Mael Chiabrera, Software Developer; Viola Bongini, Digital Experience Designe...
Smau milano 2013 giorgio spedicato
1. CLOUD COMPUTING:
CLAUSOLE CONTRATTUALI
E BEST PRACTICES
Avv. Giorgio Spedicato
Monducci Perri Spedicato & Partners
Studio legale associato
www.mpslaw.it
Titolo della presentazione
2. CHI SONO
Managing Partner dello studio legale Monducci Perri Spedicato & Partners.
Professore a contratto di Diritto della Proprietà intellettuale presso la Facoltà di
Giurisprudenza dell’Università di Bologna (polo didattico di Ravenna).
Dottore di ricerca in Informatica giuridica e diritto dell’informatica.
COS’È MPSLAW
Lo Studio legale associato Monducci Perri Spedicato & Partners è una law
boutique specializzata in proprietà intellettuale, diritto delle nuove tecnologie e
diritto dell’innovazione, con sedi a Milano, Bologna e Imola.
Affianca chi fa dell’innovazione il proprio lavoro e il proprio impegno quotidiani,
supportandolo nell’attività day by day e assistendolo nelle operazioni più
complesse.
Titolo della presentazione
3. I contratti cloud:
una categoria piuttosto ampia
Cloud computing is a model for enabling ubiquitous,
convenient, on-demand network access to a shared pool
of configurable computing resources (e.g., networks, servers,
storage, applications, and services) that can be rapidly
provisioned and released with minimal management effort
or service provider interaction.
Titolo della presentazione
5. I contratti cloud come specie
del genere outsourcing?
Contratti di
outsourcing
esternalizzazione
Contratti rilievo componente tecnologica
cloud
standardizzazione
Titolo della presentazione
7. Il problema tecnologico…
La perdità di controllo sui
dati è relativa al:
Chi può accedere ai dati
Cosa viene fatto con i dati
Dove si trovano i dati
Titolo della presentazione
8. …alla base del problema giuridico
Come garantire la sicurezza dei dati?
Come garantire la disponibilità dei dati?
Come garantire la proprietà dei dati?
Come garantire la confidenzialità dei dati?
Come garantire la legal compliance in relazione al trattamento dei dati?
Etc…
Titolo della presentazione
9. Un «ecosistema contrattuale»
per il cloud computing
ToS
Privacy
Policy
Titolo della presentazione
SLA
AUP
!
Ma attenzione anche ad
eventuale altro
«contenuto negoziale»
presente nel sito del
provider
10. Un rilievo preliminare
(di sostanza e di forma)
È raro che i cloud provider prendano in
considerazione la possibilità di negoziare il
contenuto dei loro contratti
Si tratta dunque, nella stragrande
maggioranza dei casi, di contratti
unilateralmente predisposti, con
conseguente dubbio – in alcuni ordinamenti
giuridici – sulla validità della modalità c.d.
clickwrap per l’accettazione degli stessi (o,
più correttamente, per l’accettazione di
tutte le clausole in essi previste)
Titolo della presentazione
11. Le clausole contrattuali
come «strumenti di controllo»
Clausole sulla legge applicabile e sulla risoluzione delle controversie
Clausole sulle modifiche unilaterali delle condizioni di contratto
Clausole sugli usi consentiti
Clausole sulla proprietà, integrità e accessibilità dei dati
Clausole relative alla normativa in materia di privacy
Clausole relative ai livelli di servizio
Clausole relative alla responsabilità
Cambio di approccio: dalla negoziazione alla due diligence
(che non deve mai limitarsi al confronto di parametri tecnici e/o economici)
Titolo della presentazione
12. Legge applicabile
In linea di massima tutti i contratti cloud contengono indicazioni relative
alla legge applicabile. Si tratta nella maggior parte dei casi della legge del
Paese in cui ha sede il provider. In alcuni casi può essere indicata la legge
di un Paese particolarmente favorevole al provider. In altri casi ancora,
piuttosto limitati, la scelta della legge applicabile al contratto viene resa
una variabile dipendente del Paese in cui ha sede il Cliente.
La clausola relativa alla legge applicabile è particolarmente importante
per i Clienti corporate. Nei contratti cloud in cui il Cliente è un
consumatore, infatti, la scelta delle lagge applicabile non può avere come
effetto quello di privare quest’ultimo delle garanzie offerte dalle norme
imperative del Paese in cui il consumatore stesso è residente.
La legge applicabile al contratto ha un’importanza fondamentale e si
riverbera sulla validità (o meno) di molte altre clausole del contratto. Dal
momento che è molto improbabile che un provider accetti di negoziare la
clausola relativa alla legge applicabile, la cosa più ragionevole è quella di
scegliere un provider che abbia indicato come legge applicabile quella di
un Paese con cui il Cliente ha (almeno) una certa familiarità.
Titolo della presentazione
13. Foro competente
In linea di massima il cloud provider sarà portato a scegliere un foro
competente coerente con la legge applicabile indicata.
Anche in questo caso, la clausola relativa al foro competente è di
particolare importanza per i Clienti corporate, dal momento che il Cliente
consumatore potrà sempre agire davanti al proprio foro.
La clausola sul foro competente ha un impatto economico notevole.
Pertanto, soprattutto nel caso di Clienti corporate, la cosa più opportuna è
scegliere un provider che abbia indicato come foro competente quello di
un Paese in cui il Cliente stesso abbia la possibilità di agire (in modo
economicamente conveniente).
Titolo della presentazione
14. Arbitrato
A volte i contratti cloud contengono delle clauole con cui si individua in un
arbitrato il modo di risoluzione delle controversie relative al contratto.
L’arbitrato viene indicato talvolta come alternativo alla giurisdizione
ordinaria; altre volte come obbligatorio (ma una tale ipotesi appare non
applicabile ai contratti conclusi con Clienti che siano consumatori); altre
volte ancora previsto solo in caso di superamento di una certa soglia di
valore; altre volte, infine, previsto solo con riferimento ad alcune
giurisdizioni.
Nell’accettare clausole arbitrali, oltre alle considerazioni svolte per il foro
competente, occorre sempre tenere conto del trade-off, che le procedure
arbitrali presentano, tra rapidità della procedura e costo della stessa.
Titolo della presentazione
15. Modifica dei termini contrattuali
In molti contratti cloud i provider si riservano il diritto di modificare le
condizioni generali di contratto.
Tali modifiche possono essere semplicemente pubblicate sul sito del
provider (con onere in capo al Cliente di prenderne visione) o essere
comunicate via email o con altri mezzi. Spesso tali clausole vengono
considerate accettate per fatti concludenti (per il semplice fatto che il
Cliente continua a utilizzare il servizio). In altri casi è data la possibilità al
Cliente, che non intenda accettare la nuova versione delle condizioni
generali, di recedere dal contratto.
Al netto di ogni considerazione circa la validità di tali clausole, è
decisamente consigliabile preferire quei provider che, pur riservandosi il
diritto di modificare le condizioni contrattuali, prevedano (almeno)
obblighi di notificazione nei confronti del Cliente e gli riconoscano il
diritto di recedere dal contratto.
Titolo della presentazione
16. Usi consentiti
La gran parte dei contratti cloud prevedono clausole relativi agli usi del
servizio consentiti al Cliente.
Sebbene normalmente gli usi non consentiti coincidano con usi illeciti o
comunque inopportuni (almeno per il provider…), è comunque consigliabile
verificare il contenuto di tale clausola per:
accertarsi che gli usi non consentiti (ma non per ciò stesso illeciti) non
coincidano anche solo parzialmente con gli usi che il Cliente intende fare;
accertarsi che alla clausola sugli usi consentiti non siano associate clausole
di manleva particolarmente gravose.
Titolo della presentazione
17. Proprietà intellettuale dei dati
Spesso le clausole sulla proprietà intellettuale presenti nei contratti cloud
sono relative solo ai diritti del provider sul software o sulla piattaforma
È invece opportuno verificare che il contratto preveda espressamente che
la titolarità dei diritti di proprietà intellettuale sui dati (diritti d’autore,
diritti connessi al diritto d’autore, diritto sui generis del costitutore della
banca dati) appartiene al Cliente (o – almeno – che non sia stabilito il
contrario).
Al cloud provider dovrebbe al limite spettare una licenza d’uso dei dati
limitata all’esecuzione delle obbligazioni dedotte in contratto (e non
anche a scopi commerciali).
Titolo della presentazione
18. Integrità dei dati
La maggior parte dei cloud provider nelle proprie condizioni generali di
contratto tende ad escludere la propria responsabilità con riferimento
all’integrità dei dati. Alcuni provider assumono solo un’obbligazione di
mezzi (best effort). Altri provider assumonono la responsabilità solo
qualora il Cliente acquisti il separato servizio di back up dei dati.
È improbabile che, a meno di acquistare il servizio di back up dei dati, un
provider assuma qualcosa di più di un’obbligazione di mezzi rispetto
all’integrità dei dati. È dunque quanto mai opportuno provvedere ad
acquistare tale servizio o a procedere autonomamente a back up
periodici.
Titolo della presentazione
19. Riservatezza dei dati
La riservatezza dei dati è un profilo di fondamentale importanza per
numerose ragioni, tra cui:
garantire la legal compliance del trattamento dei dati personali rispetto
alla normativa in materia di privacy
assicurare il rispetto di obblighi contrattuali di riservatezza che il Cliente
abbia assunto con riferimento a soggetti terzi e mettere il Cliente stesso al
riparo da responsabilità risarcitoria
preservare la propria intellettuale del Cliente riferimento, ad esempio, alle
informazioni aziendali segrete (know how) e a eventuali innovazioni
brevettabili
È bene acquisire servizi cloud da quei provider che si impegnino
espressamente a garantire la riservatezza dei dati del Cliente e, in caso di
data breach, la notificazione al Cliente. In alternativa (o in aggiunta) è
opportuno procedere alla cifratura dei dati memorizzati in cloud.
Titolo della presentazione
20. Accessibilità dei dati
da parte di terzi
I problemi di riservatezza sono strettamente connessi con il profilo
dell’accessibilità dei dati da parte di soggetti diversi dal Cliente.
A volte i provider si riservano il diritto di monitorare l’uso del servizio (
conseguenze in termini di responsabilità del provider ai sensi del d.lgs.
70/2003) da parte del Cliente in termini anonimi, altre volte si riservano il
diritto di verificare che i dati uploadati dai Clienti siano conformi agli usi
consentiti.
Spesso i contratti cloud prevedono espressamente che il provider
consentirà, ove richiesto, l’accesso ai dati alla pubblica autorità (in alcuni
casi a seguito di un ordine dell’autorità giudiziaria, in altri casi anche a
seguito di richieste più o meno formali).
Quando il contratto prevede tali poteri di controllo da parte del provider o
dei terzi è consigliabile cifrare i dati (soprattutto quelli particolarmente
sensibili).
Titolo della presentazione
21. Disponibilità dei dati
alla risoluzione del contratto
Le condizioni contrattuali proposte sul punto dai cloud provider sono varie:
A volte viene previsto che i dati vengano conservati per un certo periodo
di tempo dopo la risoluzione del contratto
Altre volte viene previsto che I dati verranno immediatamente cancellati
Altre volte ancora il provider non assume nessun obbligo specifico in tal
senso, ma si riserva il diritto di cancellare i dati dopo la risoluzione del
contratto
Gli interessi del Cliente, in questo ambito, sono almeno due:
Avere la garanzia della disponibilità dei dati per un certo periodo di tempo
dopo la risoluzione del contratto
Avere la garanzia che, trascorso tale periodo di tempo, i dati verranno
definitivamente cancellati
Quando si selezionino dei provider che non assumono specifiche obbligazioni
sui punti sopra indicati è consigliabile procedere alla cifratura dei dati e a
frequenti back up.
Titolo della presentazione
22. Luogo in cui sono
memorizzati i dati
La normativa in materia di trasferimento all’estero dei dati personali rende
particolarmente critico il profilo del luogo in cui sono memorizzati i dati.
Occorre dunque fare attenzione alle clausole contrattuali relative
all’eventuale collocazione dei server e al trasferimento dei dati da parte del
cloud provider.
In particolare è opportuno preferire quei cloud provider che,
alternativamente:
ospitano i dati su server collocati all’interno di Stati UE
ospitano i dati su server collocati in Paesi extra UE che garantiscono un
livello di protezione dei dati adeguato (Andorra, Argentina, Australia,
Canada, Svizzera, Isole Fær Øer, Guernsey, Israele, Isola di Man, Jersey,
Uruguay USA limitatamente alle imprese che aderiscono al safe harbor)
fanno ricorso alle clausole contrattuali standard approvate dalla
Commissione europea (cfr. da ultimo le decisioni della Commissione
europea 2004/915/CE e 2010/87/UE)
Titolo della presentazione
23. SLA
L’assunzione, da parte del provider, di specifici obblighi sugli standard di
servizio, sulla business continuity e sul disaster recovery, sono
fondamentali per i Clienti che ricorrono a servizi cloud per gestire dati
critici e/o per fornire servizi in real-time
L’assunzione di obblighi specifici da parte del provider può essere
considerato come uno dei principali indici di affidabilità del fornitore
(oltre ad essere una scelta razionale anche per lo stesso provider che così
può modulare la propria responsabilità…).
È in ogni caso opportuno precisare che, laddove il provider non abbia
assunto specifici obblighi in tal senso non implica la sua irresponsabilità
per inadempimento, ma solo una maggiore difficoltà di darne prova.
Titolo della presentazione
24. Esclusioni e limitazioni
di responsabilità
Tutti i provider, sia pure in misura diversa (maggiore i provider USA,
minore i provider EU), cercano di limitare o escludere contrattualmente la
propria responsabilità per inadempimento (si pensi alle clausole «as is»).
Quando al contratto si applica la legge italiana, è opportuno ricordare che
le clausole di esclusione della responsabilità per dolo e colpa grave sono
nulle ( art. 1229 c.c.), essendo possibile solo escludere la responsabilità
in caso di colpa lieve (con il problema, tuttavia, in assenza di SLA, di
stabilire dove finisca la colpa lieve e inizi la colpa grave)
In molti casi la limitazione di responsabilità non attiene ai fatti che la
ingenerano, ma all’estensione del risarcimento (si pensi alle clausole
contenenti «indemnification caps» o alle clausole che stabiliscano
risarcimenti «in servizi»)
Titolo della presentazione
25. Esclusioni e limitazioni
di responsabilità
L’atteggiamento corretto da tenere in caso di clausole di esclusione o
limitazione della responsabilità è:
verificare la validità delle clausole in questione rispetto alla legge
applicabile al contratto
scegliere i provider che offrono maggiori garanzie contrattuali
cegliere in ogni caso i provider che offrano maggiori garanzie patrimoniali
valutare l’opportunità di protezioni esterne (assicurazioni)
Titolo della presentazione
26. Quando il cloud provider
è fornitore di un fornitore…
È di fondamentale
importanza,
quando si fa
ricorso a servizi
cloud per fornire a
propria volta
servizi a degli
utenti finali,
verificare che vi
sia simmetria tra
il contratto «a
monte» e quello
«a valle».
Titolo della presentazione
• Il cloud provider introduce nelle proprie CGC
delle clausole di esclusione o limitazione della
PROVIDER
responsabilità
CLIENTE
UTENTE
• Il Cliente non «rende simmetriche» tali clausole
nel contratto con i propri utenti finali
• Il Cliente rimane esposto a responsabilità nei
confronti dei propri utenti per inadempimenti,
di fatto, ascrivibili al cloud provider
27. Le iniziative europee in
materia di contratti cloud
Il 27 settembre 2012, la Commissione europea ha adottato una strategia
denominata «Sfruttare il potenziale del cloud computing in Europa»
(IP/12/1025, MEMO/12/713)
Il diritto dei contratti rappresenta una parte importante della
nostra strategia in materia di cloud computing. […] Le incertezze
in materia di contratti per il cloud computing possono ostacolare
gli scambi transfrontalieri. Visto che si tratta di un settore molto
complesso, stiamo raccogliendo i pareri degli esperti prima di
decidere come procedere.
Tra le altre azioni annunciate la Commissione intende lavorare per un
sviluppare standard e clausole contrattuali equilibrati per i contratti cloud.
Titolo della presentazione
!
28. Questo è, quindi, solo un arrivederci…
(e un grazie per l’attenzione!)
Titolo della presentazione
29. MONDUCCI PERRI SPEDICATO & PARTNERS
Avv. Giorgio Spedicato
giorgio.spedicato@mpslaw.it
Titolo della presentazione