Salve,
approfitto della lista per una domanda giuridica nata durante l'analisi di un sistema operativo distribuito (un fork di Plan 9 from Bell Labs, per chi è del mestiere).
Nel protocollo di rete che sto cercando di realizzare, un eseguibile disponibile su un server remoto può essere eseguito localmente o direttamente sul server, in entrambi i casi accedendo alle risorse locali e a quelle remote (naturalmente rispettando i permessi definiti da tutti gli stakeholder).
Dopo aver riletto
https://www.gnu.org/philosophy/who-does-that-server-really-serve.it.html mi sono chiesto che implicazioni legali avrebbe questa computazione distribuita.
La mia prima domanda è stata: a che legislazione risponde questo immaginario programma?
A quella del server o a quella del client?
La risposta che mi sono dato (lo so... non doveri farlo... IANAL... etc...) è stata "dipende da dove viene eseguito!".
Cosciente che questa risposta è sicuramente sbagliata ho pensato di scrivervi. :-)
Ma subito ho realizzato che, sebbene in modo enormemente più complicato che nel sistema che ho in mente, questa cosa avviene già quotidianamente in milioni di computer!
Il modello client-server che ormai tutti conoscono e comprendono si applica solamente ad una parte del web di oggi.
Tale modello infatti descrive bene la distribuzione e il consumo di documenti statici, di dati, come un pdf, un file Excel, un articolo di giornale, un brano mp3 o un video avi.
Questi file vengono collocati su un server, scaricati da un client e successivamente utilizzati attraverso un programma locale che li rappresenta sullo schermo di un pc o nelle cuffie di un cellulare.
La separazione delle responsabilità è chiara:
- il server risponde alla propria giurisdizione per i documenti che rende disponibili
- il client risponde alla propria giurisdizione per l'utilizzo che fa di quei documenti
Ma quando utilizziamo una applicazione web, come GMail, Google Maps, uno spreadsheet Zoho o anche Office365, stiamo utilizzando una applicazione distribuita, eseguita in parte sul server e in parte sul client (attraverso una notevole quantità di JavaScript eseguita nel nostro browser).
Contrariamente a quanto avveniva fino ai primi anni 2000, non siamo più di fronte ad una rete fatta di server complessi e client semplici.
Nei fatti, siamo di fronte ad una grande rete (quasi) peer to peer, con una vera (ed estremamente inefficiente) computazione distribuita.
I nostri PC eseguono, di fatto, programmi sotto il controllo diretto di terze parti.
E questa modalità operativa è sempre più evidente con l'avvento tecnologie come WebAssembly, ma era già possibile dall'introduzione di CONNECT nell'HTTP 1.1 ed ha iniziato a prendere piede con introduzione di WebSocket e WebNotification in HTML5.
Dunque chi risponde di questi programmi? Sotto quale giurisdizione? A quali leggi devono obbedire?
Faccio un esempio concreto: supponiamo per assurdo che StackOverflow (un sito statunitense il cui business model si basa sul fornire profili dettagliati degli sviluppatori ai recruiter) violi il GDPR sul mio pc, utilizzando informazioni personali che io gli fornisco inavvertitamente senza avermi chiarito esattamente la logica dei processi decisionali automatizzati che ne derivano.
A quali leggi risponde quel software, dal momento che gira effettivamente sul mio pc, ma completamente sotto il controllo di un'ente straniero?
Il mio sospetto è che la computazione distribuita a cui siamo di fronte metta in discussione il concetto di territorio di una Nazione, contrariamente a quanto facesse la rete internet fino ai primi anni 2000, in cui
i confini venivano attraversati dai dati ma NON dalle elaborazioni.
Dunque la mia domanda è: a quale giurisdizione deve rispondere un programma eseguito in Italia (o comunque in Europa) per conto di un ente straniero?
Spero di aver posto la domanda in modo comprensibile.
Scusatemi per la lunghezza, ma vi prego di rispondermi pazientemente anche se si trattasse di dubbi banali, anche solo con qualche riferimento per poter approfondire autonomamente.
Grazie mille!