E-commerce

Published on settembre 23rd, 2014 | by Gianluigi Fioriglio

0

Contratto di cloud computing

Il contratto di cloud computing (o contratto di prestazione di servizi di cloud computing) regolamenta la prestazione degli omonimi servizi, sempre più utilizzati sia da aziende sia dai privati ma, troppo spesso, senza cognizione di causa.

I profili giuridici connessi ai contratti per la prestazione di servizi di cloud computing sono di diverso ordine e in questa sede è possibile solo effettuare brevi cenni a taluni di essi, fermo restando che la redazione, la negoziazione o la conclusione di un contratto di cloud computing richiedono particolare attenzione oltreché il possesso di specifiche competenze in ambito informatico-giuridico.

Premesso che, in linea generale, con l’espressione “cloud computing” si definiscono i servizi di rete forniti mediante server virtuali distribuiti (software distribuito su hardware “reale”), le criticità appaiono chiare già ove si pensi, dal punto di vista tecnico, alla seguente distinzione fra le principali tipologie di servizi di cloud computing:

–       IaaS (Infrastructure as a Service): utilizzo di una infrastruttura computazionale;

–       Paas (Platform as a Service): utilizzo di una piattaforma software;

–       SaaS (Software as a Service): utilizzo di uno o più programmi;

–       DaaS (Data as a Service): utilizzo dati di varia tipologia;

–       NaaS (Network as a Service): fornitura di connettività.

 

Legge applicabile e foro competente per i contratti di cloud computing

La prima questione, ovviamente, è relativa all’individuazione della legge applicabile e del foro competente, atteso che i servizi di cloud, per loro stessa natura, presentano un’architettura distribuita. In linea di principio, sarà opportuno menzionarli esplicitamente nel contratto per evitare dispute in relazione a tali aspetti, fermo restando che anche tale individuazione dovrà essere effettuata nel rispetto della normativa in materia (basti pensare, ad esempio, alle differenze conseguenti alla fornitura di un servizio da professionista a professionista o da professionista a consumatore).

Dal momento che i servizi possono essere resi anche da altri stati e che è possibile concludere contratti con società aventi sede all’estero (non solo nell’Unione Europea, ma anche in tutto il mondo), sarà necessario valutare se, in relazione all’eventuale attività svolta usufruendo dei servizi di cloud, non si verifichi la violazione di determinate normative (ad esempio, in materia di protezione dei dati personali); inoltre, è opportuno riflettere, anticipatamente, sul possibile costo di eventuali dispute giudiziarie (ad esempio, perché sarebbe necessario incardinare un procedimento giudiziario negli Stati Uniti).

I soggetti del cloud computing

In un contratto di cloud computing è sempre presente un soggetto che fornisce il servizio (provider) e un soggetto che ne usufruisce, per i propri fini interni o nella qualità, a sua volta, di fornitore di altri servizi che vengono erogati verso terzi soggetti (non legati contrattualmente al cloud provider).

Pertanto, possono aversi questioni connesse alla presenza dei predetti soggetti, che possono avere diversa natura giuridica. Basti pensare, del resto, alla catena che lega i predetti soggetti (dal cloud provider all’azienda A e da questa al consumatore o azienda B).

Responsabilità contrattuale e cloud computing

Com’è noto, molti servizi di cloud computing sono resi da provider di grandissime dimensioni, nei cui confronti la maggior parte delle aziende o dei consumatori sono privi del benché minimo potere contrattuale; in altri termini, non possono, in linea generale, negoziare il contratto, anche solo in riferimento a specifiche clausole. Pertanto, in numerosi casi si può solo scegliere se aderire o meno al contratto medesimo.

Nella prassi, la lettura dei contratti-tipo generalmente predisposti evidenzia la ricorrente presenza di clausole estremamente vessatorie (ad esempio, l’assoluta esenzione di responsabilità e/o la sua limitazione, la possibilità di cessare il servizio unilateralmente in qualsiasi momento, ecc.). Bisogna tener presente che, in diversi casi, numerose clausole contrattuali sono comunque potenzialmente nulle per la normativa italiana (ad esempio, quando si prevede la totale esenzione da responsabilità anche per dolo o colpa grave). Per quanto l’autonomia dei privati sia una prerogativa anche del nostro ordinamento giuridico, determinate norme imperative non possono essere derogate o, in alcuni casi, è necessario rispettare determinate formalità.

Parimenti di prassi è la presenza di clausole che regolano il livello del servizio (SLA, Service Level Agreement), ma possono sorgere problemi non solo in relazione a quanto dalle medesime disposto ma altresì al momento del loro calcolo concreto (in sostanza, per verificare che siano correttamente calcolati e che non siano previste eccessive limitazioni di responsabilità).

Sul punto, infine, è opportuno ricordare che quando un soggetto conclude un contratto di cloud computing per erogare, a sua volta, servizi a terzi soggetti deve prestare attenzione alla congruenza fra le sue obbligazioni e quelle del cloud provider, poiché offrire, in ipotesi, maggiori garanzie di quelle eventualmente ricevute (ad esempio, SLA migliorativi) potrebbe esporre a responsabilità civile in caso di inadempimento.

Privacy e protezione dei dati personali nel cloud computing

La privacy è, sin dal principio, uno degli ambiti più spinosi per ciò che concerne il cloud computing, soprattutto ove si consideri che il diritto alla privacy tende, da diversi anni, a connotarsi sempre più quale diritto al controllo dei dati personali.

I problemi che sorgono sono di diversa tipologia, come di seguito evidenziato (a titolo esemplificativo e non esaustivo):

–       ruolo del titolare e (se designato) del responsabile: il titolare del trattamento risponde degli illeciti previsti dalla normativa vigente; la nomina di un responsabile non lo esime da ciò (anche se in caso di violazione degli obblighi contrattuali di quest’ultimo potrà rivalersi, eventualmente, su di esso);

–       quando è applicabile la legge comunitaria? In linea di principio, ciò si verifica quando il trattamento viene effettuato sul territorio europeo (anche parzialmente mediante l’utilizzo di strumenti ivi ubicati). Così, con precipuo riferimento cloud computing, avere un data center in Europa comporta l’applicazione della normativa in tema di protezione dei dati personali; ancora, effettuare parte del trattamento in Europa (pur se con data center posto negli Stati Uniti, ad esempio) può comportare l’applicazione della normativa italiana (di derivazione comunitaria). È opportuno evidenziare che spesso il concetto di strumento è interpretato in modo (molto) ampio: ad esempio, un utente italiano di un social network statunitense, utilizzando un computer posto in Italia, può dar vita a un trattamento sottoposto alla legge italiana;

–       trasferimento di dati extra-UE: la normativa europea è molto restrittiva e, in linea generale, non consente il trasferimento di dati personali verso paesi che non garantiscano un adeguato livello di protezione (per gli USA, si può far riferimento al “SAFE HARBOUR”; ancora, si può ottenere il consenso esplicito dell’utente);

–       il ruolo del fornitore dei servizi di cloud: chi offre tali servizi potrebbe consentire l’accesso ai dati memorizzati da parte di propri dipendenti o soggetti terzi; è necessario, pertanto, formalizzare anche tale circostanza.

In linea di principio, è dunque opportuno scegliere provider che garantiscano espressamente il rispetto della normativa italiana e che, possibilmente, abbiano un data center in Europa.

Inoltre, bisogna menzionare il binomio “privacy e sicurezza”: non c’è privacy senza sicurezza, e la normativa vigente prevede l’adozione di determinate misure di sicurezza. Il rivolgersi a servizi di cloud computing non esonera, sic et simpliciter, da responsabilità e dunque ciascun caso deve essere compiutamente valutato.

Hosting e cloud computing

La responsabilità in tema di hosting può sorgere, sostanzialmente, verso due categorie di soggetti: i propri clienti (per inadempimento, ad esempio) o terzi soggetti, non legati da un rapporto contrattuale (dunque, nulla di nuovo).

Nella seconda ipotesi potrà essere applicato il decreto legislativo 70/2003, che disciplina un particolare regime di responsabilità per gli hosting provider (“prestatori di servizi della Società dell’Informazione”). La normativa dispone che, in linea generale, detti prestatori non abbiano un obbligo generale di sorveglianza; non possono pertanto essere ritenuti responsabili qualora memorizzino dati illeciti, salvo che non ne siano a conoscenza (o che l’illiceità sia manifesta); in tal caso, su comunicazione delle autorità competenti, devono agire immediatamente per rimuovere le informazioni o per disabilitarne l’accesso.

Per godere della suddetta esenzione, inoltre, è necessario che gli stessi non effettuino elaborazioni o trattamenti sui dati; devono solo memorizzali e renderli disponibili come convenuto con i propri clienti.

Migrazione

Il passaggio da un provider all’altro (migrazione) potrebbe essere più complicato di quanto si immagini; si può pertanto prevedere tale circostanza anche dal punto di vista contrattuale, per evitare conseguenze pregiudizievoli all’atto della migrazione verso altro provider di servizi di cloud computing oppure per renderla comunque più agevole senza particolari sorprese.

Conclusioni

I cenni sin qui effettuati, necessariamente molto brevi, evidenziano talune problematiche legali connesse al contratto di cloud computing, senza pretesa di esaustività, al fine di mostrare come gli aspetti giuridici anche di un servizio ad elevato contenuto tecnologico non possano essere mai pretermessi, soprattutto quando si opera in ambito aziendale.

Share on FacebookShare on LinkedInTweet about this on TwitterShare on Google+Print this pageEmail this to someone

Tags: , , , ,


About the Author



Back to Top ↑