicurezza di tutti i processi di acquisizione e trattamento dei dati al fine di proteggerne la privacy e l’integrità.

Il cloud provider deve mettere in atto un processo di sviluppo e test degli applicativi sicuro ed affidabile [3]. Occorre anche gestire in modo attento l’uso dei dati negli ambienti di sviluppo poiché questi tendono ad avere livelli di sicurezza inferiori rispetto agli ambienti di produzione.

Nel caso poi in cui il cloud provider fornisca infrastrutture e piattaforme, ci si aspetta che si faccia garante della provenienza delle immagini e del controllo e gestione delle licenze e del loro utilizzo. Nella gestione del ciclo di vita delle immagini particolare attenzione deve essere rivolta alle operazioni di sospen-sione e distruzione. Tali operazioni devono essere eseguite con attenzione, evi-tando l’esposizione o la divulgazione dei dati in esse contenuti, che include una accurata gestione degli aggiornamenti applicativi e patch di sicurezza.

D. Infrastruttura

In un ambiente cloud condiviso, è fondamentale assicurare che tutti i domini dei tenant siano correttamente isolati e che non esista la possibilità di poter accedere o manipolare dati o transazioni appartenenti ad un dominio che non sia quello di propria competenza.

Per realizzare questo obiettivo, è necessario che l’infrastruttura cloud metta a disposizione dei clienti degli strumenti con cui configurare domini virtuali fidati (“trusted domain”) o zone di sicurezza basate su specifiche politiche di accesso.

Particolare attenzione deve essere prestata nel modo di utilizzare uno dei building block su cui si poggia il paradigma cloud, la virtualizzazione. Essa va pensata “in sicurezza” dal momento del design sino alla scelta delle tecnologie identificate più idonee per implementarla e proteggerla. Certificazioni di terze parti, feature offerte dalla tecnologia di virtualizzazione adottata, Virtual Ap-pliance o soluzioni integrate direttamente con l’Hypervisor ossia vere e proprie “partizioni virtuali di sicurezza” in grado di offrire servizi di protezione per tutte le VM ospitate in un singolo host. Queste partizioni di sicurezza sono in grado di proteggere una data VM sia contro i possibili attacchi esterni cha dalle probabili minacce proveniente da un VM ospitata sullo stesso host fisico. Tali soluzioni sono sempre più integrate con il mondo virtuale ed offrono in maniera centralizzata feature come ad esempio IPS, firewalling, Virtual Nac, rootkit detection, VM discovery e audit dell’infrastruttura virtualizzata. Tutte le soluzioni citate, se utilizzate in modo mirato e sinergico, permettono di innal-



zare significativamente la sicurezza associata alla virtualizzazione raggiungendo livelli paragonabili a quelli propri di un approccio tradizionale.

E. Governance della sicurezza, gestione del rischio e conformità

In aggiunta ai domini elencati anche in un ambiente cloud è fondamentale va-lutare attività e rischi operativi sviluppando un piano di sicurezza aziendale che assieme alla gestione dei rischi e delle conformità forman la spina dorsale della governance della sicurezza.

Le leggi europee sulla privacy ed altri regolamenti, nazionali e non, richie-dono funzionalità di auditing complete. Ciò comprende la necessità di stru-menti e processi capaci di fornire una totale visibilità sia su tutte le operazioni effettuate sia su quelle non autorizzate dai sistemi di controllo. A questo si aggiunge la capacita di prevenire gestire e dettagliare gli eventuali possibili in-cidenti oltre ad essere in grado di fornire un reporting capillare di questi ultimi ai singoli clienti (tenant) assieme ai dati di log e di audit annessi.

Poiché i cloud pubblici sono, per definizione, una “black box” per chi sotto-scrive il servizio, i potenziali abbonati potrebbero non essere in grado di dimo-strare la conformità a tali leggi. Oggi difficilmente si hanno dettagli da parte dei Cloud provider riguardo i processi utilizzati per la gestione dei dati dei clienti, ciò è reso ancora più complesso e fumoso dalla mancanza di certificazioni spe-cifiche a riguardo. Diverse organizzazioni no profit cominciano a promuovere iniziative volte a verificare la sicurezza di un Cloud Datacenter, in attesa di certi-ficazioni specifiche, certificazioni esistenti come ISO27001, SAS Type II Audit, SysTrust e BS25999 possono risultare dei buoni indici della bontà del cloud provider scelto per il proprio business. Per il cloud privato, viceversa, alcune delle problematiche esposte fortunatamente vanno a cadere in quanto l’azienda gestisce direttamente l’infrastruttura applicando le security policy aziendali che, di per se, dovrebbero già essere intese per soddisfare tali requisiti.

Risulta quindi di vitale importanza, in un ambiente condiviso, che tutte le parti coinvolte (tenant, cloud provider) accettino la propria responsabilità nel verificare le modalità di gestione dei dati di loro pertinenza, eseguendo tali revisioni con cadenze regolari.

9.4 Conclusione

Abbiamo potuto evidenziare aspetti della sicurezza nel cloud legati a riserva-tezza, integrità e disponibilità di dati e servizi. Abbiamo aperto una finestra su aspetti più operativi legati ai vari livelli di un framework aziendale partendo dalla gestione dell’identità degli utenti fino alla sicurezza dell’infrastruttura.



Il cloud computing offre un’opportunità entusiasmante di migliorare la si-curezza. Le caratteristiche del cloud, quali standardizzazione, automazione e maggiore visibilità sull’infrastruttura, possono aumentare enormemente i livelli di sicurezza. Fornire un accesso affidabile, flessibile ed efficace in termini di costi alle informazioni è una questione chiave con cui molte organizzazioni si confrontano attualmente, il cloud computing, se utilizzato correttamente, è assolutamente la soluzione più adatta ad affrontarla.


[1] Insights from the 2011 IBM Global CIO Study “http://www-935.ibm.com/services/c-suite/cio/study.html”.

[2] X-Force Report “http://www-935.ibm.com/services/us/iss/xforce/tren dreports/”.

[3] Cobit “http://www.isaca.org/Knowledge-Center/COBIT/Pages/Overview.aspx”.


Capitolo 10

Un modello gestionale per soluzioni “in the cloud”Gianluca Bambozzi, Noemalife S.p.A., Bologna, ([email protected])

10.1 Le esperienze di soluzioni “in the Cloud”

Il Gruppo NoemaLife, attraverso le sue società, ha maturato significative ed importanti esperienze in campo internazionale nella fornitura di sistemi infor-mativi ospedalieri integrati nella modalità Software-as-a-Service (SaaS).

In particolare in Francia sono operativi diversi progetti in importanti orga-nizzazioni sia pubbliche che private. Tra le prime meritano di essere ricordati il progetto Picarsis – «Picardie système d’information de santé», che gestisce centralmente, in modo integrato ed “in the Cloud” una rete di 12 ospedali per un totale di 4000 letti ed il progetto del Centre Hospitalier Regional Universitaire di Montpellier che, con le stesse modalità del precedente, fornisce supporto a 7 ospedali per un totale di circa 2500 letti.

La tipologia e le caratteristiche delle esperienze maturate possono essere sintetizzate nel modo seguente, così come riassunto nella tabella sotto:

• sistemainformativoospedaliero(GalileoDx)fornitoinmodalitàSaaS.• soluzioneinPrivateCloud.

Tabella 10.1

SaaS PaaS IaaS

Private Cloud

SicurezzaDisponibilitàPerformance

ScalabilitàMonitoraggio

«Pay per use»

Public Cloud

079-086 - Convegno Bambozzi.indd 79 16/07/12 15.29

80 UN MODELLO GESTIONALE PER SOLUZIONI “IN THE CLOUD”

Il servizio, erogato in partnership con importanti fornitori di soluzioni ICT e data center operanti nel mercato domestico, è congeniato in modo da consentire:

• lasicurezzaneltrattamentodeidaticlinici(sullabasedellespecifichediret-tive in vigore);

• ladisponibilitàdelserviziosecondoLivellidiServiziopreconcordatiecon-trattualizzati;

• livellidiprestazionidelsistemapredefiniti;• lascalabilitàdellasoluzioneall’aumentaredegliutenti,deivolumididati,

delle funzioni attive;• il monitoraggio costante del sistema in relazione alle sue caratteristiche

principali;• unapproccio“payperuse”inbaseaconsiderazioniripresepiùavanti.

10.3 Metodo ed approccio

La tabella sotto riportata riepiloga i principali servizi che caratterizzano l’ero-gazione di un Software-as-a-Service e sintetizza pertanto l’approccio ad un pro-getto di tale tipo.

Latabellainoltremetteaconfrontol’approccioSaaSconapproccipiùtra-dizionali quali il semplice progetto di implementazione “in house” della solu-zioneinformativaedilpiùrecenteapprocciodiApplicationServiceProviding(ASP), che l’approccio SaaS estende ed integra facendo si che il fornitore assu-ma su di sè la piena responsabilità del servizio erogato.

Figura 10.2

Tradizionale ASP SaaS

Spazi/locali adeguati, sicuri ed a norma m l l

Fornitura dell’infrastruttura m l l

Sorveglianza dell’infrastruttura m l l

Transizione infrastruttura e applicazioni m opzionale Opzionale

Manutenzione dell’infrastruttura m l l

Salvaguardia dei livelli di servizio m l l

Governance m m l

Presidio funzionale l m l


UN MODELLO GESTIONALE PER SOLUZIONI “IN THE CLOUD” 81

Amministrazione e gestione degli applicativi l m l

Amministrazione e gestione dell’infrastruttura m l l

Sicurezza dei dati e degli accessi m l l

Indicatori e reportistica m m l

Il primo passo, il prerequisito indispensabile per la fornitura di un servizio SaaS è, ovviamente, quello di disporre e mettere a disposizione locali ed infra-struttura fisiche adeguati ed a norma.

È poi necessario mettere a disposizione, secondo i termini contrattuali sta-biliti, l’infrastruttura hardware e software necessaria al funzionamento degli applicativi software oggetto del servizio, così da costituire quello che solita-mente viene chiamato un data centre.

Tale infrastruttura deve essere adeguatamente sorvegliata, per cui un gene-rico servizio SaaS deve includere sevizi di:

• FacilityManagement;• sicurezzaecontrolloaccessiagliambienti;• predisposizionedinormeeprocedure(anti-incendio,ecc.),conrelativafor-

mazione degli addetti e controllo della loro applicazione.

Particolare importanza, ai fini del rispetto dei livelli di servizio in termini di disponibilità e prestazioni della soluzione, riveste un efficiente servizio di ma-nutenzione dell’infrastruttura, incaricato di eseguire tra gli altri, le attività di:

• patchingebug-fixingsistemistico;• DataBaseAdministration;• interventisullecomponentihardaware;• DisasterRecovery.

La salvaguardia dei livelli di servizio in un contratto SaaS è uno dei fattori critici di successo per cui si stanno sviluppando in questa area nuove compe-tenze e professionalità assieme a nuove tecniche gestionali.

Piùindettagliolasalvaguardiadeilivellidiserviziocomportal’attivazionedi una serie di servizi, tra i quali i principali sono:

• ServiceContinuityManagement;• AvailabilityManagement;• CapacityManagement;• Incident/ProblemManagement.



Una regola fondamentale per la corretta gestione di un servizio SaaS è quella di pianificare in anticipo le possibili evenienze per avere a disposizione procedure chiare e predefinite in caso di emergenza, quando il tempo per agire è limitato ed il livello di servizio in termini di disponibilità, prestazioni e accessibilità del sistema rischia di scendere sotto i termini contrattualizzati.

Con tali obiettivi può essere utile definire e formalizzare dei piani sia per garantire il corretto funzionamento del sistema che per codificare le azioni da compiere in caso di emergenza. I principali tra questi piani sono:

• PianoContinuitàApplicativa;• PianoRipresaApplicativa;• PianoRipresaInformatica.

Una delle principali responsabilità di un fornitore di soluzioni “in the Cloud” è assicurare la governance del servizio. Il fornitore è pertanto chiamato a dotar-si delle competenze, delle tecniche e delle risorse adeguate a gestire problema-tiche quali:

• ServicePlanning;• ProjectManagement;• ChangeManagement,sia in terminiorganizzativi (formazioneesupporto

all’organizzazione utilizzatrice del servizio nell’ottimizzazione dei propri processi e flussi operativi) sia in termini tecnologici (valutazione delle stra-tegie migliori per eseguire gli interventi manutentivi, correttivi ed evolutivi sulla piattaforma hardware e software senza impattare sui livelli di servizio preconcordati);

• supervisioneecontrollodegliSLA.

Il presidio funzionale della soluzione, altra caratteristica specifica di un approc-cio SaaS, consiste nel garantire adeguato supporto agli utilizzatori del sistema in termini sia di corretta configurazione degli applicativi che di supporto ope-rativo nell’utilizzo degli stessi. I principali servizi che compongono il presidio funzionale sono pertanto:

• ConfigurationManagement;• helpdesk/hotline;• ServiceRequestManagement.

L’amministrazione e gestione degli applicativi, altra voce fondamentale per ga-rantire gli SLA contrattualizzati, fa riferimento alle attività di:



• installazionenuoverelease;• patchingebug-fixingapplicativo;• gestioneambienti(prod.,pre-prod.,test).

A sua volta l’amministrazione e gestione dell’infrastruttura comprende tutte le attività che l’erogatore di una applicazione “in the Cloud” deve mettere in ope-ra per garantire il corretto funzionamento dell’infrastruttura tecnologica alla base del servizio:

• CapacityPlanning;• aggiornamento/evoluzionedell’infrastruttura;• politichediback-up,fondamentaliperlasalvaguardiadelpatrimonioinfor-

mativo degli utilizzatori.

La sicurezza dei dati e degli accessi è un altro aspetto di rilevanza fondamenta-le per applicazioni che trattano informazioni sensibili come quelle sulla salute, eloètantopiùquandol’organizzazioneresponsabiledeidatidecidediester-nalizzare la gestione delle applicazioni e dell’infrastruttura che li contiene.

In questo ambito sono diverse le azioni da intraprendere, tra le quali si pos-sono ad esempio annoverare:

• controllodellacoerenzaallenormativeelineeguidavigenti;• utilizzodeglistandardtecnologicipiùavanzati(cifratura,ecc.);• sicurezzaditipoapplicativo(regolegestionepassword,ecc.);• tracciabilitàaccessierelativoreporting;• audittrail.

10.3 Il modello gestionale

Progetti di Software-as-a-Service finalizzati all’erogazione di applicazioni informatiche a supporto dei principali processi di cura, che abbiano anche la finalità di mettere in rete diverse strutture sanitarie ed ospedaliere operanti sul territorio per la costruzione del fascicolo sanitario elettronico, sono general-mente progetti complessi che legano i partner per un lungo periodo di tempo.

Essi richiedono pertanto modelli gestionali specifici, regolati da capitolati altrettanto articolati e complessi.

Non essendo questa la sede per trattare tale importante tematica, ci limitia-mo di seguito a ricordare alcuni dei fattori che generalmente influenzano il modello gestionale ed economico di progetti SaaS:



• fase del progetto (Buid, Pre-Run, Run), in quanto ogni fase ha delle proprie caratteristiche specifiche, ciascuna con diversi gradi di rischio, investimento finanziario, risultato e coinvolgimento degli attori (ad esempio le fasi di Build e Pre-Run non sono solitamente caratterizzate dagli SLA operativi, mentre la fase di Run non è chiamata a rispettare vincoli temporali dettati dalle milestone di progetto);

• livelli di servizio concordati, i quali comportano ovviamente a fronte di una maggiore sicurezza e disponibilità del servizio per l’utilizzatore maggiori investimenti e l’assunzione di un maggiore rischio per l’erogatore, che devo-no essere in qualche modo ricompensati;

• approccio «pay per use» differenziato in base alla tipologia di funzioni atti-vatecon«unitàd’opera»specializzate(utente,letto,richiesta,studio/risul-tato, ecc.); tale differenziazione è solitamente legata al dominio applicativo a cui le funzioni applicative afferiscono (clinico, diagnostico, amministrati-vo, ecc.);

• volumi in gioco, anche qui con diverse metriche (quantità di dati transati e/omemorizzati,numerodiutenticheutilizzanoilsistema,tempodiutiliz-zo,numerodifunzioniapplicativeattivatee/outilizzateinunaunitàditem-po, ecc.); i valori economici unitari sono generalmente descrescenti all’au-mentare dei volumi;

• durata del contratto, in quanto influenza la possibilità di ritorno dell’investi-mento sia per l’utilizzatore che per l’erogatore.

È importante ricordare che i fattori in questione sono di solito contempora-neamente presenti sullo stesso progetto, anche se non necessariamente tutti quanti.

10.4 I fattori critici di successo

L’esperienza maturata nell’erogazione di soluzioni applicative «in the Cloud» consente di affermare che il successo di un tale tipo di progetti ricade solo in parte nella capacità gestionale delle problematiche tecniche e tecnologiche, os-sia delle componenti hardware e software fornite «as a service».

Avendo tale tipo di progetti una forte valenza organizzativa, dal momento che impattano sul cuore dei processi di cura ed hanno l’obiettivo di mettere in rete diverse strutture sanitarie, sono principalmente le variabili organizzative e di conoscenza dei processi i fattori critici di successo.

Tra tali variabili critiche ricopre una importanza fondamentale il fatto che l’organizzazione riesca a definire un modello operativo comune o comunque a



limitare la variabilità nei processi, fatte salve ovviamente le specificità insite in ogni processo dovute alla problematica medica o gestionale che sono chiamati a presidiare.

Tale necessità di standardizzazione, che non necessariamente è da intender-si come limitazione o appiattimento del grado di supporto funzionale a dispo-sizionedegliutilizzatori,diventatantopiùimportantequantepiùsonolestrut-ture che condividono la soluzione in cloud, il numero di utenti e di processi coinvolti.

Non ultimo, trattandosi di progetti che rivestono una valenza strategica di lungo periodo per le organizzazioni sanitarie e che comportano, come sopra ricordato, attente scelte organizzative e gestionali, è fondamentale una appro-fonditapreparazioneel’attivapartecipazionedapartedellaDirezioneazien-dale.


Capitolo 11

Scenari tecnologico-applicativi per il cloud computing in sanitàP. Barichello – [email protected]

Abstract

L’applicazione del paragdima del Cloud Computing ai processi automatici in sanità si confronta con vincoli tecnologici, applicativi e di sicurezza per i quali è necessario individuare un adeguato percorso che faciliti gradualmente l’ado-zione di tale tecnologia all’interno del contesto clinico. Nel capitolo vengono descritte esigenze e possibili applicazioni che possono esistere in una realtà sanitaria.

11.1 Introduzione

Nello scenario di mercato, ciò che la Pubblica Amministrazione ricerca nelle soluzioni di Cloud Computing è diverso rispetto a quanto è necessario per il settore privato. In particolare per le aziende sanitarie, dove il trattamento del dato sensibile è un elemento fondamentale nella normale attività, emerge la necessità di possedere requisiti che garantiscano un elevato grado di controllo sui dati, sulle applicazioni e sui sistemi, l’applicazione di modelli ibridi che per-mettano di effettuare l’esternalizzazione ai sistemi Cloud Computing di servizi selezionati, la possibilità di riunire in Community Cloud, il tutto focalizzato su un forte interesse alle problematiche di privacy e security.

Ad oggi principalmente l’uso del cloud computing in Italia è incentrato prin-cipalmente in applicazioni di office automation e posta elettronica (Software as a service), nell’uso di risorse di calcolo e in desktop computing ((Infrastructure as a service). Tuttavia la necessità per una azienda sanitaria, magari anche più in ritardo rispetto alle altre nell’evoluzione tecnologica, è quella di affacciarsi al Cloud Computing per attivare da subito quelle applicazioni necessarie al proprio core business, definite per l’appunto business critical, che darebbero

087-094 - Convegno Barichello.indd 87 16/07/12 15.31

88 SCENARI TECNOLOGICO-APPLICATIVI PER IL CLOUD COMPUTING IN SANITÀ

Figura 11.1 Nella figura si vedono gli svantaggi/svantaggi delle diverse tipologie di Cloud Computing

in tempi brevi risultati sostanziali al processo di lavoro grazie all’adozione delle tecnologie più innovative (sistema di laboratorio, repository, RIS/PACS, etc). Ma il mercato non sembra ancora pronto, dato che i maggiori player nel cam-po dell’informatica sanitaria non hanno nel loro portafoglio prodotti ancora soluzioni in Cloud Computing, seppure stiano nascendo i accenni verso questa strada.

Nella letteratura è opinione comune che la scelta di una tipologia di solu-zione in Cloud Computing può avere dei vantaggi a fronte di svantaggi (vedi Fig. 1). Infatti, seppure una soluzione di Cloud pubblico possa garantire la riduzione dei costi di investimento, essa può però fornire minore controllo e minore agilità nel disporre dei dati. Mentre un Cloud privato, seppure fornisca un maggior proprietà del dato, comporta maggiori costi.

Quanto espresso in letteratura però non sempre è vero. Infatti a volte l’ado-zione di Cloud Pubblico, garantisce una maggior sicurezza e controllo del dato, dato dalla migliore tecnologia e dal maggior know how messo a disposizione dal provider che altrimenti l’azienda sanitaria non potrebbe avere internamen-te. Ovviamente per ottenere ciò è necessario comunque effettuare un scelta oculata del provider.

11.2 La Road map verso il cloud computing

L’azienda ULSS n. 8 di Asolo, come altre ASL italiane, dispone di una architet-


SCENARI TECNOLOGICO-APPLICATIVI PER IL CLOUD COMPUTING IN SANITÀ 89

Figura 11.2 L’architettura digitale di una ASL

tura digitale che copre tutte le aree di business aziendale attraverso una map-patura che è rappresentata dalla figura 2. L’architettura rappresentata dispone di aree, per loro natura, che non richiedono particolari interconnessioni con gli altri sistemi (per esempio la posta elettronica), e di altre aree dove invece l’integrazione con i sistemi è elemento fondamentale per il loro funzionamento (per esempio Laboratorio).

A partire da tale architettura l’ULSS 8 di Asolo ha definito una road map, che mira ad arrivare all’applicazione del Cloud Computing partendo dalle aree meno invasive, passando per la logistica documentale e del farmaco, e per arri-vare poi alle are più mission critical. Tale road map può essere di esempio per quelle aziende sanitarie che volessero intraprendere un percorso verso il cloud dei propri sistemi.

11.2.1 Step 1: Sistemi Generali

La road map prevede l’avvio del percorso verso il Cloud partendo da alcuni sistemi relativi servizi generali, che risultano meno integrati e non core quali:

– Posta elettronica e office automation (migrazione da un sistema di posta elettronica interno verso una piattaforma completamente in cloud compu-ting);

– Workflow documentale (evoluzione a partire dal rinnovo del sistema di pro-tocollo verso una piattaforma completa di workflow documentale e di busi-ness process).



Inoltre, l’ULSS di Asolo avendo già da tempo avviato un sistema di controllo dell’attività di gestione di Project Financing, ha inserito all’interno della road map la piattaforma di gestione degli impianti e degli asset in Cloud Computing. Le aziende sanitarie potrebbero prevedere l’evoluzione verso uno strumento analogo per il supporto del proprio inventario cespiti, la cui movimentazione, soprattutto per una azienda di certe dimensioni, e di difficile governo.

11.2.2 Step 2: Sistemi del Personale

Il passaggio al Cloud di soluzioni per la gestione del personale e di formazione è di semplice realizzazione e obbligato, considerando in particolare il fatto che ormai in quasi tutte le ASL il sistema di gestione del personale, e in alcuni casi addirittura il servizio intero, è completamente esternalizzato, e che le piattafor-me elearning sono tutto in outsourcing.

11.2.3 Step 3: Sistema di logistica sanitaria

Inoltre l’ULSS di Asolo, che sul fronte della logistica sanitaria è all’avanguar-dia attraverso un service completo con magazzino unico centralizzato per la distribuzione dei farmaci, mira al rinnovamento, dove il servizio stesso preveda anche la fornitura del sistema di macro e micro logistica, integrato con il siste-ma informativo ospedaliero, ma il cui provider è il partner stesso di logistica. In tale configurazione, l’applicazione del paradigma del cloud computing, trova una giusta collocazione.

11.2.4 Step 4: Sistemi business critical

Addentrandosi verso le applicazione più critiche, l’azienda ULSS di Asolo, pre-vede la collocazione in cloud di componenti quali:

– il repository e e il fascicolo sanitario: in questo caso, l’elemento concentrico quale è il data repository, seppure su piattaforma Cloud, garantisce comun-que la possibilità di cambiare i dipartimentali (coloro che alimentano il re-pository), e assicura di avere a disposizione sempre le ultime tecnologie di integrazione nonché modalità di accesso ai dati del fascicolo stesso;

– PACS: l’applicazione del sistema di gestione immagini in Cloud è di più complessa implementazione, dato che richiede interconnessioni a banda larga garantita con il provider, nonché il collegamento con gli elettromedi-cali. Tuttavia la sfida è importante, considerato che i costi di impianto di un RIS/PACS in una azienda sanitaria sono elevati, e che la giusta evoluzione verso sistemi che hanno il paziente al centro dei processi, mira a tecnolo-



gie aperte e facilmente accessibili oltre che dall’interno dell’azienda, anche dall’esterno.

11.2.5 Step 5: Sistemi CRM

Infine, considerato che gran parte delle ASL italiane dispone di un servizio esternalizzato di CUP e call center, è naturale considerare una completa ester-nalizzazione verso il cloud computing anche del sistema di gestione CUP. Ciò è anche occasione per evolvere finalmente tale sistema verso soluzioni realmente di CRM, affinché la soluzione tecnologica superi il concetto di prenotazione per arrivare alla più ampia di gestione del contatto paziente. Infatti esistono sistemi CRM evoluti in cloud computing che permetterebbero di registrare ogni informazione relativa al contatto, riservando all’azienda la storia completa dell’assistito relativa a tutte le tipologie di informazione che spesso l’assistito richiede e che non riguarda solo la prenotazione.

11.3 Requisiti tecnologici

In un contesto clinico di urgenza e di orario lavorativo continuativo quale è quello di un azienda sanitaria pubblica vi sono requisiti tecnologici imprescin-dibili, alcuni a carico dell’azienda stessa e alcuni che il provider deve prevedere per poter fornire un adeguato servizio di Cloud Computing in sanità. Il primo requisito riguarda la connettività. Per garantire continuità di servizio ed ele-vate performance, l’azienda deve dotarsi di sistemi di connettività ad elevata ridondanza e con elevate performance di banda. Ciò richiede naturalmente per l’azienda sanitaria il sostenimento di costi di impianto presso il proprio dominio. In tale ottica, il Sistema Pubblico di Connettività (SPC) dovrebbe evolvere, allo scopo di offrire alla pubblica amministrazione la base necessaria per poter usufruire dei servizi offerti dal Cloud Computing con gli opportuni elementi di connettività.

Infine, in un contesto complesso come quello rappresentato dall’architettu-ra di un sistema informatico di una azienda sanitaria, il concetto di integrazione è fondamentale. In particolare ciò è vero quando l’azienda sanitaria è pubblica perché costretta all’acquisto attraverso gara, ha visto comporre il proprio si-stema informativo di applicativi e fornitori diversi, secondo le normali regole dell’aggiudicazione per miglior offerta (le quali da un punto di vista economico e competitivo sono ovviamente corrette).

Pertanto, è imprescindibile che il provider di soluzioni di Cloud Computing in sanità, preveda nella propria soluzione sistemi di integrazione inter-cloud



(ovvero con altri provider di cloud), e di integrazione tra il proprio cloud e sistemi in house del cliente. Per esempio, nel caso di una soluzione di reposi-tory in cloud, essa deve prevedere l’integrazione con il sistema di laboratorio (LIS) locale dell’azienda, e con il sistema di CRM in cloud fornito da un altro provider.

11.4 L’evoluzione dell’operatore ICT nell’azienda sanitaria

L’adozione di soluzioni di cloud computing porta ad un naturale cambiamento professionale per l’operatore ICT interno alla struttura sanitaria, già peraltro parzialmente avviato con l’applicazione di sistemi in gestione esternalizzata presenti in azienda.

Figura 11.3 L’evoluzione dell’operatore ICT nell’azienda sanitaria

Trasformazione da IT Manager a Service Manager;

Maggiore attenzione al Core Business;

Cultura verso il controllo;

Risposta rapida ai fabbisogni improvvisi non soddisfabili interenamente;

Con l’utilizzo del paradigma del cloud applicato alle diverse aree dell’informa-tica sanitaria, l’operatore ICT inizia a perdere la connotazione tecnica finora determinata dalla gestione diretta delle infrastrutture interne. Si passa così dal-la figura di IT Manager alla figura di Service Manager, dove l’operatore diventa controllore e gestore di un servizio, attento più alla parte contrattualistica che alla parte tecnica. Sollevando quindi l’operatore dalla gestione tecnica dell’in-frastruttura, egli ha modo di riservare maggior attenzione al Core Business dell’azienda, sentendosi più coinvolto nei processi decisionali aziendali. Inoltre è d’obbligo il cambio di mentalità a cui gli operatori di aziende sanitarie pub-



bliche non erano abituati. È richiesta maggior cultura di controllo verso il pro-vider, al fine di verificare la bontà del servizio e del rispetto del Service Level Agreement definito a livello contrattuale.

Infine, la continua e repentina evoluzione telematica a cui sono soggette le aziende sanitarie, porta alla necessità per l’operatore nel fornire risposte rapide ai fabbisogni improvvisi che non possono essere soddisfabili internamente, e che invece possono essere garantite attraverso soluzioni in Cloud Computing.


Capitolo 12

Il fascicolo sanitario elettronico e l’interoperabilitá applicativa basati su cloud computingSergio Di Bona, Davide Guerri, Marco Bechini - DEDALUS S.p.A., Firenze, ([email protected])

Abstract

L’introduzione del Fascicolo Sanitario Elettronico sta modificando la visione dei sistemi informativi clinico sanitari, passando da un approccio aziendale con una intrinseca separazione di funzioni e di specialità ad una maggiore integra-zione fra aziende e territorio con una stretta cooperazione tra i vari erogatori e con un modello organizzativo che valorizzi la multidisciplinarietà, l’integrazio-ne professionale e la continuità delle cure. Questo nuovo approccio sta pro-gressivamente spingendo anche il settore sanitario verso un ecosistema tecno-logicamente ed economicamente maturo. Affinché questo passaggio avvenga effettivamente, occorre che i player industriali investano su soluzioni clinico sanitarie innovative ed economicamente sostenibili, che garantiscano non solo una completa copertura funzionale, ma anche adeguati livelli di prestazioni, di robustezza, di espandibilità verso scenari sempre più distribuiti ed interopera-bili.

12.1 Introduzione

Il Sistema Sanitario Nazionale (SSN) sta rapidamente e progressivamente evol-vendo verso realtà territoriali sempre più ampie e complesse:

– Unità sanitarie locali– Aree Vaste– Strutture regionali– Ecc.

Questa tendenza rende sempre più complessa la interoperabilità tra i sistemi

095-104 - Convegno Di Bona.indd 95 16/07/12 15.31

96 IL FASCICOLO SANITARIO ELETTRONICO E L’INTEROPERABILITÁ APPLICATI

informativi delle varie strutture. Già da tempo, iniziative quali IHE [1] – “Inte-grating the Healthcare Enterprise”, iniziativa internazionale di produttori ed utenti che dal 1999 promuove l’uso di standard in ambito medicale a supporto dello sviluppo dell’integrazione tra sistemi informativi sanitari, riferisce questi contesti con il termine di Affinity Domains proprio per l’uniformità informativa che li caratterizza.

Questo scenario implica il coinvolgimento di:

– Differenti ambienti di cura;– Differenti attori;– Differenti domini.

L’adozione di un Fascicolo Sanitario Elettronico (FSE) (ovvero Electronic He-alth Record – EHR [2]) diventa dunque un requisito indispensabile per garan-tire l’interoperabilità tra i sistemi coinvolti e rappresenta il punto focale attorno a cui ruota la miriade di sistemi che necessitano lo scambio di informazioni at-tinenti ad un paziente. Esso, infatti, è inteso come sistema di raccolta di tutti i dati clinico-sanitari acquisiti nell’arco dell’intero ciclo di vita di un individuo, con lo scopo di supportare la continuità di cura, l’educazione e la ricerca, e di garantire la confidenzialità.

L’EHR va inteso come uno strumento in grado di ricostruire l’intera storia clinica del paziente e non deve essere confuso con l’Enterprise Electronic Me-dical Record (EMR), espressione che viene spesso erroneamente associata al

Figura 12.1 Esempi di tecnologie abilitanti


IL FASCICOLO SANITARIO ELETTRONICO E L’INTEROPERABILITÁ APPLICATI 97

fascicolo ma che si riferisce alla raccolta dei dati clinici di un paziente limitata-mente ad uno specifico Dipartimento. Similmente, un Electronic Patient Re-cord (EPR) si riferisce ad un sistema che raccoglie i dati clinici di un paziente afferenti a più Dipartimenti.

È evidente dunque come l’EHR assuma un ruolo centrale per tutta una serie di sistemi ICT in sanità, spaziando dall’Homecare all’Eldercare, dalla Genomica alla Telemedicina, dal Mobile alla Personalized Medicine.

Nello stesso tempo stiamo assistendo ad una evoluzione delle tecnologie a disposizione di tutti gli utenti, non solo di quelli specializzati, in grado di abili-tare nuove meccanismi di interazione con i sistemi informatici (Fig. 1).

Infine, anche le esigenze degli individui stanno rapidamente cambiando. C’è una maggiore attenzione dei cittadini verso la qualità dell’assistenza sanita-ria e richieste sempre maggiori di servizi evoluti e ad alto valore aggiunto. In altre parole, ci stiamo progressivamente spostando da un bisogno di salute ver-so un bisogno di benessere.

Tutto ciò implica nuove esigenze e nuovi requisiti dei sistemi ICT a supporto della sanità Pubblica e Privata:

– Definire, implementare, mantenere ed evolvere ambienti distribuiti ed ete-rogenei;

– Garantire scalabilità e dinamicità delle risorse;– Fornire capacità e performance adeguate;– Adottare nove politiche per garantire la sicurezza dei dati e il controllo degli

accessi.

L’approccio di Dedalus S.p.A., da sempre attenta alle innovazioni tecnologiche d’avanguardia, è stato quello di osservare ciò che già da decenni accade in altri campi di business e di trarre vantaggio dalle soluzioni adottate in questi settori, quali ad es.:

– Finanza– Trasporti– Mercati globali

Anche questi mercati, più maturi del mondo della sanità, hanno dovuto affron-tare le esigenze descritte sopra, esigenze che sono state soddisfatte, nella mag-gioranza dei casi, con soluzioni, protocolli, architetture e reti proprietari, sebbe-ne in alcuni casi globali. Ciò ha causato un significativo aumento dei costi e un impatto importante nella operatività ed organizzazione degli attori coinvolti,



conseguenze che gli questi mercati hanno saputo affrontare e superare grazie alla grande disponibilità di fondi.

Per venire incontro alle esigenze del mondo della sanità, Dedalus ha forte-mente creduto ed investito nello studio, progettazione e sviluppo di una piatta-forma di interoperabilità e cooperazione che garantisse lo scambio di informa-zioni clinico-sanitarie tra strutture sanitarie ed attori operanti sul territorio. La piattaforma X1V1 della suite ADPERSONAM di Dedalus, nasce proprio con questi obiettivi.

Dedalus ha successivamente studiato come rendere questa soluzione adatta ai requisiti del proprio mercato, ovvero garantire affidabilità, robustezza e pre-stazioni adeguate, senza trascurare i problemi di sostenibilità economica del settore sanitario. L’adozione di un approccio basato sul Cloud Computing ha fornito le basi per il raggiungimento di questi obiettivi.

12.2 La piattaforma X1V1 di interoperabilità basata su Cloud

Dalla sua prima versione del 1996, la piattaforma di interoperabilità X1V1 si è evoluta diventando compliant con i principali standard internazionali (IHE, HL7 [3], HSSP [4]), libera da royalties verso terze parti, modulare con oltre 20 componenti specializzati e scalabile. L’attuale versione ha ri-chiesto 5 anni di ideazione, progettazione e sviluppo, con oltre 200 anni uomo e oltre 18M € di investimento, per ottenere una soluzione affidabile, solida ed efficace.

X1V1 rappresenta uno strumento abilitante per l’implementazione di un EMR, di un EPR di livello aziendale ma, soprattutto, di un vero e proprio EHR, ovvero un punto di riferimento (One-stop-shop) per accedere ai dati cli-nico/sanitari dei pazienti e a un ventaglio di servizi per il cittadino. Esso forni-sce un indice dei documenti elettronici firmati digitalmente ed accessibile everywhere/anytime sia dai cittadini sia dagli operatori autorizzati. Infine, rac-coglie informazioni cross-enterprise e dei professionisti della salute.

La Già a partire dalla fase di industrializzazione della piattaforma X1V1, tramite la Divisione di Ricerca e Sviluppo, che ha l’obiettivo di sperimentare sui propri prodotti le più innovative soluzioni tecnologiche che si affacciano sul mondo dell’ICT, Dedalus ha iniziato a studiare le problematiche relative alla versatilità, configurabilità e prestazioni della propria soluzione. Questo studio, ha portato a sperimentare le tecnologie di Cloud Compunting, constatando le potenzialità di questo nuovo paradigma per il proprio mercato di riferimento: la sanità. 2 mostra l’architettura della piattaforma che grazie alla sua modulari-tà consente di adattarsi alle esigenze delle varie realtà sanitarie e di garantire



l’interoperabilità non solo tra le strutture sanitarie ma anche sul territorio con i Medici di famiglia, i Pediatri e i cittadini stessi.

Già a partire dalla fase di industrializzazione della piattaforma X1V1, trami-te la Divisione di Ricerca e Sviluppo, che ha l’obiettivo di sperimentare sui pro-pri prodotti le più innovative soluzioni tecnologiche che si affacciano sul mondo dell’ICT, Dedalus ha iniziato a studiare le problematiche relative alla versatilità, configurabilità e prestazioni della propria soluzione. Questo studio, ha portato a sperimentare le tecnologie di Cloud Compunting, constatando le potenzialità di questo nuovo paradigma per il proprio mercato di riferimento: la sanità.

Il Cloud Computing è definito come un modello per abilitare l’accesso re-moto, adattabile e su richiesta, ad un pool di risorse computazionali condivise e configurabili (e.g. reti, server, memoria, applicazioni, servizi) che possono essere rapidamente allocate e rilasciate con il minimo effort gestionale e mini-mizzando l’interazione con il fornitore della tecnologia stessa.

Com’è noto, questo paradigma prevede tre diversi modelli base di servizio (SaaS, PaaS e IaaS) e quattro modelli base di deploy (Private, Community, Pu-blic e Hybrid), tuttavia gli aspetti salienti che hanno condotto Dedalus prima a sperimentare e poi ad adottare soluzioni Cloud, sono le caratteristiche intrinse-che di questa soluzione:

– Self-service on-demand;– Accesso alla banda larga;– Pooling delle risorse;

Figura 12.2 Architettura della piattaforma Dedalus di interoperabilità



– Elasticità e Rapidità della configurazione;– Misurabilità dei servizi.

Queste caratteristiche consentono di supportare quei requisiti tanto impellenti nel mondo della sanità descritti nella sezione Introduzione, ovvero l’implemen-tazione di ambienti distribuiti ed eterogenei, performance, dinamicità, monito-raggio e controllo.

Partendo da questi presupposti, i ricercatori Dedalus hanno intrapreso un percorso incrementale per adottare le tecnologie Cloud nei proprio applicativi, partendo proprio dalla piattaforma di interoperabilità che rappresenta la suite più innovativa e già predisposta alla flessibilità grazie alla sua architettura mo-dulare. La piattaforma, infatti, era già stata progettata secondo principi di vir-tualizzazione, proprio per essere facilmente adattabile alle diverse esigenze dei propri clienti.

Un primo passo è stato dunque quello di adottare un modello IaaS in cui le risorse necessarie al deploy della piattaforma potessero essere rapidamente configurare in funzione dei moduli da attivare ovvero delle esigenze specifiche della struttura sanitaria.

Attualmente è in corso una seconda fase che, grazie al coinvolgimento di partner internazionali e ad un progetto Europeo co-finanziato dalla CE, mirerà a trasformare X1V1 in una piattaforma Cloud-based aderente a modelli SoA standard (Service oriented Architecture) e testabile automaticamente tramite framework di test basati su linguaggi e modelli di test standard.

Figura 12.3 Principali modelli di servizio offerti dal Cloud

Cloud ClientsWeb browser, mobile app, thin client,

terminal emulator, ...

SaaSCRM, Email, virtual desktop, communication,

games, ...

PaaSExecution runtime, database, web server,

development tools, ...

IaaSVirtual machines, servers, storage, load

balancers, network, ...

Infr

a-

stru

ctur

eP

latfo

rmA

pplic

atio

n



12.3 Uno sguardo al futuro

Il servizi offerti dal Cloud possono essere classificati in tre modelli principali, a seconda del livello al quale sono collocati, a partire dal livello hardware fino al livello applicativo (Fig. 3). La tendenza in sanità è quella di considerare mag-giormente il livello più basso, ovvero quello in cui i principali vantaggi derivano dall’adozione di una infrastruttura con capacità computazionale, di memoriz-zazione, e di rete, sulla quale l’utente possa installare ed eseguire il software a lui necessario, dal sistema operativo alle applicazioni.

Al contrario, grandi opportunità sono offerte dal livello SaaS, in cui il servi-zio offerto dal fornitore è un’applicazione software che può essere utilizzata su richiesta. La particolarità di questo approccio sta nello stabilire chi è il fornito-re del servizio.

Attualmente, le strutture che per prime hanno guardato all’innovazione adottando soluzioni Cloud-based, hanno puntato a soluzioni IaaS effettuando accordi con Cloud providers per la fornitura di infrastrutture in grado di mi-gliorare le prestazioni e l’affidabilità di applicativi di reparto o gestionali, adot-tando modelli di deploy sia pubblici sia privati. Al contrario, una nuova visione, che abbiamo chiamato approccio imprenditoriale, può prevedere un nuovo mo-dello di offerta in cui le strutture sanitarie oltre ad essere clienti, diventano esse stesse fornitori Cloud-based di servizi a valore aggiunto. È un approccio com-pletamente nuovo basato sul modello SaaS per i cittadini.

Le nuove opportunità offerte da questa vision possono venire incontro alla progressiva riduzione dei finanziamenti operata dalla Comunità Europea e da-gli enti governativi nei confronti delle strutture sanitarie territoriali. Questa tendenza, aggravata dalla crisi economica in atto, rischia di incidere pesante-mente sulla qualità del servizio offerto ai cittadini. Da una ricerca realizzata dal Censis nell’ambito delle attività del Forum per la Ricerca Biomedica e presen-tata a Roma il 15 marzo 2012 da Carla Collicelli, Vicedirettore del Censis, emerge che la spesa dei cittadini per la salute è arrivata a 30,6 miliardi di euro (+8% nel periodo di crisi 2007-2010). È stimato in 17 miliardi di euro nel 2015 il gap cumulato tra le risorse di cui ci sarebbe bisogno per coprire i bisogni sa-nitari dei cittadini e i soldi pubblici che presumibilmente il Servizio sanitario nazionale avrà a disposizione.

In questo scenario, la sanità pubblica avrà due alternative se non vuole ridur-re la qualità del servizio al di sotto di limiti accettabili: o si muoverà verso un modello privato in stile statunitense, in cui la qualità dell’assistenza dipenderà dalla qualità dei contratti assicurativi che i cittadini saranno in grado di stipulare, oppure si adotta un modello “ibrido” con servizi a pagamento ad integrazione dei servizi di base. L’approccio imprenditoriale mira proprio a questo obiettivo:



a. Il finanziamento pubblico dovrà garantire un livello minimo di servizi e di qualità di questi servizi;

b. L’approccio imprenditoriale consentirà alle strutture di fornire nuovi servizi ad alto valore aggiunto, non indispensabili ma per i quali una parte dei cit-tadini, che chiede benessere oltre che salute, sarà disposta a pagare, contri-buendo, così, a finanziare le strutture stesse;

c. I nuovi fondi ottenuti dai cittadini, contribuiranno a migliorare la qualità dei servizi fondamentali, per tutti i cittadini.

Le possibilità di nuovi servizi a valore aggiunto offerte dal Could sono nume-rose, a titolo di esempio:

– eDocuments: Patient summary, Scheda sanitaria individuale, Referti, Scan-sioni, Lastre, ecc.;

– eEvents;– ePrescription;– eBooking;– eStatements.

12.4 Conclusioni

I benefici che il Cloud Computing è in grado offrire sono senza dubbio di grande interesse per il mondo ICT e hanno già mostrato notevoli vantaggi in molti con-testi applicativi. In particolare, i principali benefici possono essere riassunti in:

– Riduzione dei costi: grazie and una economia ed efficienza di scala legata alla possibilità di ottimizzare l’uso delle risorse;

– Versatilità: grazie alla possibilità di adattare l’uso delle risorse in funzione di picchi di carico con la granularità di giorni o anche ore nell’arco della gior-nata;

– Disponibilità delle risorse per applicazioni critiche;– Sevizi ad alto valore aggiunto: grazie alla allocazione efficace delle risorse e

della conoscenza, a al supporto all’adozione degli standard.

Naturalmente, come per qualsiasi altra tecnologia, il Cloud non è esente da ri-schi e criticità, tra cui:

– Sicurezza e Privacy: i servizi basati su Cloud e il paradigma della virtualizza-zione infrangono le tradizionali tecniche di sicurezza e i costi legati alla pro-tezione dei dati sono in forte crescita;



– Sovranità sui dati: la localizzazione fisica dei dati può rappresentare un osta-colo alla sovranità sul dato, ed inoltre leggi e statuti locali possono impedire che i dati vengano conservati in determinate regioni;

– Certificabilità e Compliance: la legislatura su protezione e privacy può esse-re diversa da quella in vigore nella propria nazione e la possibilità di effet-tuare audit ai Data Center di Cloud provider pubblici può diventare impra-ticabile;

– Vendor Lock-in: il costo di attivazione di un servizio Cloud può essere bas-so ma il costo di disdetta potrebbe diventare molto alto a causa dell’uso di modelli di servizi proprietari e dell’adozione di API proprietarie per lo svi-luppo dei pacchetti software.

Ciononostante, è indubbio che le potenzialità offerte da questo paradigma sia-no molto promettenti e che le criticità che emergono rappresentano ostacoli sormontabili man mano che il mercato diventa maturo ad accogliere le nuove tecnologie ed anche la legislatura si adegua alle nuove esigenza delle comunità.

Il Cloud Computing può, dunque, effettivamente rappresentare una solu-zione alle impellenti necessità del mondo della sanità che sta profondamente cambiando sia da un punto di vista organizzativo e strutturale sia dal punto di vista dei servizi che da una parte è in grado di offrire e dall’altra vengono richie-sti dai cittadini con crescente insistenza.


[1] Integrating the Healthcare Enterprise – http://www.ihe.net/.[2] Healthcare Informatics – A 3000 Feet View http://healthcareinformatics

3000feet.blogspot.it/2007/02/accurate-definitions-emreprehr.html. [3] Health Level Seven http://www.hl7.org/.[4] Healthcare Services Specification Project http://hssp.wikispaces.com/.


A cura di Domenico Laforensa e Mario Po Cloud Computing in...

Documents

Transcript of A cura di Domenico Laforensa e Mario Po Cloud Computing in...