E’ bene sapere che l’utilizzo di servizi cloud può non essere senza inconvenienti. Iniziamo a vedere insieme alcuni aspetti contrattuali a cui prestare particolare attenzione.
Chi - per la propria attività - intende utilizzare qualsiasi servizio Internet che rientri nella definizione di Cloud, si trova a dover considerare diversi aspetti: dal contenuto del contratto, alla gestione dei dati da parte del provider rispetto alla privacy, finoalla perdita di controllo dei dati trasferiti al di fuori delle mura e alla loro sicurezza. Tutti profili molto interessanti e per vari aspetti connessi, che meritano attenta riflessione soprattutto dal punto di vista legale.
Il primo aspetto importante, se state valutando di utilizzare un servizio Cloud, è il contratto che stipulerete con il cloud provider, l'accordo con cui si regolamenterà il rapporto. E’ un contratto che, nel nostro ordinamento, non ha una sua disciplina tipica nel codice civile o in qualche legge speciale (si parla di contratto atipico): a maggior ragione, dunque, occorre leggerlo attentamente e prestare molta attenzione, perché lì è contenuta la regolamentazione primaria del rapporto e delle responsabilità. L’ipotesi più probabile è che ci si trovi a scegliere tra offerte contrattuali predefinite: il contratto di cloud computing usualmente viene definito dal provider secondo modelli contrattuali standard (le c.d. “condizioni generali di contratto”) e difficilmente potrà essere oggetto di negoziazione. Vediamo allora alcune delle clausole principali a cui è opportuno fare attenzione, nella scelta del provider e nella sottoscrizione del contratto.
Risulta importante, innanzitutto, esaminare il livello della fornitura del servizio: sul punto, buona cosa per gli utenti sono le clausole che definiscono i cosiddetti Service Level Agreement (SLA), i livelli del servizio (non sempre indicati espressamente nelle condizioni generali del contratto, ma magari in qualche allegato ulteriore o in qualche documento richiamato a cui il contratto rinvia: da leggere anch’essi). Naturalmente vi sarà una maggior garanzia se i livelli del servizio saranno indicati, e lo saranno in maniera oggettiva e misurabile: essi rappresentano un primo parametro di valutazione dell’adempimento o inadempimento del provider. In questo voi stessi (se siete dei tecnici, in alternativa il Vostro tecnico di fiducia), trattandosi di parametri tecnici, potrete valutare il livello del servizio offerto. In via generale, in merito, il provider potrebbe inserire, ad esempio, una clausola di “garanzia del risultato”, ove precisa, appunto, i risultati del servizio che garantisce (ad es. continuità del servizio per una certa percentuale di tempo o per una determinata quantità di giorni l’anno). Tale clausola potrebbe anche prevedere, però, che, in caso di risultato mancato (ad es. sospensione del servizio per un periodo più lungo di quello ipotizzato nelle condizioni contrattuali), l’indennizzo riconosciuto è limitato al prolungamento del servizio per lo stesso tempo di mancata erogazione. Non è detto che questo sia sufficiente per coprire i danni che avete eventualmente subito per il mancato utilizzo del servizio. E' importante dunque che siano previste delle penali appropriate (salvo poi il diritto di chiedere i maggiori danni) per il mancato rispetto del contratto e/o degli SLA.
Il provider potrebbe, tuttavia, offrirvi il servizio, ad esempio, precisando che comunque lo fa “per quanto disponibile” o “così come è” (o con espressioni similari): così non garantisce che il servizio funzioni senza interruzioni, ovvero che non ci siano errori di funzionamento o che sia conforme sempre alle vostre esigenze. E’ una forma di esclusione della garanzia di funzionamento del servizio che difficilmente conviene a un utente.
Inoltre, occorre che prestiate attenzione alla eventuale presenza di clausole di esclusione/limitazione della responsabilità del provider: ad esempio, il contratto potrebbe contenere clausole che escludono la responsabilità o limitano ad un tetto massimo il danno risarcibile da parte del cloud provider, per qualsiasi tipo/entità di danno. Tenete presente, ad esempio, che la mancata erogazione del servizio, la rivelazione a terzi di dati aziendali (per un comportamento doloso di dipendenti o terzi, per ordine dell’Autorità del Paese ove sono conservati i dati o in altri problemi simili) o anche solo la loro perdita (ad esempio a causa di virus) possono causarvi danni ingenti e magari irrimediabili (e, a catena, magari anche a vostri clienti o soggetti interessati cui i dati fanno riferimento). Sarà importante, quindi, anche sotto questo profilo, leggere bene le clausole che fanno riferimento a questi casi, se ci sono. Nel nostro ordinamento, una clausola che limitasse la responsabilità anche per dolo o per colpa grave, sarebbe nulla ex art.1229 codice civile: non è però detto, come vedremo nel prosieguo, che la legge applicabile sia quella italiana. Poi, potrebbe essere valida (salvo che voi agiate come “consumatori”, ma questo è un discorso a parte) la clausola che limita la responsabilità del provider per colpa (non grave, ma sempre colpa): in tal caso, se aveste subito un danno, anche ingente, per colpa (non grave) del provider, non riuscireste ad ottenere alcun indennizzo (al più nei limiti della soglia massima prevista nel contratto, salvo che l’esclusione di responsabilità pattuita sia totale). Maggior responsabilità si assumerà il cloud provider, maggior tutela potrete avere quali utilizzatori del servizio: naturalmente questo potrebbe far lievitare i vostri costi.
Sotto un ulteriore profilo, il contratto potrebbe contenere, a sfavore dell’utente (e, quindi, da valutare con attenzione), clausole che prevedono la decadenza dal diritto di rivolgere contestazioni, in particolare rispetto al servizio o al corrispettivo ad esempio. Anche qui, l’art.2965 codice civile italiano prevede la nullità dei patti con cui si stabiliscono termini di decadenza che rendono eccessivamente difficile a una delle parti l’esercizio del diritto. Ma non è detto che una clausola di decadenza prevista nel contratto rientri in tale ipotesi di nullità, né che possa essere impugnata o l’impugnativa accolta.
Nell’adesione al contratto quali utenti, poi, prestate attenzione se il provider si riserva il diritto di modificare unilateralmente il contratto. Potreste trovarvi, strada facendo, con un contratto con caratteristiche in parte diverse da quelle iniziali. Di maggior garanzia per l’utente è la clausola che prevede la validità della modifica solo decorso un termine, entro il quale l’utente può esercitare il diritto di recesso affinchè non resti vincolato alla nuova norma contrattuale.
E ancora, occorre fare attenzione se il provider si riserva di utilizzare, per il servizio, eventuali subfornitori: a quel punto, concretamente, il servizio sarebbe erogato da un terzo, di cui si potrebbe non sapere nulla e con il quale voi, a quel punto, non avreste stipulato alcun contratto. L’indicazione espressa del subcontraente autorizzato, la necessità di preventiva informazione al cliente nel caso di suo cambiamento, la garanzia che il subfornitore sia tenuto alle medesime condizioni contrattuali del fornitore principale del servizio paiono garanzie necessarie nel caso di subaffidamento del servizio.
Un occhio, poi, alla durata del contratto, alle modalità e tempistiche di esercizio del diritto di recedere dal contratto ed alla garanzia di migrazione ad altro provider senza soluzione di continuità (i dati insomma devono essere facilmente recuperabili e migrabili), alle clausole risolutive espresse (casi in cui il contratto è risolto di diritto).
Inoltre, un problema sarà legato anche alla legge sostanziale applicabile: stante la possibile internazionalità del cloud - che è ictu oculi evidente (utente di una nazionalità, provider di altra, collocazione fisica dei data center in un’altra ancora) - si pone il problema della disciplina applicabile al contratto, sia per quanto (eventualmente) in esso non previsto sia per valutare la validità delle sue pattuizioni. Non è, infatti, scontato che la legge sostanziale applicabile sia quella italiana, solo perché l’utente è italiano. Il contratto può contenere delle previsioni in merito – che, quindi, vanno lette e intese.
Per la medesima ragione della forte internazionalità dell’istituto del cloud, si potrebbe porre anche la questione dell’individuazione del Giudice competente per eventuali controversie (la c.d. giurisdizione). Superfluo dire che l’indicazione della giurisdizione esclusiva del Giudice italiano (e possibilmente del Tribunale della Vostra sede/residenza) rappresenterebbe l’opzione preferibile per l’utente del servizio, così come in generale la scelta di un fornitore di servizi italiano. Badate se è inserita anche un clausola cosiddetta compromissoria: eventuali controversie verrebbero decise da arbitri (non da Giudici dello Stato, quindi): attenzione alle modalità di nomina (ed ai costi, sicuramente non indicati nel contratto, ma che potrebbero essere elevati).
Da tale internazionalità possono discendere anche difficoltà nella raccolta di notizie per agire in giudizio o anche solo per la notifica degli atti giudiziari o anche una lievitazione dei costi per l’esercizio della tutela giudiziaria in paesi stranieri (bene sapere, pertanto, anche dove sono collocati i data center).
Segnalo solo che per il nostro art.1341 cod.civ., le cosiddette condizioni generali di contratto sono efficaci nei confronti dell’altro contraente se al momento della conclusione del contratto questi le ha conosciute o avrebbe dovuto conoscerle usando l’ordinaria diligenza. Tuttavia, alcune clausole, ritenute “vessatorie” (e molte di quelle qui commentate potrebbero rientrarvi), richiedono una specifica approvazione per iscritto, non avendo altrimenti effetto.
Questioni assai delicate nell’ambito del contratto di cloud sono quelli legati alla privacy , alla protezione e alla sicurezza dei dati conferiti al cloud provider. Gli argomenti meritano sicuramente un approfondimento specifico (c’è una normativa di certificazione di qualità ad hoc, vi sono indicazioni specifiche del nostro Garante, occorre definire le figure di titolare e responsabile del trattamento dei dati, è appena entrato in vigore il Nuovo regolamento europeo sulla privacy): ne parleremo nelle prossime rubriche dopo la pausa estiva.