Internet, nuove tecnologie - Generalità, varie -  Alessandro Filippi - 09/06/2016

I contratti nel cloud - il modello SAAS: vantaggi, svantaggi ed esempi concreti – Alessandro Filippi

Nel corso degli ultimi vent"anni si è assistito a una vera e propria rivoluzione nel del diritto delle nuove tecnologie. Ciò ha comportato all"introduzione nel nostro panorama giuridico di nuovi concetti legali, di nuovi beni tutelati e quindi di nuove tipologie contrattuali.

Quando si parla di Cloud Computing (nato nel 2006 e diffusosi nel 2008) intendiamo tutti quei servizi che per mezzo di risorse informatiche altrui permettono all"utente di accedere in tempo reale al più disparato numero di dati e/o informazioni. La messa a disposizione di una serie di tecnologie informatiche, accessibili direttamente on-line, permettono all"utente di utilizzare, spazio per memorizzare dati e software, server virtuali senza che le risorse siano localizzate nei sistemi informatici dello stesso, bensì mediante il collegamento a server remoti gestiti da terze parti[1]. Si pensi al caso in cui si consulta la posta elettronica on-line, si utilizza un"applicazione di un Social Network o si memorizzano dei dati in Dropbox.

Tutte queste comuni attività sfruttano risorse informatiche altrui per farci accedere a dei dati.

La caratteristica principale di questo modello è che il software non è gestito in proprio dall"utilizzatore ma è l"utente che sceglie i servizi da usufruire in base alle proprie esigenze.

Si avrà quindi la possibilità di:

  • Utilizzare un software che permette di avere un data base sempre aggiornato (Modello SAAS);
  • Fruire di software per effettuare backup dei dati da remoto (Es. Dropbox, ICloud, One Drive);
  • Beneficiare di spazi virtuali per gestire progetti, memorizzare informazioni e dati (Es. Dropbox, ICloud, One Drive, Google Drive);
  • Usare servizi di web mail, agende digitali, spazi di memoria di massa virtuali (Es. servizi Gmail di Google).

Insomma, attraverso i servizi Cloud è possibile esternalizzare una parte dei processi e delle funzioni che un"azienda altrimenti avrebbe svolto in house attraverso un"architettura client-server.

Nel Cloud la prestazione di hosting è "virtuale" in quanto i server sono di proprietà del Cloud Provider. Questi non sono accessibili direttamente dal cliente il quale può agire su di essi solo via telematica. Idem per il software e per i contenuti (es. brani musicali che ascoltiamo su Spotify) distribuiti a chiunque e ovunque a chi ha le credenziali di accesso alla "nuvola".

I modelli contrattuali nel cloud si possono dividere nelle seguenti tre categorie:

SAAS: (Software as a Service): Rende disponibili applicazioni informatiche da parte di un Provider che ne garantisce l"esecuzione in via telematica attraverso una infrastruttura hardware e una piattaforma software predisposta ad hoc;

IAAS (Infrastructure as a Service): in genere mette a disposizione vere e proprie infrastrutture, ossia la struttura hardware composta da server virtuali remoti;

PAAS (Platform as a Service): Rende disponibili piattaforme informatiche, ossia la struttura software.

Tra questi, il modello più comune è il Software as a Service - SAAS (Es. Google, Dropbox).

Lo stesso permette all"utente di fruire di un software per via digitale con prestazioni equivalenti a quelle ottenibili attraverso l"installazione locale di apparati elettronici, supporti contenenti opere digitali e relative licenze per software e banche dati.

L"elemento peculiare di questo modello di utilizzo dell"Information Technology è l"erogazione di un servizio.

L"informatica esce dall"azienda e viene ad essa "restituita" mediante meccanismi incentrati sull"accesso, tanto che la letteratura economica sul punto parla di "cultura dell"accesso"[2] . L"importante non è più essere proprietari della risorsa, bensì essere nelle condizioni di poter accedere ad essa grazie ai servizi che terzi erogano.

Ciò detto in via generale è opportuno vagliare i vantaggi e gli svantaggi del cloud computing.

I vantaggi riguardano l"abbattimento dei costi relativi all"acquisto di software o soluzioni informatiche aggiornate, sono eliminati gli oneri di gestione ed il rischio di esercizio viene trasferito al fornitore del servizio. Tali benefici rendono questo modello appetibile soprattutto per PMI e Startup che risolverebbero i noti problemi relativi al ridotto budget delle stesse.

Un sistema in cui l"applicativo software è ospitato all"interno dell"infrastruttura del fornitore al quale l"utente accede mediante una "User Id" e una "Password" eviterebbe ai fruitori del sistema cloud di acquistare annualmente nuove versioni di aggiornamento e risparmierebbero anche sull"assistenza tecnica. Nel Cloud, infatti, ogni servizio utilizzato sarà gestito e aggiornato dal provider.

Per contro, però, il rapporto instaurato è di completa dipendenza dal cloud provider[3].

Tali soluzioni limitano enormemente il potere di controllo dell"utente (si pensi ai frequenti modelli contrattuali predisposti unilateralmente dal fornitore del servizio) che non può verificare l"adeguatezza delle risorse hardware e software predisposte. Per tale motivo vengono predisposti gli SLA (Service Legal Agreement), ovvero accordi con i quali le parti regolano reciprocamente i livelli di servizio attesi facendo riferimento a parametri condivisi individuati da specialisti.

Altri svantaggi attengono alla Privacy. I dati personali degli utenti, infatti, sono detenuti da chi eroga il servizio.

Nella valutazione preliminare che l"utilizzatore del cloud deve eseguire prima di sottoscrivere un contratto è opportuno verificare se il fornitore del servizio è disposto a comunicare la localizzazione del server ove i dati vengono memorizzati e/o trattati.

E" conveniente, inoltre, appurare se l"operatore con cui stiamo per concludere il contratto ci offre la possibilità di scegliere l"area geografica ove memorizzare i dati.

Se il fornitore si trova nell"area dell"Unione Europea il rischio è sicuramente minore rispetto al caso in cui il fornitore sia americano. In quest"ultimo caso fino a poco tempo fa era utile verificare se tale fornitore aderiva a Self Harbor (accordo tra Europa e Usa che consente alle imprese americane di conoscere i dati personali degli utenti europei). Ora, dopo che una sentenza della Corte di Giustizia Europea (ottobre 2015) ha dichiarato illegittimo Self Harbor, è entrato in vigore il Privacy Shield ovvero un accordo politico che si basa sulla garanzia da parte degli americani che i dati europei non siano sottoposti a vigilanza indiscriminata. Tuttavia secondo un recente parere pubblicato dal Garante, dati dell"Unione Europea il 16.04.16[4], l"accordo per lo scambio dei dati tra USA e UE così com"è non resisterebbe allo scrutinio della Corte di Giustizia in quanto vi sono alcuni casi in cui comunque le autorità USA potrebbero raccogliere in i dati personali in massa.

Coloro che utilizzano il cloud non sono generalmente a conoscenza della posizione fisica dei dati affidati al fornitore del servizio. Nel corso del normale svolgimento dell'attività, l'ubicazione fisica dei file può apparire irrilevante, l"importante per gli utenti è che il servizio funzioni sempre ad ogni interazione e comunque. Il luogo dove si trovano i dati, però, determina il tipo di normativa applicabile per la loro protezione. Di conseguenza i clienti del cloud provider possono inconsapevolmente trovarsi assoggettati ad un livello di sorveglianza diverso da quello che credono.

La prima raccomandazione è quindi di cercare di conoscere in primis il luogo ove i dati vengono memorizzati.

In secondo luogo, i clienti del cloud devono informarsi su chi gestirà i dati archiviati in remoto. Le organizzazioni mantengono il controllo sull"accesso degli utenti ma anche alcuni membri del team del fornitore del servizio acquisiranno l"accesso allo storage off-site.

Infine, i clienti del cloud devono interessarsi alle pratiche e alle procedure adottate dal fornitore di servizio in materia di recupero dei dati in caso di violazione della sicurezza o perdita degli stessi.

Di seguito le policy contrattuali aggiornate dei quattro maggiori cloud provider statunitensi:

Google Drive (aggiornamento al 30.04.14): "Quando l'utente carica, trasmette, memorizza, invia o riceve contenuti da o tramite i nostri Servizi, concede a Google (e ai partner con cui collaboriamo) una licenza globale per utilizzare, ospitare, memorizzare, riprodurre, modificare, creare opere derivate (come quelle derivanti da traduzioni, adattamenti o altre modifiche apportate in modo tale che i contenuti funzionino al meglio con i nostri Servizi), comunicare, pubblicare, eseguire pubblicamente, visualizzare pubblicamente e distribuire i suddetti contenuti. I diritti che concede con questa licenza riguardano lo scopo limitato di utilizzare, promuovere e migliorare i nostri Servizi e di svilupparne di nuovi. Questa licenza permane anche se l'utente smette di utilizzare i nostri Servizi (ad esempio nel caso di una scheda di attività commerciale aggiunta a Google Maps)".

Microsoft One Drive (aggiornata all"1.08.15): "Qualora l"Utente condivida il proprio Contenuto con altri, accetta espressamente che qualsiasi persona con cui condivide tale Contenuto lo possa utilizzare, salvare, registrare, riprodurre, trasmettere, visualizzare e comunicare (ed eliminare su HealthVault) in modo gratuito e a livello internazionale. Per non concedere ad altri tale facoltà, l"Utente non dovrà utilizzare i Servizi per condividere il Contenuto".

Dropbox (aggiornata al 5.11.15): "Quando utilizzi i nostri servizi, ci fornisci file, contenuti, messaggi email, contatti e altro ancora ("I tuoi file"). Tali file sono di tua proprietà. I presenti Termini non ci concedono nessun diritto sui tuoi file ad eccezione dei diritti limitati che ci consentono di offrire i Servizi. Abbiamo bisogno del tuo permesso per eseguire operazioni quali gestire l'hosting dei file, farne un backup e condividerli quando ci chiedi di farlo. I nostri Servizi offrono inoltre funzioni quali miniature di foto, anteprime di documenti, organizzazione di email e modi semplici per ordinare, modificare, condividere e cercare i tuoi file. Queste e altre funzioni potrebbero richiedere l'accesso, l'archiviazione e la scansione dei tuoi file da parte del nostro sistema. Ci concedi il permesso di eseguire tali operazioni e tale permesso si estende ai nostri affiliati e a terze parti affidabili con le quali collaboriamo".

ICloud (aggiornata al 16.09.15): "inviando o pubblicando tali Contenuti in aree del Servizio che sono accessibili al pubblico o ad altri utenti per i quali prestate il consenso alla condivisione di tali Contenuti, concedete a Apple una licenza mondiale, gratuita, non esclusiva di utilizzare, distribuire, riprodurre, modificare, adattare, pubblicare, tradurre, rappresentare pubblicamente, e mostrare pubblicamente tali Contenuti sul Servizio, unicamente ai fini per i quali tali Contenuti sono stati inviati o resi disponibili, senza alcuna retribuzione o obbligazione nei Vostri confronti".

Evidente che il godimento del servizio cloud va a limitare la riservatezza dei dati. Ogni operatore, infatti, specifica che con la pubblicazione/memorizzazione dei dati nei loro server gli stessi potranno essere usati dal cloud provider e/o dai membri dello stesso per esigenze di servizio.

Ebbene questo è proprio l"aspetto più delicato dello sviluppo dei servizi cloud: l"utente che immette i dati nel cloud se da un lato ha un beneficio in termini di costi e di praticità di utilizzo, per contro limita il suo diritto alla riservatezza.

Sul punto il Garante della Privacy nel parere n. 5/2012 così si è pronunciato: "Affidando dati personali a sistemi gestiti da un fornitore di servizi cloud, i clienti rischiano di perdere il controllo esclusivo dei dati e di non poter prendere le misure tecniche e organizzative necessarie per garantire la disponibilità, l'integrità, la riservatezza, la trasparenza, l'isolamento, la portabilità dei dati e la possibilità di intervento sugli stessi".

Il Garante ha quindi, fin da subito, messo in allerta gli utenti del cloud profilando dubbi sulla riservatezza dei dati in esso contenuti tanto che nell"agosto 2014 l"ente di certificazione internazionale ISO ha pubblicato uno Standard specificamente elaborato per i fornitori di servizi di cloud computing. Si tratta dell"ISO 27018, ovvero un insieme di regole per garantire il rispetto dei principi e delle norme privacy dettate dalla Direttiva 95/46/CE, da parte dei cloud providers.

Sotto il profilo della qualificazione giuridica, tali accordi avendo natura di contratti misti comprendono elementi riconducibili all"appalto di servizi e al contratto di licenza. Frequente è anche l"accostamento all"outsourcing (esternalizzazione dei servizi affidati a terzi portati al di fuori dell"azienda).

Nella redazione materiale dell"accordo che come detto è un contratto complesso e atipico sarà dato più spazio ad una tipologia contrattuale o all"altra a seconda dei casi. La prevalenza di una prestazione di fare, avente ad oggetto la fornitura di servizi software, unitamente alla presenza di una organizzazione dotata di mezzi e gestione propri ed al pagamento di un corrispettivo, sono tutti elementi che fanno propendere per un appalto di servizi, anche se le prestazioni assumo il carattere della continuità e periodicità.

Dal punto di vista strutturale il contratto SAAS è composto di quattro tipi di documenti:

1. Accordo relativo alle "condizioni generali del servizio" contenente clausole relative all"oggetto, alla durata, alla lingua, al corrispettivo, alla esclusione/limitazione di responsabilità, alla migrazione dei dati, alla sospensione/interruzione del servizio, modifica delle condizioni del contratto, al Foro competente, e alla Legge applicabile;

2. Un documento di "polices" o "white papers" relativo al comportamento delle parti relativamente ai dati immessi nel cloud;

3. Un documento sulla "protezione e trattamento dei dati" imposti dal codice della Privacy (D.Lgs 196/03);

4. Un documento contenente gli aspetti tecnici e la determinazione dei parametri dei livelli connessi all"esecuzione delle varie prestazioni: "Service Legal Agreement (SLA)". Con tale documento le parti regolano i livelli di servizio attesi facendo riferimento a parametri condivisi. Negli SLA sono individuate le soglie del servizio e quelle oltre le quali il cloud provider incorre in responsabilità (capacità di memoria, velocità di processamento dei dati, tempi di risposta, ecc). Le clausole di un SLA posso incidere significativamente sulle obbligazioni contrattuali delle parti, pertanto sarebbe opportuno che nelle stesse siano specificatamente indicati i casi in cui per causa non imputabile al fruitore del servizio la qualità dello stesso non è ottimale.

Come anticipato supra, spesso i contratti di servizi cloud sono molto sbilanciati a favore dei provider e gli utenti finali difficilmente sono in grado di manifestare un effettivo potere negoziale in quanto le grandi multinazionali (cloud providers) predispongono moduli unilaterali ai quali l"utilizzatore non può far atro che aderire senza alcuna discrezionalità.

E" opportuno, quindi, prima di sottoscrivere tali contratti vagliare molto attentamente le condizioni contrattuali degli stessi. Di seguito otto clausole da tener d"occhio:

1. Garanzie di servizio: verificare che nelle clausole relative alle garanzie di servizio, il cloud provider garantisca un prestazione ininterrotta e priva di errori o che questi siano tempestivamente corretti;

2. Migrazione e conservazione dei dati: in caso di cessazione del rapporto individuare una clausola che preveda la migrazione dei dati e la specifica richiesta della cancellazione degli stessi dai server precedenti. Vi sono dei casi in cui il cloud provider mantiene i dati per un per esigenze di sicurezza oppure non specifica chiaramente quando i dati verranno cancellati. (Es. Dropbox nel proprio documento sulla privacy aggiornato al 12.02.16 scrive: "Conserveremo i dati che archivi sui nostri Servizi finché ciò sarà necessario per fornirti questi ultimi. Se elimini il tuo account, elimineremo anche questi dati. Ma tieni presente che: (1) potrebbero verificarsi ritardi nell'eliminazione di tali dati dai nostri server e dallo spazio archiviazione di backup; e (2) possiamo conservare questi dati ove necessario per rispettare i nostri obblighi legali, risolvere dispute o applicare contratti");

3. Limitazione o esclusione di responsabilità: porre attenzione alle clausole di esclusione e/o di responsabilità del fornitore del servizio per i danni conseguenti ad eventi la cui previsione e gestione dovrebbe rientrare tra i normali obblighi contrattuali del cloud provider: Es. l"esclusione di responsabilità per la perdita dei dati. Spesso nei contratti con fornitori americani vi sono clausole che escludono la responsabilità del cloud provider per DOLO O COLPA GRAVE. Nel Diritto Italiano ai sensi dell"art. 1229 c.c. può essere contrattualmente limitata la responsabilità solo per COLPA LIEVE, ma non anche per DOLO O COLPA GRAVE. Ne consegue che se tali limitazioni di responsabilità sono riportate in accordi ove è applicabile la legge italiana, tali clausole non potranno essere fatte valere in Giudizio dal fornitore del servizio. Diversamente, se il diritto applicabile non è quello italiano, ma per es. è quello statunitense è probabile che tale limitazione possa essere fatta valere (Es. Clausola sulla Limitazione di responsabilità di Dropbox aggiornata al 5.11.15: "in nessun caso Dropbox, i suoi affiliati, fornitori o distributori saranno ritenuti responsabili per:(a) danni indiretti, speciali, accidentali, punitivi, esemplari o consequenziali o (b) perdita d'uso, di dati, di affari o di profitti, a prescindere dalla teoria legale. Questo avverrà indipendentemente dal fatto che Dropbox o qualsiasi dei suoi affiliati sia stato avvertito o meno della possibilità di tali danni e anche qualora uno qualsiasi dei rimedi non consegua il suo intento principale");

4. Legge applicabile e Giurisdizione: è opportuno porre molta attenzione a sottoscrivere contratti ove la legge e/o la Giurisdizione applicabile è diversa da quella italiana. Può essere molto pericoloso scegliere soprattutto per i costi di Giustizia all"estero una legge di un altro paese dinanzi ad un Giudice e/o Arbitro diversi dal nostro (Es. Dropbox applica la legge Californiana e la clausola sulla risoluzione delle controversie aggiornata al 5.11.15 così recita: "Foro giudiziario per le controversie. L'utente e Dropbox accettano che qualsiasi procedimento giudiziario per risolvere i reclami relativi ai presenti Termini o ai Servizi sia sottoposto al tribunale federale o statale competente della Contea di San Francisco, California, ferma restando la vigenza della normativa inderogabile riportata di seguito. Sia l'utente sia Dropbox accettano tale sede e la giurisdizione particolare di tali tribunali");

5. Modifica unilaterale delle condizioni contrattuali: si tratta di clausole che accordano al fornitore del servizio il diritto di modificare unilateralmente ed in qualsiasi momento, fatto salvo il diritto di recesso, le condizioni del servizio dal punto di vista tecnico, economico e contrattuale. E" opportuno quantomeno che tali modifiche non operino in senso peggiorativo per l"utente e che siano messe a conoscenza dello stesso con comunicazione diretta e divengano effettive al rinnovo contrattuale piuttosto che come spesso accade, in qualsiasi momento (Es. Dropbox modifica periodicamente ed unilateralmente le condizioni contrattuali);

6. Assicurazione: per evitare danni da perdita di dati è opportuno valutare di assicurare i dati;

7. Sospensione o interruzione del servizio: clausole che accordano al fornitore la possibilità di sospendere temporaneamente o definitivamente il servizio a seguito dell"inadempimento dell"utente o per esclusiva discrezione del provider. Tali previsioni modificando l"equilibrio contrattuale dovranno essere attentamente vagliate dal contraente al momento della stipula del contratto e, per la loro efficacia, doppiamente sottoscritte (Es. Dropbox può sospendere il servizio immediatamente);

8. Clausole Vessatorie: fare attenzione alle clausole estremerete gravose per l"utilizzatore che comportano uno squilibrio tra i diritti ed i doveri delle parti del contratto. Queste vanno doppiamente sottoscritte ai sensi degli art. 1341 e 1342 c.c.-

In ragione di quanto esposto, proprio per l"impatto esponenziale che sta avendo il fenomeno del Cloud Computing nella nostra vita di tutti i giorni, ritengo che il legislatore dovrà impegni seriamente per individuare non solo a livello comunitario ma anche nazionale una normativa di riferimento che permetta di garantire una maggior tutela all"utente di tali servizi che, come detto, molto spesso limitano il suo potere di controllo generandone una completa dipendenza dal cloud provider.

Avv.  Alessandro Filippi

 

 



[1] MANTELERO, Processi di outsourcing informatico e cloud computing: la gestione dei dati personali ed aziendali, in Dir. Informaz. Informat., 2010, pp. 673 ss.

[2] RIFKIN, L"era dell"Accesso, Mondadori, Milano 2000, pag. 117.

[3] Cloud Provider: fornitore dei servizi generalmente attraverso un modello pay-per-use.

 



exsigma