I servizi cloud: profili legali e contrattuali

Inizia dalle recenti dichiarazioni del Garante della Privacy Gabriele Faggioli, legale e partner di Isl Consulting, per cercare di delineare, nel corso di una delle riunioni del Gruppo di Lavoro dedicato al cloud computing e software as a service del Club TI (Club per le Tecnologie dell'Informazione, fondato nel 1987, è una libera e spontanea associazione di professionisti dell'Ict), gli attuali profili legali e contrattuali del cloud computing. “Investigatori privati, banche e cloud computing sono oggetto del piano ispettivo varato dal Garante per il primo semestre 2011 - osserva Faggioli, ricordando che lo scorso anno sono state applicate sanzioni per circa 3 milioni e 800 mila euro -. L'attività di accertamento del Garante per la Privacy si concentrerà su questi settori e sulle modalità con le quali vengono trattati i dati personali di milioni di cittadini italiani”. Il piano ispettivo appena varato prevede specifici controlli, sia nel settore pubblico sia in quello privato, anche riguardo alle informazioni da fornire ai cittadini sull'uso dei loro dati personali, all'adozione delle misure di sicurezza, alla durata di conservazione dei dati, al consenso da richiedere nei casi previsti dalla legge, all'obbligo di notificazione al Garante. E per sottolineare quanto sia effettivamente tangibile l’operato del Garante, Faggioli riporta alcuni significativi dati: “Un primo bilancio sull'attività ispettiva relativa al 2010 mostra il lavoro di controllo svolto dall'Autorità: sono state circa 474 le ispezioni effettuate e 424 i procedimenti sanzionatori, relativi in larga parte alla omessa informativa, al trattamento illecito dei dati, alla mancata adozione di misure di sicurezza, all' inosservanza dei provvedimenti”. Complessivamente le entrate derivanti dalle sanzioni sono state pari a circa 3 milioni e 800 mila euro: in particolare, 2 milioni relativi alle violazioni degli obblighi sull'informativa, 800 mila relativi al trattamento illecito di dati e 450 mila relativi alla mancata adozione delle misure di sicurezza da parte di aziende e pubbliche amministrazioni. Il motivo per cui Faggioli ha voluto dare evidenza a questi numeri è “far comprendere l’importanza degli aspetti legali/contrattuali di un qualsiasi progetto It, che dovrebbero essere valutati e considerati fin dalle primissime fasi di analisi. Ad esempio – prosegue il consulente – nell’indagine preliminare di un progetto It vi sono impatti legali immediati che possono essere la verifica della conformità alle norme di legge del progetto ipotizzato o della coerenza con le procedure aziendali e i regolamenti interni. Nella fase immediatamente successiva alla definizione degli obiettivi e delle specifiche funzionali del progetto It corrispondono attività e impatti legali come quelle di valutazione del livello di determinatezza dell’oggetto del contratto e i rischi ad esso correlati, nonché la progettazione delle prime tutele relative all’impostazione macro dei rapporti con i fornitori”. Tutti aspetti che dovrebbero essere presi in considerazione molto prima della stesura del contratto perché, precisa Faggioli, “non sempre è facile negoziare con i fornitori, soprattutto quando si sono già avviate le prime fasi di relazione”.

Rapporti chiari e legalmente garantiti

E se questo vale in linea generale, ancor di più ha senso adottare una strategia collaborativa tra dipartimenti (It, Legale, top management, Cfo, risorse umane, ecc.), quando il progetto It prevede l’adozione di soluzioni e servizi di nuova generazione che non trovano ancora un’adeguata regolamentazione normativa, come nel caso del cloud computing. “La contrattualistica sottesa a un progetto di sviluppo di un sistema informativo (e successiva gestione) tipicamente si compone di tutti o di alcuni dei seguenti contratti: contratto di licenza d’uso software; di manutenzione delle licenze; di “approvvigionamento” hardware; di implementazione (installazione, parametrizzazione, personalizzazione); di assistenza e manutenzione; eventuale contratto di outsourcing”, descrive Faggioli. “In tutte queste forme contrattuali, interessi dell’azienda e del provider si contrappongono. Le aziende hanno interesse ad avere un contratto unico che riunisca in un solo accordo complessivo tutte le singole prestazioni contrattuali (licenza, gestione, servizi, ecc.), mentre i provider tendono a suddividere il più possibile le proprie obbligazioni in diversi contratti non collegati. Dal punto di vista degli obblighi delle parti, le aziende preferiscono contratti legati a obbligazioni di risultato (attraverso le quali, cioè, il fornitore garantisce il risultato dell’operazione o del servizio), mentre i provider optano per le obbligazioni di mezzi (cioè si impegnano a garantire tutti i mezzi necessari per un determinato obiettivo, ma senza garantirne il risultato a priori). Questo vale soprattutto per i contratti di implementazione o di servizi, dato che il contratto di licenza d’uso, tipicamente, si basa su una contrattualistica standard tendenzialmente estremamente rigida e poco negoziabile”, aggiunge l’avvocato. I contratti di implementazione, servizi di gestione/manutenziuone, outsourcing, possono essere ricondotti ai cosiddetti contratti d’appalto (Art. 1655 del codice civile: l’appalto è il contratto con il quale una parte assume, con organizzazione dei mezzi necessari e con gestione a proprio rischio, il compimento di un’opera o di un servizio verso un corrispettivo in denaro). “In questi contratti l’interesse delle parti è contrapposto in relazione alla natura dell’obbligazione sottostante (mezzi/risultato) - precisa Faggioli -. In un contratto di implementazione, l’azienda è interessata ad ancorare la liberazione del fornitore dalle sue obbligazioni al momento del buon fine del collaudo finale o addirittura del go-live o della conclusione degli eventuali roll-out; il provider, invece, ha interesse a prolungare la relazione. I contratti di manutenzione/gestione o di outsourcing – aggiunge l’avvocato – rientrano anch’essi nel contratto di appalto; si tratta di contratti di appalto di servizi, in questo caso con obbligazione di risultato (che in termini informatici si traduce in Sla, Service Level Agreement)”.

Cloud computing: attenzione ai rischi dovuti all’indeterminatezza di alcune aree

“Ciò che va comunque ben evidenziato è il fatto che, trattandosi di accordi tra due forze contrapposte, solitamente sono contratti stipulati ad hoc, molto personalizzati o personalizzabili (motivo per cui serve sempre l’aiuto del legale), con aree che rischiano anche di essere indeterminate soprattutto nelle fasi iniziali”, specifica Faggioli. Ed è questo l’elemento di maggior distinguo rispetto ai contratti applicabili al modello del cloud computing.

Da un punto di vista normativo, infatti, la fornitura di servizi di public cloud, rientrerebbe nella casistica dei contratti di appalto di servizi con obbligazione di risultato (il risultato è il livello di servizio garantito dal service provider). Tuttavia, si discosta dai modelli classici per i seguenti motivi:

1) assenza o valenza estremamente limitata della componente contrattuale “licenza d’uso” (tendenzialmente, NON si tratta di contratti di licenza d’uso in quanto il prodotto It - infrastruttura, piattaforma o software - “utilizzato” dal cliente non viene consegnato);
2) assenza o valenza limitata della componente “implementazione” (al limite necessaria una fase di start-up);
3) tendenziale omnicomprensività della prestazione in un contratto unico;

4) tendenziale standardizzazione della contrattualistica;

5) tendenziale rigidità in relazione a possibili “personalizzazioni del servizio” (per non fare venire meno il vantaggio competitivo offerto dall’economia di scala che permette il servizio);

6) contrattualistica (e servizio) modellato dal fornitore (quindi con obbligo del cliente a sposare il modello del fornitore). “Le problematiche maggiori, però sono legate all’applicazione delle normative in materia di sicurezza dei dati personali e trasferimento dei dati all’estero per il basso potere di controllo che è possibile effettuare”, evidenzia Faggioli. “I riflettori vanno quindi puntanti sull’individuazione delle responsabilità e sulla profilazione degli utenti, a partire dagli amministratori di sistema (in caso di servizi di amministrazione di sistema affidati in outsourcing il titolare o il responsabile esterno devono conservare direttamente e specificamente, per ogni eventuale evenienza, gli estremi identificativi delle persone fisiche preposte quali amministratori di sistema), ma questa potrebbe diventare un’operazione molto complicata quando i servizi vengono erogati da diversi data center situati in geografie distribuite e da persone diverse”. La difficoltà di definire appieno, anche sotto il profilo legale, il rapporto tra vendor e aziende utenti, attraverso il cloud, vive, dunque, un’ulteriore scossa. Fiducia e flessibilità sono i due pilastri su cui dovrebbe basarsi il rapporto erogazione/fruizione dei servizi ma, di fatto, sono proprio questi ad essere fonte di maggior preoccupazione per le aziende. La scarsa personalizzazione dei servizi in the cloud, poi, aumenta il timore di perdere il vantaggio competitivo. È evidente, quindi, che il passaggio a scenari di massima flessibilità con sistemi It fortemente basati sul cloud computing avverrà con molta gradualità. Ad oggi, possiamo dire che non esistono regole standard per risolvere le problematiche legate al rapporto tra le aziende e i “nuovi” service provider (sia di natura contrattuale sia tecnologica, per l’integrazione e l’interoperabilità dei sistemi). È dunque chiaro che ogni azienda deve trovare la propria strada, magari procedendo per gradi e sperimentando servizi cloud su tecnologie non core o comunque non di impatto diretto sulle dinamiche e i processi del business; sperimentazione che non deve limitarsi agli aspetti tecnologici ma “fare da palestra” anche per le questioni legali e contrattuali, in modo da avere le competenze necessarie al governo di progetti via via più complessi.

Fonte: ZerounoWeb - Autore: Nicoletta Boldrini