Cloud computing contracts ovvero i contratti tra le nuvole

Avv. Milena Prisco

I servizi in cloud sono diventati il cuore dell’economia digitale. Come contrattualizzare il rapporto commerciale che regola il cloud computing costituisce oggi un’esigenza primaria delle imprese 4.0 che operano nel digitale, e questo al fine di contemperare criticità come la gestione dei dati e l’extra-territorialità dei servizi resi, fornendo la giusta tutela agli utenti sia in ambito B2B che in ambito B2C. Il cloud computing rappresenta oggi un crocevia in cui gli avvocati devono vestire i panni degli informatici e gli informatici quelli dei professionisti del diritto.

Saas (Software as a Service), Pass (Platform as a Service), Iaas (Infrastructure as a Service l’utilizzazione) popolano la nostra “vita virtuale”, sono gli spazi di memorizzazione o di altri ambienti di sviluppo gestiti da terze parti, i c.d. cloud provider, a cui quotidianamente accediamo attraverso il collegamento a server remoti. I contratti che regolano la fornitura di questi servizi sono tra i più complessi nel panorama dei cosiddetti contratti informatici. La complessità è data dal fatto che normalmente questi contratti sono composti da diversi documenti, i quali rimandano a loro volta ad allegati, anche tecnici, attraverso collegamenti ipertestuali, il tutto con le conseguenti difficoltà di ricostruzione dei diritti ed obblighi delle parti. Normalmente sono composti da tre documenti principali: le condizioni generali del servizio, la policy relativa al comportamento delle parti e la policy privacy con la regolamentazione delle modalità del trattamento dei dati. Dal punto di vista normativo, si tratta di contratti atipici, non ancora disciplinati a livello di normativa primaria anche se “fonte di ispirazione” per il Garante della Privacy (cfr. parere 5/2012 p. 8 – “decalogo” per la redazione di contratti di cloud computing) e per organismi internazionali come il Cloud Standard Customer Council (cfr. “Practical guide to cloud service agreements).

Volendo fare una veloce panoramica sui principali temi giuridici relativi ai cloud computing contract, questi contratti vengono visti come un ibrido fra il più classico contratto di appalto di servizi ed i contratti di licenza perché, di fatto, il più delle volte si concretizzano nell’offerta di memorie di massa ed altri servizi e/o nell’offerta di software e nel loro conseguente utilizzo da parte degli utenti. La distinzione non è di poco conto dal momento che una connotazione come contratto di appalto comporta la responsabilità per la bontà del risultato fornito a carico del cloud provider, inteso come appaltatore (i.e. un’obbligazione di risultato). Da qui la prassi dei fornitori di imporre previsioni contrattuali estremamente vessatorie e volte ad escludere o a limitare ogni tipo di responsabilità per il caso di disservizi. A tal proposito, occorre tener presente che gran parte di queste previsioni rischiano di essere nulle quando poste a carico dell’utente consumatore e inefficaci quando poste a carico dell’utente imprenditore laddove queste non siano state espressamente accettate per iscritto o, nel caso di condizioni generali online, appositamente “flaggate” con la doppia spunta. Dal punto di vista della regolamentazione dell’esecuzione dei servizi, l’aspetto fondamentale nella contrattazione risiede nella definizione di specifici standard relativi alle prestazioni, alla predisposizione di indici e parametri volti a misurare l’efficienza del servizio, nonché la definizione delle metriche di costo, anche in ragione di tali indicatori. Con riferimento, poi, alla riservatezza dei dati che l’utente “immette in the cloud“, la criticità del tema impone di conoscere e disciplinare con chiarezza dove, in quale modo e a quali condizioni viene offerta la gestione dei dati e della loro sicurezza rispetto all’accesso di terzi non autorizzati, oltre ai profili di responsabilità per la possibilità di distruzione o perdita dei dati medesimi, alla loro alterazione nonché alla loro sottrazione. ISO 27018 ha introdotto, a tal proposito, una serie di misure, procedure e controlli attraverso i quali i providers di servizi cloud assicurano il rispetto del trattamento dei dati personali, garantendo il controllo sul percorso dei dati stessi e la verifica della posizione del fornitore rispetto agli obblighi privacy, oggi più che mai di estrema attualità considerata l’imminente applicazione del Regolamento Comunitario in materia di protezione dei dati personali.

Ulteriore elemento di estrema importanza è rappresentato dall’individuazione della legge applicabile e del foro competente atteso che i servizi di cloud, per loro stessa natura, presentano un’architettura che spesso non ha connotati di territorialità, questo soprattutto nel caso di “cloud pubblici” dove la fornitura di servizi avviene attraverso l’erogazione via web di applicazioni informatiche, di capacità elaborativa e di stoccaggio. Il tema della legge applicabile è quindi cruciale sia perché i servizi possono essere resi anche attraverso infrastrutture situate in altri Stati sia perché è possibile concludere contratti con società straniere sia appartenenti all’Unione Europea che non. È inoltre necessario valutare se, in relazione all’eventuale attività svolta usufruendo dei servizi cloud, non si verifichi la violazione di determinate normative (ad esempio, in materia di protezione dei dati personali). Infine, con riguardo al foro, bisogna operare le distinzioni del caso circa il tribunale competente a decidere delle controversie nascenti dal contratto, considerate le differenze conseguenti dalla fornitura di un servizio da professionista a professionista o da professionista a consumatore.