Cloud Computing,  Contratti informatici

Il contratto di Cloud Computing

Read 6 min

Uno dei contratti più complessi nei quali gli utenti dei sistemi informatici si imbattono di frequente è quello di cloud computing.

Il cloud computing consente l’utilizzazione di spazi di memorizzazione o di altri ambienti di sviluppo senza che queste risorse risiedano nei sistemi informatici ma attraverso il collegamento a server remoti, gestiti da terze parti.

Gli utenti, quindi, potranno compiere tutte le operazioni e le attività previste dal contratto di cloud senza essere vincolati ai propri supporti, potendo accedere ai propri dati da qualsivoglia postazione e avere a disposizione memorie di massa praticamente senza limite, non essendo più necessari supporti di memoria molto capienti, potendo stoccare tutti i dati su server accessibili da internet.

Nel cloud è possibile individuare differenti modalità di fornitura e modelli di servizio.

Riguardo alle modalità di fornitura dei servizi cloud occorre scegliere la soluzione più adatta alle esigenze dell’azienda o del privato interessato. In particolare, le valutazioni possibili possono articolarsi sulle modalità:

  • IaaS (Infrastructure as a Service): con questa soluzione un provider di servizi cloud affitta infrastrutture IT, ovvero server e macchine virtuali (VM), risorse di memoria di massa, reti e sistemi operativi, con un pagamento in base al consumo secondo un modello pay per use.
  • SaaS (Software as a Service): è un metodo per la distribuzione di applicazioni software tramite internet, on demand o in genere in base a una sottoscrizione. Questa modalità consente ai provider di servizi cloud di ospitare e gestire l’applicazione software e l’infrastruttura sottostante; si occupano altresì delle attività di manutenzione e gli utenti si connettono all’applicazione tramite Internet, in genere con un Web browser nel telefono, tablet o PC.
  • PaaS (Platform as a Service): consiste in una tipologia di servizio che fornisce un ambiente on demand per lo sviluppo, il test, la distribuzione e la gestione di applicazioni software rivolto a operatori di mercato (sviluppatori).

Con specifico riferimento invece ai modelli di servizio, sono distinguibili tre macro categorie:

  • Public Cloud (Cloud esterno): l’infrastruttura su cui sono installati i servizi cloud è offerta dal fornitore che mette a disposizione dei propri utenti/clienti la potenza di calcolo e/o memorizzazione dei propri data center. A tali servizi si accede tramite internet e l’elaborazione o i soli dati vengono trasferiti presso i sistemi del fornitore: in questo modo, l’erogatore del servizio assume un ruolo fondamentale rispetto alla protezione dei dati affidategli;
  • Private Cloud (Cloud interno): l’infrastruttura su cui sono installati i servizi cloud è di esclusiva titolarità dell’utente che ha il pieno controllo delle macchine sulle quali vengono conservati i dati e vengono eseguiti i suoi processi. Questa soluzione comporta un inevitabile aumento di costi, poiché i relativi servizi saranno forniti esclusivamente mediante risorse dedicate all’organizzazione dell’azienda;
  • Hybrid Cloud: consiste in una combinazione del modello pubblico e del modello privato, con il quale viene demandato ad un sistema pubblico la parte dei servizi che non coinvolgono il trattamento di dati personali, mentre i processi più sensibili vengono gestiti mediante un cloud privato.

Le parti contrattuali

Sotto il profilo contrattuale, il sistema di cloud computing può coinvolgere diversi soggetti:

1 – Cloud Provider: colui che acquisisce e gestisce le infrastrutture di elaborazione necessarie a fornire i servizi attraverso la rete e assicura l’esecuzione dei programmi che consentono i servizi;

2 – Cloud Consumer: l’utente o l’organizzazione che sottoscrive un contratto con il cloud provider, in buona sostanza il cliente finale fruitore dei servizi di cloud;

3 – Cloud Auditor: il soggetto che può eseguire un controllo indipendente sui servizi erogati da un cloud provider, con il fine di esprimere un parere;

4 – Cloud Broker: il soggetto che aiuta le aziende ad orientarsi fra i servizi e le offerte di cloud computing, mediando le migliori condizioni operative fra provider e utenti;

5 – Cloud Carrier: il soggetto intermediario che fornisce la connettività e il trasporto di servizi cloud tra il cloud consumer e il cloud provider, nonché l’accesso al cloud attraverso le reti e i dispositivi.

Le relazioni negoziali che si creano tra i soggetti consentono di inquadrare giuridicamente il contratto stesso e di individuarne anche la disciplina applicabile.

 La natura del contratto

L’aspetto più controverso di questo negozio riguarda la sua natura.

Parte della dottrina ha infatti ritenuto che il contratto in oggetto avrebbe natura di contratto misto, ravvisando in esso elementi riconducibili sia all’appalto di servizi che al contratto di licenza.

L’appalto di servizi consiste in un facere, che nel contratto di cloud si concretizza nell’offerta di memorie di massa ed altri servizi.

Ciò comporta che l’obbligazione assunta dal cloud provider (“appaltatore”) dovrà essere considerata di risultato.

Il contratto di licenza (o contratto d’uso) consente all’utente di utilizzare un prodotto (generalmente un programma informatico), specificandone le modalità di utilizzazione e di redistribuzione, garantendo diritti e imponendo vincoli.

All’acquirente (licenziatario) non viene trasferita la totalità dei diritti patrimoniali sul programma informatico ma solo alcuni di questi.

Nel caso del cloud si rinviene un aspetto del contratto di licenza tutte le volte in cui il contratto di cloud si sostanzi nell’offerta di software e loro conseguente utilizzo da parte dei fruitori.

Appare pertanto sconveniente collocare il contratto di cloud computing nell’una o nell’altra tipologia contrattuale.

Al contempo parte della dottrina ha messo in rilievo forti connessioni con la fattispecie dell’outsourcing, termine con il quale si fa riferimento alla esternalizzazione di attività produttive di una impresa a soggetti terzi.

Come il cloud, l’outsourcing è considerata una tipologia contrattuale atipica riconducibile proprio all’appalto di servizi (in particolare riguardo al rapporto sussistente tra le parti).

Nell’outsourcing tuttavia è consentita anche una esternalizzazione di risorse umane (e non solo strutturali) spesso caratterizzata da vincoli di esclusiva, che non si rinvengono ad esempio nel public cloud.

In ogni caso, per entrambe le ipotesi è stato evidenziato a più riprese che l’aspetto fondamentale nella contrattazione risiede nella definizione di specifici standard inerenti le prestazioni, la predisposizione di indici e parametri volti a misurare l’efficienza del servizio, nonché la definizione delle metriche di costo, anche in ragione di tali indicatori.

La forma e il contenuto del contratto

I contratti di cloud computing sono caratterizzati da una certa complessità strutturale.

Il documento contenente gli elementi fondamentali dell’accordo viene ad essere affiancato da tutta una serie di allegati tecnici, che definiscono nel dettaglio i vari parametri del servizio (es. specifiche tecniche, SLA, etc.) assicurando, in tal modo, l’impegno della parte fornitrice circa la qualità della prestazione.

I contratti di cloud sono solitamente composti di tre distinti documenti, uno contenente le condizioni generali del servizio, uno inerente la policy relativa al comportamento delle parti ed uno inerente le modalità del trattamento dei dati.

Quanto ai contenuti, questi si concentrano su due fronti, uno concernente i profili generali del contratto (durata, lingua, corrispettivo, legge applicabile, giurisdizione competente, etc.) ed uno riguardante i profili informativi, ovvero la gestione delle informazioni immesse nell’ambiente cloud (gestione dei dati, flussi transfrontalieri, sicurezza, etc.).

La privacy nel cloud

Un aspetto fondamentale su cui vale la pena indugiare riguarda il trattamento dei dati che l’utente immette “in the cloud”.

E’ senza dubbio uno degli aspetti più critici che impone di conoscere dove, in quale modo e a quali condizioni viene offerta la gestione dei dati e della loro sicurezza rispetto all’accesso di terzi non autorizzati, oltre ai profili di responsabilità per la possibilità di distruzione o perdita dei dati medesimi, alla loro alterazione nonché alla loro sottrazione.

Diventa quindi indispensabile rivolgersi ad un cloud provider che sia compliant con le norme sulla privacy ed, in particolare, con il Regolamento europeo n. 679/2016 (GDPR).

Il cloud provider è il soggetto che di fatto prende le decisioni riguardanti la sicurezza dei dati ed assumerà ruoli diversi a seconda della finalità del trattamento dei dati stessi.

Nel caso di fornitura di servizio in cloud e trattamento dei dati per le finalità ad esso legate, secondo le istruzioni fornite nel contratto dal titolare, il cloud provider sarà mero responsabile del trattamento, diversamente se i dati acquisiti vengono trattati per propri fini ne diviene titolare.

Quando però il cloud provider non è proprietario dei server sui quali vengono fisicamente ospitati i dati si rivolge a data center esterni che gli forniscono un servizio di hosting. In questa fattispecie l’hosting provider assume il ruolo di sub-responsabile del trattamento dei dati (art. 28 GDPR).

Il titolare del trattamento dovrà comunque mantenere il controllo dei propri dati e per far ciò dovrà conoscere l’intera filiera del trattamento e garantire per la sua sicurezza.

In conclusione

Il cloud computing comporta, come si è visto, l’esternalizzazione di una parte dei processi e delle funzioni che prima si svolgevano (e che possono ancora essere svolti) in house.

Questa soluzione permette alle aziende una notevole flessibilità e razionalizzazione dei costi, atteso che i servizi solitamente sono utilizzabili a consumo o in abbonamento, potendo anche decidere sulle modalità di utilizzo, nonché le tempistiche della fornitura stessa.

Se da una parte si riscontrerà un abbattimento dei costi e la possibilità di accedere a soluzioni tecnologiche sempre più all’avanguardia e dematerializzate, dall’altra si corre il rischio sempre più frequente di creare una dipendenza dal cloud provider e di trovarsi un giorno dinanzi alla dislocazione spaziale dei dati gestiti fino alla perdita di controllo diretto su di essi, con tutte le implicazioni sulla protezione dei dati personali.

VP

 

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *