IL CONTRATTO DI CLOUD COMPUTING
Avv. Paola Belloli
Introduzione
Per cloud computing s’intende l’infrastruttura dei fornitori di servizi web (i cosiddetti cloud provider o CSP), che consente agli utenti di memorizzare dati in spazi informatici remoti (cloud), oltre che a usufruire di altre risorse di Information Technology, quali software, servizi di machine learning, analytics, Big data, ambienti di sviluppo, senza che questi spazi e risorse risiedano nei propri sistemi informatici. In questo periodo di emergenza è diventato imprescindibile lavorare in luoghi diversi dal proprio ufficio. La mole, poi, sempre crescente dei dati di cui si dispone, la comodità di poterli consultare da qualsiasi parte del mondo e tramite qualsiasi piattaforma, oltre alla necessità di ridurre costi, rende sempre più rilevante il tema dei contratti di cloud computing.
Il servizio di cloud computing è indicato per tutti coloro che vogliono conservare i propri dati informatici, anziché nei propri hardware, nella memoria remota del cloud provider. La categoria degli utenti è ampia e va dai singoli consumatori alle aziende pubbliche di grandissime dimensioni, passando per aziende private di ogni taglia.
Lo spazio di memoria per la collocazione dei dati può essere privato, se è dedicato ad una singola azienda (si parla in questo caso di private cloud); pubblico, se è infrastruttura a disposizione di una serie di soggetti diversi (public cloud), o misto (hibrid cloud). Qui ci occupiamo delle sole public cloud.
I servizi di cloud computing possono essere distinti in base alle tipologie di servizio offerto:
- SaaS(Software as a Service): è il servizio più utilizzato, in cui l’utente si avvale dell’hosting service provider, che predispone i programmi rendendoli accessibili via internet ovunque e su qualsiasi dispositivo, prevedendo un pagamento in base all’uso effettivo. Ne sono esempi alcuni programmi di gestione della posta elettronica (es. gmail);
- PaaS(Platform as a Service): molto simile al SaaS, consiste nella messa a disposizione di una piattaforma software tramite internet ( Amazon Web Services; Microsoft Azure) per lo sviluppo programmi, librerie, servizi ecc. in base alle esigenze del cliente, di solito uno sviluppatore, il quale le utilizza per sviluppare propri software, che a sua volta fornisce a terzi.
- IaaS(Infrastructure as a Service): consiste nella messa a disposizione di programmi installati su un server remoto (fuori dal perimetro aziendale) e di risorse hardwere, quali server, capacità di rete, sistemi di memoria, archivio e backup. La caratteristica è che le risorse vengono messe a disposizione su richiesta al momento in cui una piattaforma ne ha bisogno;
- Storage-as-a-serviceo Archiviazione come servizio, è il servizio reso da quegli strumenti con cui l’utente finale può archiviare e condividere dati da remoto (es. Dropbox).
Struttura e natura del contratto
I contratti di cloud computing sono accordi attraverso i quali le parti regolamentano la messa a disposizione e l’utilizzo della memoria remota e dei servizi connessi. Lo schema di contratto è molto complesso e non è specificamente disciplinato dal nostro ordinamento. Si tratta, infatti, di un contratto di servizio atipico, che spesso presenta profili d’internazionalità. Le parti contrattuali normalmente sono tre: 1) il cloud provider, o fornitore del servizio; 2) il cliente amministratore, cioè colui che configura i servizi offerti dal cloud provider e svolge una funzione di interfaccia tra quest’ultimo e il cliente finale; 3) il cliente finale (o cloud consumer) o utilizzatore dello spazio di archiviazione e del servizio, che abbiamo visto.
I contratti di cloud si compongono normalmente di più parti: (i) le condizioni generali del servizio, che regolano ad esempio durata, corrispettivo, responsabilità, risoluzione del contratto, modalità di recesso, giurisdizione, legge applicabile, portabilità dei dati, ecc.; (ii) i livelli qualitativi del servizio offerto (o Service Level Agreement – SLA), cioè gli “allegati tecnici” che indicano dettagliatamente i parametri del servizio offerto; (iii) le obbligazioni delle parti contrattuali (es. condizioni da rispettare affinché non si verifichi l’interruzione o la sospensione del servizio); (iv) le modalità di trattamento dei dati personali (Privacy Policy).
Parte della dottrina ritiene che il contratto di cloud computing abbia natura di ‘appalto di servizi’ (art. 1655 c.c.), sulla base della considerazione che il risultato conseguito sia affine a quello ottenuto attraverso i contratti di outsourcing. Altra parte della dottrina ha invece ritenuto che si tratti di contratto misto, con elementi riconducibili all’appalto di servizi (quali la prestazione di “facere”, come la messa a disposizione di memoria di archiviazione) e altri riconducibili al contratto di licenza (es. per la parte che riguarda l’offerta di utilizzo software). Aderendo a questa tesi, sarà applicabile l’una o l’altra disciplina a seconda del tipo di prestazione che ha dato luogo alla controversia. Ad esempio, la prestazione riconducibile all’appalto di servizio dovrà intendersi come obbligazione “di risultato”, mentre non altrettanto sarà per la prestazione di licenza d’uso.
La privacy nel contratto di cloud computing
L’erogatore del servizio assume un ruolo fondamentale rispetto alla protezione dei dati affidategli. È dunque imprescindibile, prima di stipulare un contratto di cloud computing, capire con quali modalità il provider tratti i dati personali degli utenti finali, e accertare che il trattamento avvenga nel pieno rispetto degli obblighi imposti dal Regolamento UE 2016/679 (GDPR).
Ai sensi dell’art. 32, comma 1, lett. b), del GDPR, il titolare e il responsabile del trattamento devono mettere in atto misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio. Tali misure comprendono, tra le altre, “la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento”.
In estrema sintesi, il GDPR e gli standard ISO/IEC 27701 e ISO/IEC 27018 prevedono i seguenti principi da rispettare per la tutela della sicurezza dei dati degli utenti:
- garanzia all’utente del controllo dei propri dati: il provider deve agevolare l’esercizio dei diritti di accesso, rettifica e/o cancellazione da parte dell’interessato;
- finalitàdel trattamento: le sole finalità del trattamento sono quelle rese note nel contratto di servizio. Scopi pubblicitari o di marketing presuppongono il consenso esplicito dell’interessato;
- minimizzazione dei dati: file e documenti temporanei devono essere cancellati o distrutti entro un periodo specificato;
- limitazione all’uso, alla conservazione e alla divulgazione: a meno di espresse disposizioni di legge, la richiesta di divulgazione di dati da parte di autorità amministrative o giudiziarie deve essere notificata al cliente tempestivamente;
- trasparenza: il ricorso a subappaltatori da parte del provider deve essere reso noto al cliente prima del loro utilizzo, e deve essere preventivamente autorizzato se il subappaltatore tratta dati personali per conto del cliente, e dunque opera quale sub responsabile del trattamento;
- accountability (o principio di responsabilità): il provider deve mettere in atto misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio e deve notificare tempestivamente al cliente le violazioni che comportano perdite, diffusione o modifica dei dati personali (data breach);
- conformità alle norme in materia di privacy anche in caso di trasferimento dei dati: il provider deve indicare i Paesi in cui potrebbero essere conservati i dati, anche derivanti dall’utilizzo di subappaltatori e indicare specifici accordi contrattuali applicati in merito al trasferimento internazionale di dati.
Le criticità dei moduli contrattuali
Il contratto è lo strumento formale a disposizione delle parti per regolare la propria relazione giuridica. Il cloud consumer potrà appellarsi principalmente al contratto per ottenere il rispetto dei suoi diritti e di quanto pattuito in base alle sue esigenze. Tuttavia, nell’ambito del cloud computing i provider o i clienti amministratori, data la loro posizione dominante, ricorrono normalmente a contratti per adesione, costituiti da clausole predisposte unilateralmente da uno solo dei contraenti. Questo rende impossibile negoziare le condizioni dell’accordo, perché l’utente non ha il potere contrattuale per determinare i contenuti e i livelli di sicurezza del servizio che acquista. Il soggetto stipulante può tuttavia scegliere tra i diversi soggetti che offrono il servizio sul mercato e tra i diversi contratti. L’offerta è fortunatamente piuttosto ampia e quindi l’utente ha la possibilità di scegliere il provider o il cliente amministratore che offre condizioni migliori. Occorre quindi individuare fra le varie proposte quella che più si avvicina alla soluzione che meglio si addice alle esigenze del cliente finale, tenendo presente che il contratto deve, prima di tutto, essere redatto in forma chiara e trasparente. Infatti, la mancata trasparenza o chiarezza del contratto non consente una scelta consapevole e appropriata.
Gli elementi contrattuali di maggiore rilievo e a cui occorre porre attenzione sono:
- la Responsabilità del Fornitore (CISP) – Spesso i contratti contengono clausole tendenti ad escludere la responsabilità del provider per talune tipologie di danni, e a stabilire un limite di risarcibilità predeterminato (una sorta di “massimale”).
- Livelli di servizio e penalità – I Service Level Agreement (SLA), con cui il provider definisce i parametri di riferimento per l’erogazione del servizio e il monitoraggio della qualità. Un buon contratto è bene che indichi detti parametri di misurazione tecnica della qualità del servizio, oltre alle penalità che il provider deve riconoscere al cliente in caso di perdite di performance del servizio al di sotto dei livelli contrattualmente garantiti, oltre al risarcimento del maggior danno e una clausola risolutiva espressa per cessare il contratto.
- Tutela della sicurezza dei dati – il contratto dovrebbe indicare le misure tecniche ed organizzative adottate per la tutela dei dati (sia “a riposo”, sia “in transito”) e i controlli di sicurezza.
- Disaster Recovery – il contratto deve contenere l’indicazione del sito secondario da cui verrà erogato il servizio in caso di disastro, i tempi di ripristino dei servizi e i tempi di sincronizzazione dei dati tra i due siti.
- Localizzazione dei data center e filiere di fornitura – un buon contratto deve indicare in modo chiaro e trasparente i luoghi in cui i dati verranno trattati o conservati, anche nel caso in cui l’intermediario da cui si acquista il servizio si avvalga di subfornitori extra UE.
- Soggetti responsabili della tutela dei dati personali (Privacy policy) – è bene regolamentare nel contratto (o tramite allegata designazione di responsabile del trattamento), gli obblighi e le reciproche responsabilità in relazione al trattamento dei dati, nonché i doveri di assistenza e collaborazione che i responsabili e sub-responsabili devono garantire al titolare, ai sensi dell’art. 28 del GDPR.
- Modalità di Audit –l’utente deve poter essere messo nella condizione di poter controllare il Cloud Service Provider sia per verificare che l’esercizio del servizio sia conforme alle regole contrattualmente dichiarate, sia per verificare l’effettiva protezione dei dati.
- Risoluzioni contrattuali (way-out) – l’utente dovrebbe potersi riservare la possibilità di far cessare gli effetti del contratto – tramite apposite clausole risolutive espresse, qualora il servizio si riveli insoddisfacente, ad esempio, per ripetuti inadempimenti agli SLA, o se è venuto meno l’interesse per il servizio, ad esempio, per mutate esigenze aziendali – e di conoscerne nel dettaglio le conseguenze pratiche (portabilità, tempi e mezzi di restituzione delle informazioni…).
- Migrazione: occorre prevedere la possibilità di migrare le proprie applicazioni verso un altro fornitore Cloud in maniera semplice e sicura, predeterminando modalità e tempistiche di uscita dal servizio Cloud, modalità di restituzione dei dati e possibilità di lasciare le interfacce di interoperabilità aperte, in modo da poter effettuare le operazioni di migrazioni in autonomia. La mancata regolazione della portabilità dei dati e dei tempi di uscita dal contratto di cloud rischia infatti di creare il c.d. lock in, cioè l’impossibilità di fatto di cambiare il provider. Oltre agli aspetti contrattuali, occorre porre attenzione agli aspetti tecnologici quali l’interoperabilità e la cancellazione dei dati.
- Legge applicabile e foro competente in caso di controversie. Le norme europee (regolamento CE n. 593/2008, sostitutivo della Convenzione di Roma del 19 giugno 1980, e Convenzione di Bruxelles) stabiliscono l’applicabilità al contratto dellalegge dello Stato in cui risiede il consumatore. Inoltre, il legislatore italiano esclude che il consumatore possa essere privato della tutela minima richiesta dal Codice del Consumo. Se però l’utente non è un consumatore, ma è un’azienda (o una società commerciale), non si applica la tutela del foro del consumatore e sono valide le (assai frequenti) clausole volte a limitare la responsabilità del cloud provider, principalmente quelle derogatorie del foro competente (clausola vessatoria). Per molte fattispecie (come i casi da data breach) il luogo di collocazione dei propri dati determina la giurisdizione e la legge applicabile.
***
Considerata la specificità della fattispecie legale, non sarà facile per l’utente orientarsi nelle selva delle diverse clausole contrattuali previste nei moduli di contratto, né delle protezioni tecnologiche peculiari di ciascun provider. Sarà quindi importante affidarsi alla consulenza di professionisti esperti, tanto nel diritto, che nelle tecnologie, capaci anche di intervenire in caso di violazione dei diritti alla privacy o di violazione della cyber security, perché la comparazione tra le varie tipologie contrattuali offerte resta la migliore garanzia di tutela per i fruitori di questo importante servizi.
Riproduzione Riservata
Ultimi articoli del blog
- SERVIZI CLOUD E LOGICHE AS A SERVICE – Verso una più equa distribuzione del rischio contrattuale e nuove tutele30 Aprile 2021 - 11:13
- Report del Parlamento Europeo del 5 Ottobre su AI Liability10 Ottobre 2020 - 18:20
- Il contratto di Cloud Computing: dati, diritto, nuove tutele.3 Aprile 2022 - 17:05
- LH ROMA LEX DRINK COOK YOUR COOKIES9 Dicembre 2021 - 18:17
- LEGAL INNOVATION CONFERENCE RAFFAELLA AGHEMO26 Novembre 2021 - 18:44
Dove Siamo
Iusintech
Via Vincenzo Bellini, 10
20122 Milano (Italia)
Email: hello@iusintech.com
Skype: iusintech
Telefono: +39.02.799.991