Contratti cloud: non c’è solo Sla

Best Practice –

Troppi, ancora, i nodi irrisolti dal punto di vista del diritto, in particolare per l’utenza consumer. Sorpresa: nessun obbligo legale relativo ai Service Level Agreement.

Etichettato il cloud computing come uno dei temi attualmente più interessanti sul quale formulare riflessioni, per Giuseppe Rizzo, avvocato dello Studio Legale Graziadei di Roma, «quello della responsabilità contrattuale è un capitolo afferente al diritto comune che, però, assume connotazioni particolari quando lo si applica a un servizio innovativo come quello a cui ci riferiamo» e di cui sono già state evidenziate le peculiarità tecniche e commerciali.

Specializzato in diritto dell’informazione, comunicazione e nuove tecnologie all’interno della realtà legale che, con oltre 25 persone, può contare anche su un ufficio a Milano, Rizzo ricorda che, «come tutti i contratti, anche quello di cloud computing può incontrare delle difficoltà a causa di eventi imputabili o meno al Cloud Service Provider (CSP) e che possono creare conseguenze pregiudizievoli e dannose per l’utente».

In contratti di questo tipo, infatti, la relazione tra CSP e utenti è tale che in caso si verifichi un inadempimento tecnico «qualificabile in termini di continuità di servizio, riservatezza, integrità o sicurezza dei dati», lo stesso si riverbera su una vasta platea di utenti che, «a loro volta, potrebbero trovarsi nella condizione di arrecare un disservizio ai propri clienti» con un’evidente ricaduta sul business del cloud service provider a cui è imputato il danno.

Comprensibile, allora, l’interesse da parte di quest’ultimo «di circoscrivere l’ambito della propria responsabilità patrimoniale, mentre l’utente aspira a ottenere livelli di tutela adeguati».

Tutela utenti: per business e consumer due pesi, due misure
In cerca di un qualsiasi potere negoziale «attualmente inesistente» l’utente consumer dei servizi di cloud gode, però, su scala europea, di una serie di tutele inderogabili che, in Italia, si rifanno al Codice del Consumo.
«Per contro – è l’ulteriore precisazione a cura di Rizzo –, è da dare per assodato l’obbligo per i singoli individui di un adeguato backup dei dati in merito al quale non è possibile intervenire contrattualmente».

A fronte del limitato spazio per eventuali contestazioni «da parte di clienti che usufruiscono, comunque, di servizi gratuiti o per gran parte tali», l’integrità dei dati per gli utenti business «rappresenta un patrimonio aziendale oggetto di diritto assoluto che lascerebbe intendere – spiega il nostro interlocutore – come la responsabilità del Csp, messe da parte per un momento le clausole contrattuali, andrebbe valutata alla luce del rispetto delle norme tecniche solitamente adottate nel settore».

Qui, a subentrare nei contratti ampiamente negoziati, sono problematiche che, con un diverso grado di ampiezza, «vanno dall’incendio, che ha colpito i datacenter di Aruba, a tutti quegli eventi estranei al ragionevole controllo del CSP, in cui può rientrare l’intervento di un accanito hacker particolarmente bravo nel suo mestiere».

In tal senso, per l’avvocato, non può che risultare ragionevole la volontà del cloud service provider di «circoscrivere le proprie responsabilità», tanto più che «nella stragrande maggioranza degli ordinamenti anche oltre i confini del nostro Paese, le clausole di esclusione o di limitazione delle responsabilità risultano legittime, fatta eccezione per i casi di dolo o colpa grave del debitore della prestazione».

Nessun obbligo di legge per gli SLA
Quanto ai livelli di servizio garantiti dai cloud service provider agli utenti in termini di uptime, downtime, disponibilità di servizio e tempi di risposta, «non esiste in Italia una norma che obbliga i CSP a indicare nero su bianco i Service level agreement all’interno del contratto sottoscritto dalle parti interessate».

Tuttavia, è l’ulteriore puntualizzazione di Rizzo, «di norma accade che vengano indicati livelli di servizio “tendenziali” o parametri tecnici oggettivi in grado di delimitare l’oggetto del contratto dei servizi cloud».

Ancora una volta, però, l’utenza consumer non ha alcun potere di contrattazione, mentre «è opportuno che gli utenti business che hanno più potere negoziale di interloquire con il CSP ne pretendano l’espressa evidenziazione nel contratto».

Difficile, in ogni caso, pretendere un rispetto scientifico dei livelli di servizio garantiti e da osservare ma confutabili da range di performance dai confini davvero poco chiari per tutti.

Dati aziendali il patrimonio da proteggere
In realtà, le vere aree critiche per i CSP si confermano quelle inerenti la non compliance in merito alla disciplina sulla Privacy e la sicurezza e l’integrità dei dati considerati ai sensi del Codice della Proprietà Industriale, «ossia – conferma Rizzo – informazioni industriali e commerciali riservate e, come tali, oggetto di diritto assoluto».

E questo a prescindere dalla dimensione dell’azienda che sottoscrive il contratto di fornitura di servizi cloud e che vede le PMI tutelabili in quest’ottica alla medesima stregua di una multinazionale di livello enterprise.

Occhi puntati sui termini di servizio
Ancora una volta, nella qualificazione del contratto di servizi cloud «l’Italia si trova in un vuoto pneumatico normativo» all’interno del quale a contare sono soprattutto i cosiddetti “service terms“.
Analizzando quelli più diffusi, Massimo Maggiore, di Maschietto Maggiore Studio Legale, sottolinea, in primis, «il diritto d’uso attribuito all’utente interessato a usufruire di servizi in modalità cloud».

Perché in assenza di qualsiasi regolamentazione scritta quel che non bisogna mai perdere di vista è «la possibilità di utilizzare capacità di calcolo e risorse ICT delocalizzate offsite esternalizzando, di fatto, una serie di oneri strumentali, quali strumenti di calcolo particolarmente capaci».

Al cloud service provider, per contro, «non un obbligo di facere, ma di permettere», vale a dire non di “fare” ma di “far fare” «qualificando – è la conclusione dell’avvocato il cui studio legale rappresenta, in Italia, Salesforcel’obbligazione dei mezzi, non dei risultati per il CSP che è chiamato a mettere a disposizione degli utenti una determinata infrastruttura».

Una sorta di due diligence sui mezzi, «che però non garantisce il risultato, solo la modalità in cui la prestazione viene resa».


Pubblica i tuoi commenti