Contratto cloud computing, la guida per tutelarsi: ecco come - Agenda Digitale

Vademecum

Contratto cloud computing, la guida per tutelarsi: ecco come

Passo per passo approfondiamo come si stipula un contratto cloud computing e quali sono i parametri ai quali è necessario prestare attenzione per tutelarsi, oltre a ricordare la normativa di riferimento incluso il GDPR

23 Mar 2021
Luigi Neirotti

Avvocato in Milano, CIPP/E Associate Partner di EY Law, Leader del Dipartimento IT & Data Protection Law

contratto cloud computing

Nello stipulare un contratto cloud computing vi sono diversi elementi utili da considerare, è importante conoscere i riferimenti normativi e comprendere le clausole: facciamo chiarezza in particolare riguardo alla fase preliminare di negoziazione del contratto e presa della decisione di esternalizzazione e nelle successive fasi di stipulazione ed esecuzione del contratto.

Per approfondire l’argomento, è necessario toccare temi di diritto civile, diritto della protezione dei dati personali e aspetti di tecnica legale contrattuale e negoziale.

Contratto cloud computing, gli elementi da considerare

La British Bankers Association (BBA) in collaborazione con lo studio legale Pinsent Mason[1] ha identificato, in una pubblicazione congiunta, tre fattori chiave per l’adozione di servizi basati su cloud computing:

WHITEPAPER
Quali sono le minacce digitali che mettono in pericolo le vendite al dettaglio?
Retail
Sicurezza
  • Innovazione agile: La possibilità di avere accesso ad un insieme condiviso di risorse informatiche configurabili può fornire ad un utilizzatore la possibilità di innovare attraverso fattori quali agilità, efficienza e produttività. L’accesso a risorse condivise in cloud può consentire di indirizzare le risorse interne, in precedenza focalizzate sulle proprie infrastrutture informatiche, verso servizi innovativi e nuovi prodotti.
  • Mitigazione del «rischio» (IT): Un cloud pubblico può fornire soluzioni efficienti al fine di mitigare i tradizionali rischi tecnologici riguardanti problematiche di capacità (elaborativa), ridondanza e resilienza. La natura scalabile dei sistemi di cloud computing pubblici può fornire un notevole strumento di gestione della domanda variabile di infrastrutture tecnologiche e al contempo offrire nuove soluzioni commerciali per sviluppare sistemi di gestione migliorativi.
  • Benefici economici: L’efficienza economica può derivare dalla riduzione dell’investimento inizialmente richiesto per sistemi IT tradizionali, attraverso la messa a disposizione di strutture più efficienti al fine di gestione della capacità elaborativa necessaria per soddisfare la domanda anche nei periodi di picco. In aggiunta, ai benefici economici diretti, la nuova efficienza di business conseguita attraverso innovazione e mitigazione del rischio dovuta all’accesso a sistemi cloud, può anche consentire il conseguimento di una maggiore efficienza nei costi.

Secondo la BBA e Pinsent Mason, ai fini dell’adozione di un servizio di cloud computing esistono tuttavia importanti implicazioni legali da considerare nei seguenti aspetti chiave:

  • Sicurezza del «cloud»
  • Continuità del servizio
  • Integrazione dei database, dei servizi e dei sistemi
  • Archiviazione e conservazione dei dati personali
  • Dipendenza da un fornitore esterno
  • Difficoltà nel caso di ritorno in-house o verso terzi
  • Aspetti più propriamente giuridici (responsabilità, compliance, legge applicabile, foro competente)

Consip, in crescita il settore ICT: ecco lo stato dell’arte di gare e progetti

Contratto cloud computing, la normativa

Ad oggi non esiste nell’ordinamento italiano una regolamentazione specifica applicabile a servizi di cloud computing. Esistono tuttavia alcune fonti normative che forniscono utili elementi interpretativi ai fini della nostra indagine legale a cui attingere e che in estrema sintesi possono essere riassunti come segue:

  • Gruppo di Lavoro art. 29 (WP29): Parere 05/2012 sul cloud computing, adottato il primo luglio 2012[2];
  • Garante per la protezione dei dati personali: Cloud computing – La guida del Garante della Privacy per imprese e pubblica amministrazione (24 maggio 2012)[3];
  • Banca d’Italia: Circolare n. 263 del 27 dicembre 2006, 15° aggiornamento del 2 Luglio 2015[4];
  • European Banking Authority: Recommendations on outsourcing to cloud service providers (EBA/REC/2017/03, 20 dicembre 2017)[5];

Esistono inoltre numerosi documenti a cura dell’ENISA, della CONSIP e dell’AGID, di particolare interesse per il caso di utilizzo del cloud computing nella pubblica amministrazione che tuttavia non sono di interesse specifico in questo lavoro e per i quali si rimanda ad un successivo approfondimento.

In estrema sintesi, secondo il Garante per la protezione dei dati personali, si possono individuare in un servizio di cloud computing i seguenti:

Vantaggi:economicità, flessibilità, efficienza, adattabilità
Svantaggi:potenziale perdita del controllo del dato

Volendo fornire una classificazione generale delle tipologie di cloud computing disponibili si può fornire la seguente ripartizione (che corrisponde anche a quanto individuato dal Garante per la protezione dei dati personali):

Cloud Pubblicodisponibile per l’utilizzo da parte della generalità degli utenti: imprese, organizzazioni, amministrazioni
Cessione del controllo del dato
Cloud Privatodisponibile per l’utilizzo esclusivo da parte di un solo ente o singola organizzazione (i.e. data center)
Mantenimento del controllo del dato
Cloud di Comunità (o ibrido)disponibile per l’utilizzo esclusivo da parte di una specifica comunità di enti, compresa una pluralità di enti appartenenti a un unico gruppo
Mantenimento del controllo del dato

Il Gruppo Articolo 29 nel proprio parere del 2012 (WP29 Opinion n. 5/2012) offre una prima ipotesi di definizione di cloud computing: “Il cloud computing consiste in una serie di tecnologie e modelli di servizio incentrati sull’uso e sulla fornitura di applicazioni informatiche, capacità di elaborazione e archiviazione e spazio di memoria basati su Internet”.

I profili di rischio del cloud computing

Lo stesso Gruppo Articolo 29 individua nel proprio Parere n. 5 del 2012 i seguenti possibili profili di rischio:

Mancanza di

CONTROLLO

  • Mancanza di disponibilità dovuta alla scarsa interoperabilità
  • Mancanza di integrità dovuta alla condivisione di risorse
  • Mancanza di riservatezza in caso di richiesta di accesso di autorità
  • Scarsa possibilità di intervento: specialmente in caso di «catena» di fornitori (e subfornitori)
  • Mancanza di isolamento (segregazione dei dati)
Mancanza di

INFORMAZIONI

  • Trasferimenti a catena
  • Trasferimenti in diverse località geografiche
  • Trasferimenti fuori dallo SEE

Definizione di un servizio di cloud computing

Come anticipato nell’introduzione, si riscontrata la sostanziale assenza nel nostro ordinamento di una vera e propria definizione normativa; si può ricavare una prima definizione di cloud computing dalla dottrina: “Insieme di tecnologie e risorse informatiche, accessibili direttamente on-line, autonomamente predisposto e controllato dall’impresa ovvero a questa fornito da terzi sotto forma di servizio
(G. Finocchiaro)”.

In generale, si tende ad inquadrare il cloud computing come una forma specifica di «outsourcing» dove, come noto, operano fondamentalmente due attori (e controparti in un contratto per la prestazione di un servizio di cloud computing):

Operatore specializzato (prestatore di servizi) che fornisce servizi di cloud computing a terziImpresa/organizzazione/pubblica amministrazione che beneficia dei servizi (utilizzatore dei servizi)

Altra possibilità di una definizione del servizio si può ricavare dalla normativa regolamentare specifica per il settore bancario ad opera della Banca d’Italia: “«Cloud computing»: i servizi forniti tramite cloud computing, ossia un modello che consente l’accesso in rete diffuso, conveniente e su richiesta a un gruppo condiviso di risorse informatiche configurabili (ad esempio reti, server, memorie, applicazioni e servizi), che possono essere forniti e messi a disposizione rapidamente con un minimo di attività gestionale o di interazione con il fornitore del servizio
(Banca d’Italia, Regolamento di attuazione TUF – Mifid2)”

Le raccomandazioni della European Banking Association

Anche la European Banking Association – EBA è intervenuta sull’argomento cloud computing nel 2017 con proprie “Raccomandazioni in materia di esternalizzazione a fornitori di servizi cloud”. Nelle proprie Raccomandazioni l’EBA individua i seguenti elementi di attenzione e valutazione

  • Valutazione della rilevanza dell’attività esternalizzata
  • Obbligo di informare le autorità di vigilanza o controllo
  • Diritti di accesso e audit
  • Sicurezza dei dati e dei sistemi
  • Localizzazione dei dati e trattamento dei dati
  • Esternalizzazione «a catena»
  • Piani di emergenza e strategie di uscita

Il vademecum del Garante privacy

Si segnala, infine, il Vademecum predisposto dal Garante per la protezione dei dati personali nel 2012 che offre un interessante inquadramento dei servizi di cloud computing. Nel vademecum il Garante per la protezione dei dati personali indica alcune “Raccomandazioni” agli utilizzatori prima di considerare il ricorso ad un servizio di cloud computing:

  1. Effettuare una verifica sull’affidabilità del fornitore
  2. Privilegiare i servizi che favoriscono la portabilità dei dati
  3. Assicurarsi la disponibilità dei dati in caso di necessità
  4. Selezionare i dati da inserire nella nuvola
  5. Non perdere di vista i dati
  6. Informarsi su dove risiederanno, concretamente, i dati
  7. Attenzione alle clausole contrattuali (responsabilità, portabilità)
  8. Verificare tempi e modalità di conservazione dei dati
  9. Esigere adeguate misure di sicurezza
  10. Formare adeguatamente il personale

Contratto cloud computing: l’inquadramento giuridico

Alla luce di quanto sopra esaminato, delle varie fonti disponibili, tenuto conto della causa del contratto, si può tentare di fornire un primo inquadramento giuridico del contratto di cloud computing:

  • Si può considerare il contratto di cloud computing come un “contratto atipico”, vale a dire una fattispecie non specificamente disciplinata nel codice civile all’interno delle tipologie contrattuali definite;
  • Nel caso dei contratti cd. “atipici”, si ricorre a disciplina analoga: come tradizionalmente avviene per i contratti di esternalizzazione, (outsourcing) si considera come base di partenza, per quanto applicabile, la disciplina dell’appalto (art. 1655 e segg, cod. civ.), in particolar modo dell’appalto di servizi;
  • Come noto, la fattispecie dell’appalto implica a carico del prestatore di servizi due elementi fondamentali: (i) organizzazione dei mezzi necessari, (ii) gestione a proprio rischio. Tali elementi conducono a definire il contratto come avente “obbligo di risultato”, in contrapposizione ad altre fattispecie contrattuali che prevedono una cd. “obbligazione di mezzi” (vale a dire ove la diligenza richiesta consiste nella prestazione delle attività dovute, con la necessaria attenzione e perizia, senza tuttavia dover garantire il risultato richiesto). Nel cloud computing, come più in generale in tutti i servizi di esternalizzazione, è presente invece il cd. “obbligo di risultato”. Nell’obbligazione di risultato il debitore (i.e. prestatore di servizi) si libera (dalle proprie obbligazioni) solo con il conseguimento del risultato stesso, ossia adempie (correttamente) se all’esito dell’attività svolta ottiene, appunto, il risultato (contrattualizzato con la controparte).

Più precisamente, tenuto conto della causa del contratto, si può considerare il cloud computing come un contratto atipico dove il nucleo della disciplina è fornito dal contratto di somministrazione: Art. 1677 cod. civ., se l’appalto ha per oggetto prestazioni continuative o periodiche di servizi, si osservano, in quanto compatibili, le norme di questo capo e quelle relative al contratto di somministrazione

Contratto cloud computing, come fare

Tenuto conto di quanto sopra, possiamo ora concentrarci sugli elementi chiave da considerare al fine della predisposizione di un contratto per la disciplina di un servizio di cloud computing e relative tutele contrattuali. Sono enunciati di seguito gli aspetti “chiave” da considerare per strutturare correttamente un contratto di cloud computing, individuati in funzione dei profili di rischio connessi alla scelta di ricorrere a tale forma di servizio, che possono essere elencati come segue:

  • Definizione dell’oggetto della prestazione
  • Definizione della valutazione dell’adempimento
  • Dichiarazioni e rappresentazioni
  • Diritti di controllo, accesso e verifica
  • Obblighi in materia di policy e formazione del personale
  • Garanzie e penali, responsabilità
  • Protezione dei dati personali, sicurezza e tutela IPR
  • Successione nella prestazione del servizio
  • Tutele legali: controversie e legge applicabile

La prospettiva che si adotta è quella volta alla realizzazione di un contratto di esternalizzazione “su misura”; contratti predisposti in serie da parte di prestatori di servizi potrebbero risultare meno articolati (e molto più sbilanciati a favore del prestatore di servizi); per questo tipo di contratti si rimanda all’ultimo paragrafo.

Contratto cloud computing, come tutelarsi

Nel seguito ciascuno dei fattori chiave individuati sopra sarà oggetto di analisi puntuale con indizioni pratiche e operative da tenere presente ai fini della predisposizione di un contratto per la disciplina di un servizio di cloud computing.

Le tipologie di contratto cloud

Come accennato, essendo un contratto atipico che si basa sulla disciplina del contratto di somministrazione, il contratto di cloud computing risulta in una obbligazione di risultato per il prestatore di servizi. Diventa quindi molto importante, anzi fondamentale, l’individuazione dell’oggetto del contratto in termini di descrizione delle prestazioni dovute.

Al riguardo, per poter riassumere e sintetizzare il complesso delle prestazioni ricomprese nella soluzione offerta, si ricorre ormai ad una serie di definizioni codificate che vengono qui di seguito elencate e che consentono di fornire una prima, sintetica, indicazione sulle attività e prestazione che saranno oggetto del contratto (e quindi sulle conseguenti obbligazioni, di risultato, assunte dal prestatore di servizi):

Tipologia di servizio di cloud computingContenuto delle prestazioni oggetto del servizio
BPaaS

(Business Process as a Service)

Servizi per la gestione o acquisizione di processi di business (business process), ossia di routine ammnistrative interne ottimizzate per la fornitura di beni e servizi
SaaS

(Software as a Service)

Servizi per la gestione amministrativa e contabile “da ufficio”, di tipo all-purpose, eventualmente arricchite da funzioni o da ulteriori applicativi diretti a svolgere attività più specifiche, applicazioni cloud che permettono di gestire la corrente attività
PaaS

(Platform as a Service)

Servizi e soluzioni per la gestione amministrativa e contabile che includono anche lo sviluppo di applicazioni e un ambiente di test
IaaS

(Infrastructure as a Service)

Soluzioni che permettono di effettuare la memorizzazione (storage) di grandi quantità di dati e la disponibilità di notevoli spazi di archiviazione

Da un punto di vista di utilizzo e impiego delle diverse possibilità offerte in letteratura si tende considerare le possibili combinazioni di servizi/prestazioni per ciascuna piattaforma;

Tipologia del servizio prestatoSoluzione offerta
Svolgimento di attività amministrativa e contabile (gestione amministrativa e contabile, gestione del personale)SaaS, PaaS, BPaaS
Storage generico dei dati, gestione di archiviazione e conservazione, big-dataIaaS
Applicazioni specifiche per la gestione di determinati processi aziendaliSaaS, PaaS, BPaaS
Adempimento normativo di particolari obblighi in capo all’impresa (ed antiriciclaggio, verifica solvibilità clienti, compliance normativa)SaaS, PaaS, BPaaS

Osservando le tipologie di contratti in uso si osserva, nella pratica contrattuale rilevata nel mercato, una tendenza a descrivere l’oggetto del contratto mediante il ricorso ad uno degli acronimi sopra indicati; meglio sarebbe ricorrere ad una combinazione tra una descrizione oggettiva del servizio prestato, mediante anche ricorso ad appositi allegati o capitolati integrativi del contratto con una puntuale descrizione, da combinare assieme al ricorso ad una delle formulazioni sintetiche sopra viste (a fini più commerciali e per comodità di riferimento). Risulta evidente come la mera indicazione dell’oggetto dei servizi mediante il ricorso ad un sintetico acronimo sia insufficiente ed anche rischiosa in termini di definizione degli obblighi contrattuali (di risultato) e sulla loro misurabilità.

A cosa bisogna fare attenzione

Posto quando sopra, al fine di poter correttamente individuare la misura dell’esatto adempimento, risulta molto importante stabilire con precisione:

  • i parametri chiave, oggettivi e misurabili, che definiscono l’esatto adempimento per ciascuna delle prestazioni che formano oggetto del contratto e che sono pertanto oggetto di misurazione e valutazione, quanto più oggettiva;
  • Il livello obiettivo obbligatorio da raggiungere per ciascuno dei parametri misurabili al fine della valutazione dell’esatto adempimento e della eventuale individuazione di responsabilità per inadempimento (contrattuale).

Quale tecnica per ottenere il risultato anzidetto si usa normalmente ricorrere alla definizione e adozione di metriche concordate di misurazione, intendendosi la definizione congiunta di metodi di rilevazione e misurazione che normalmente si basano su:

  • Definizione dei KPI (Key Performance Indicators), intendendosi dei parametri oggettivi e misurabili che sono associati (unitariamente) alle prestazioni in cui risulta scomponibile l’oggetto del contratto e che siano contemporaneamente di interesse quale prestazione essenziale. Ad esempio, si potrà stabilire un livello minimo di capacità di memorizzazione (IaaS), oppure orari di funzionamento per accesso a funzioni amministrative (SaaS), oppure ancora tempi di intervento in caso di errori o problemi (PaaS); si tratta naturalmente di mere esemplificazioni, la cui individuazione sarà il frutto dell’interesse dell’utilizzatore del servizio e della disponibilità alla contrattualizzazione del prestatore del servizio;
  • Definizione dei SLA (Service Level Agreements), intendendosi in questo caso, l’individuazione della misura che esprime il livello obiettivo da raggiungere, ovvero garantito dal prestatore dei servizi nell’adempimento degli obblighi contrattuali. Proseguendo negli esempi precedenti, si potrà trattare della misura espressa in GigaBytes (o TeraBytes) di disponibilità della capacità di memorizzazione (IaaS); dei giorni obbligatori di copertura del servizio (es.: Lun-Ven) e degli orari di funzionamento garantiti (es.: dalle 08.30 alle 18.30) per accesso a funzioni amministrative (SaaS); per quanto riguarda tempi di intervento in caso di errori o problemi (PaaS) si potrà stabilire ad esempio: presa in carico entro un giorno lavorativo e risoluzione del problema entro due giorni lavorativi; si tratta naturalmente di mere esemplificazioni, la cui determinazione sarà nuovamente il frutto dell’interesse dell’utilizzatore del servizio e della disponibilità alla contrattualizzazione del prestatore del servizio

Dichiarazioni e rappresentazioni contrattuali

Le dichiarazioni e rappresentazioni contrattuali dovrebbero riflettere nel contratto l’esito di tutte le verifiche effettuate in precedenza, prima dell’affidamento del servizio di cloud computing al prestatore di servizi. Esse dovrebbero quindi costituire, dal punto di vista giuridico, il presupposto su cui poggia la decisione per l’affidamento del servizio e costituiranno anche la base di partenza per l’effettuazione delle verifiche periodiche che l’utilizzatore deve riservarsi di eseguire.

Poiché le soluzioni offerte in tema di cloud computing sono rappresentare da una grande varietà di possibili architetture, modelli di servizio, combinazione di tecnologie messe a disposizione e software adottati, sarà necessario esplicitare nel contratto tutti i presupposti che sono alla base della scelta della soluzione adottata e del prestatore di servizio.

Preliminarmente alla decisione di affidamento del servizio di cloud computing è opportuno, da parte dell’utilizzatore, la definizione dei requisiti richiesti dalla soluzione offerta, dei livelli di sicurezza necessari, nonché delle policy e controlli tecnici e di sicurezza di cui dovrà disporre il prestatore di servizi.

Ugualmente sarà molto importante assicurare il rispetto di eventuali requisiti normativi e di compliance da parte del prestatore di servizi. Infine, risulterà molto utile ottenere delle dichiarazioni riguardanti l’assetto patrimoniale di cui dispone il prestatore di servizi, l’obbligo al mantenimento di tale solidità patrimoniale, valutare la presenza di contratti di assicurazione o di eventuali garanzie (fidejussorie) per il caso di inadempimento.

Utile anche ottenere una dichiarazione di assenza di conflitti di interesse, la rappresentazione dell’assetto proprietario e l’obbligo di informativa in caso di modifica dell’assetto medesimo (al fine di evitare di affidare il servizio ad un concorrente a seguito di eventuali operazioni societarie o sul capitale che potrebbero mutare l’assetto proprietario). A livello propedeutico per le dichiarazioni e rappresentazioni si possono citare i seguenti ulteriori elementi che possono essere presi in considerazione al fine della valutazione del prestatore di servizi di cloud computing ed alla base della decisione di affidamento dei servizi:

  • Valutazione di aspetti di Information Security e Data Protection; tale valutazione deve avvenire tramite un processo formale verifica che può basarsi su interviste preliminari, compilazione di questionari o check-list predefinite, a fini di valutazione (assessment) preliminare e formale accettazione da parte dell’utilizzatore;
  • Effettuazione di verifiche (audit) preliminari sugli aspetti di Information Security e Data Protection, eventualmente da ripetere periodicamente, ad intervalli predefiniti ovvero in caso di necessità (i.e. data-breach, incidenti IT, verifiche o ispezioni da parte dell’organo di vigilanza, se presente). Tali audit possono essere delegati al fornitore stesso con obbligo di messa a disposizione del report di (auto-)audit, ovvero essere condotti dall’utilizzatore dei servizi, ovvero delegati ad un soggetto specializzato ovvero ancora condotti da una entità indipendente (i.e. certificatore)
  • Presenza di eventuali certificazioni internazionali che possano confermare la presenza ed il raggiungimento di determinali livelli di affidabilità e sicurezza;
  • Adesione a codici di condotta o standard di settore che possano garantire il rispetto di determinati criteri di diligenza nella conduzione dei servizi nonché di determinati requisiti operativi e di sicurezza.

In ultima analisi, quale elemento a supporto del corretto processo decisionale, propedeutico alla decisione di affidamento del servizio di cloud computing ed alla contrattualizzazione del servizio, del resto come risulterebbe utile anche per ogni servizio di esternalizzazione, si può indicare l’opportunità dell’adozione di una policy per il ricorso a servizi di cloud computing che contenga tutti gli elementi di valutazione necessari, dalle verifiche preliminari, agli elementi documentali da raccogliere, fino al processo decisionale condiviso che deve contemplare il coinvolgimento di tutte le competenze necessarie: legali, amministrative, finanziarie, marketing, IT, sicurezza informatica, compliance.

Diritti di controllo, accesso e verifica

Considerato quanto sopra in tema di dichiarazioni e rappresentazioni che costituiscono alcune delle principali obbligazioni che governano il rapporto tra prestatore di servizi e utilizzatore, occorre ora rivolgere la nostra attenzione ai diritti di controllo, accesso e verifica, che costituiscono la logica e necessaria conseguenza. Al riguardo, è utile considerare di inserire nella disciplina contrattuale i seguenti obblighi o facoltà:

  • Monitoraggio continuo attraverso la ricezione di rapporti su KPI e SLA;
  • rapporti dettagliati su attività di manutenzione, eventuali incidenti e rimedi adottati;
  • esito di test preliminari, ovvero la facoltà di effettuare attività di audit preliminare o periodica o su base di necessità. Come già anticipato, gli audit potranno essere del tipo “prima parte” (interno), “seconda parte” (affidato ad un operatore specializzato), “terza parte” (condotto da operatori indipendenti/certificatori ovvero da un’autorità);
  • obbligo di collaborazione e di consentire accesso ai locali in caso di ispezione, data-breach, ispezione da parte dell’autorità di controllo
  • Disponibilità di adeguati «dashboard» (cruscotti informativi) che contengano e mettano a disposizione tutte le informazioni necessarie per il controllo nella erogazione dei servizi, con speciale riguardo ai KPI e SLA, ovvero attività di manutenzione programmata o straordinaria, data-breach o incidenti di sicurezza.

Le verifiche in questione potranno anche essere gestite attraverso momenti formali di esame e condivisione dei risultati, mediante incontri programmati e calendarizzati tra le parti, con verbalizzazione di tali riunioni, esiti emersi, decisioni ed azioni conseguenti.

Obblighi in materia di policy interne e formazione del personale

Esaurita la trattazione delle dichiarazioni e rappresentazioni che conviene inserire nella disciplina contrattuale e correlati diritti e facoltà di controllo, accesso e verifica, da parte dell’utilizzatore dei servizi, occorre ora affrontare il tema del mantenimento delle garanzie interne del prestatore di servizi che hanno formato, o almeno possono aver contribuito alla scelta di affidamento dei servizi e che pertanto devono essere mantenute nel tempo a garanzia e presidio del corretto adempimento degli obblighi contrattuali (di risultato).

Al riguardo si individuano principalmente i seguenti obblighi in capo al prestatore di servizi e correlata facoltà di verifica da parte dell’utilizzatore:

  • Obblighi circa il mantenimento delle policy attuali in materia di protezione dei dati personali, information security, data-breach, incident management;
  • Obblighi in materia di costante aggiornamento della formazione e dell’awareness del personale;
  • Obblighi di comunicazione in caso di modifica delle policy interne;
  • Obblighi di comunicazione in caso di mutamento delle condizioni patrimoniali o nella modifica delle coperture assicurative o di garanzia della prestazione;
  • Obblighi di comunicazione dell’esito di eventuali audit o verifiche indipendenti o di autorità di controllo;
  • Obblighi di comunicazione circa il mantenimento di certificazioni o adesione a codici di condotta di settore;
  • Obblighi di comunicazione nel caso di cambio di proprietà o adozione di nuovi standard.

Garanzie e penali

In questa sezione del contratto occorre individuare le opportune garanzie contrattuali in corrispondenza delle rappresentazioni contrattuali. A questo riguardo occorre predisporre:

  • protezioni contrattuali per il caso di inadempimento che possono essere rappresentate da cauzioni o garanzie fidejussorie, anche sotto forma di polizza fidejussoria o bancaria;
  • adeguate clausole penali per il caso di mancato rispetto dei SLA definiti contrattualmente, salvo naturalmente il diritto al risarcimento dell’eventuale maggior danno. Come noto, per il caso di applicazione di una penale sarà sufficiente fornire la prova dell’inadempimento da parte del prestatore di servizi, mentre nel caso del maggior danno sarà necessario anche fornire la prova di quest’ultimo oltre all’inadempimento contrattuale.

Oltre a quanto sopra è consigliabile prevedere contrattualmente i seguenti obblighi:

  • mantenere adeguata copertura assicurativa per tutta la durata del contratto, presso una compagnia assicurativa di adeguato rating (eventualmente anche prevedendo il rating minimo necessario);
  • mantenere attive le certificazioni e adesione a codici di condotta di settore che siano state indicate e siano state considerate nel processo di selezione del prestatore di servizi e stipula del contratto di affidamento del servizio di cloud computing.

Responsabilità

Tenendo conto che il contratto di cloud computing viene, come detto, inquadrato tra i contratti atipici, con obbligo di risultato, occorre una corretta individuazione dei profili di responsabilità per inadempimento contrattuale. Al riguardo, come già illustrato nel paragrafo relativo all’oggetto del contratto, giova preliminarmente operare una corretta individuazione delle prestazioni contrattuali dovute e, ove necessario, della corretta ripartizione dei compiti tra prestatore di servizi e utilizzatore.

Nel caso in cui siano stati individuati del KPI e dei SLA, l’area di inadempimento dovrebbe quindi collocarsi in tutti i casi in cui le soglie concordate non siano rispettate, in funzione dello SLA concordato ed espresso in funzione del KPI (espresso in misura percentuale rispetto ad una soglia prestabilita o in misura assoluta rispetto ad un determinato parametro, su base temporale, per il caso si voglia esprimere la disponibilità dei servizi, o di capacità, per il caso in cui si prendano a riferimento parametri tecnici o altro che sia stato individuato di comune accordo).

Sulla base di quanto sopra, risulta pertanto comune nella pratica contrattuale la definizione di inadempimenti contrattuali addebitabili al prestatore di servizi che siano legati al mancato rispetto di SLA concordati. Accanto a tali inadempimenti, si possono individuare altri casi di inadempimento che solitamente non sono legati a parametri quantitativi, quali potrebbero essere inadempimenti legati a violazione degli obblighi di protezione dei dati personali, degli obblighi di portabilità dei dati, degli obblighi di riservatezza e sicurezza informatica.

Qualora il contratto sia disciplinato dal diritto italiano, ricordiamo il limite inderogabile posto dall’art. 1229 del cod. civ. alla limitazione o esclusione di responsabilità per il caso di dolo o colpa grave del prestatore dei servizi. Fuori da questi casi, sarà possibile, se le parti concordano, stabilire eventuali limitazioni di responsabilità che potranno essere espresse in valore assoluto ovvero in rapporto al corrispettivo, sotto forma di percentuale di quest’ultimo (es. 80%, oppure 100% o anche 200% del totale del corrispettivo annuo). Qualora il contratto sia disciplinato da una diversa legge applicabile occorre verificare con attenzione la disciplina relativa alla esclusione o limitazione della responsabilità del prestatore di servizi. Se il contratto è disciplinato da common law occorre prestare attenzione in quanto il regime giuridico risulta alquanto differente rispetto al nostro, con una diversa impostazione nella definizione della colpa per inadempimento contrattuale e della colpa grave (peraltro assumono maggior rilievo le rappresentazioni contrattuali). Nella pratica contrattuale di mercato, non solo italiana, si registra una convergenza nell’escludere dalle limitazioni della responsabilità contrattuale le seguenti ipotesi di inadempimento che siano imputabili al prestatore di servizi:

  • violazioni di diritti della proprietà intellettuale (i.e IPRs);
  • violazioni in materia di protezione dei dati personali;
  • violazioni di sicurezza informatica (Information Security) che possono anche portare a data-breach a fini di protezione dei dati personali (i.e.: nella forma di violazione della triade Confidentiality Integrity Availability – CIA).

Sempre nella pratica contrattuale rilevata sul mercato, il prestatore di servizi usualmente inserisce una serie di esclusioni di responsabilità per le seguenti ipotesi che normalmente attengono a prestazioni di terzi e/o a comportamenti dell’utilizzato dei servizi:

  • Assenza di collegamenti;
  • Difetti di interoperabilità con i sistemi del cliente;
  • Utilizzo da parte di terzi;
  • Violazione dei codici di accesso;
  • Danni indiretti;
  • Danni subiti da terzi;

Disciplina della transizione a fine prestazione del servizio

Un buon contratto di cloud computing prevede un’adeguata disciplina per il momento in cui il servizio giunga al termine della sua durata contrattuale prestabilita e l’utilizzatore si trovi di fronte a diverse opzioni: rinnovare il contratto per proseguire il servizio con lo stesso prestatore di servizi, riprendere in proprio la gestione degli stessi servizi ovvero scegliere un diverso prestatore di servizi.

Ovviamente nel secondo e nel terzo caso si pone il problema della transizione del servizio e più ancora del trasferimento di tutti i dati che sono gestiti in cloud dal prestatore dei servizi, inclusi i dati personali che sono oggetto di particolare disciplina e garanzia in base al GDPR. Si pone quindi il problema per l’utilizzatore dei servizi di assicurarsi cooperazione dal prestatore di servizi per la fase di transizione e più ancora la disponibilità dei dati che devono transitare al nuovo sistema che verrà impiegato per i medesimi servizi (di altro prestatore di servizi o in proprio). In quest’ottica risulta quindi necessario disciplinare i seguenti aspetti contrattuali:

  • Obbligazioni concernenti il (ri-)trasferimento dei dati, garantendone piena fruibilità
    • Necessità di individuare il formato in cui saranno resi disponibili e l’obbligo di garantire la fruibilità e leggibilità dei dati memorizzati in cloud;
    • Necessità di garantire l’accessibilità
  • Individuazione di standard di interoperabilità o portabilità tra operatori da utilizzare nel periodo di transizione;
  • Necessità di assicurare la fruibilità dei dati, indipendentemente dal software/piattaforma utilizzato;
  • Necessità di assicurarsi la disponibilità e la cooperazione del prestatore di servizi, eventualmente anche per prestazioni aggiuntive, qualora necessarie, se del caso a tariffe prestabilite (per non esporsi a negoziazione in un momento sconveniente).

Nell’ottica dell’utilizzatore dei servizi occorre, inoltre, prevedere opportune clausole per prevenire eventuali rischi dovuti alla ritardata/mancata restituzione o trasferimento dei dati o cancellazione dei dati, ovvero per il caso di difficoltà nel reperire i dati nell’infrastruttura condivisa. Più in generale, risulta necessario per l’utilizzatore dei servizi individuare e definire una «exit strategy» (in-sourcing ovvero outsourcing c/o terzo) e adeguare conseguentemente la struttura contrattuale in modo concordato tra le parti al fine di evitare di entrare in discussione quando il rapporto è ormai al termine (e la conseguente disponibilità a trovare un accordo o un compromesso risulta ridotto).

Contratto cloud computing e protezione dei dati personali

Per un contratto di cloud computing l’aspetto più importante, dal punto di vista della protezione dei dati personali, consiste sicuramente nell’individuazione e definizione del ruolo privacy del prestatore di servizi. La qualificazione più naturale risulta quella di “responsabile del trattamento”, ai sensi di quanto previsto e disciplinato dall’art. 28 GDPR. A tal riguardo ricordiamo che l’art. 28 GDPR stabilisce innanzitutto che:

“1. Qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest’ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato”.

In tal modo si rende obbligatorio per l’utilizzatore dei servizi di cloud computing verificare preliminarmente che il prestatore di servizi presenti le richieste “garanzie”. Al riguardo si rinvia a quanto indicato nel paragrafo 2 (dichiarazioni e rappresentazioni e relative verifiche in capo all’utilizzatore).

Prosegue l’art. 28 GDPR stabilendo che

“3. I trattamenti da parte di un responsabile del trattamento sono disciplinati da un contratto o da altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, che vincoli il responsabile del trattamento al titolare del trattamento e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento.”

In base a questa disposizione risulta quindi necessario disciplinare tramite apposito strumento contrattuale l’affidamento del servizio di cloud computing al prestatore di servizi, secondo quanto illustrato nel presente lavoro. L’art. 28 GDPR pone delle limitazioni alla gestione di eventuali «catene di fornitori», individuabili nei subappaltatori del prestatore di servizi:

“2. Il responsabile del trattamento non ricorre a un altro responsabile senza previa autorizzazione scritta, specifica o generale, del titolare del trattamento. Nel caso di autorizzazione scritta generale, il responsabile del trattamento informa il titolare del trattamento di eventuali modifiche previste riguardanti l’aggiunta o la sostituzione di altri responsabili del trattamento, dando così al titolare del trattamento l’opportunità di opporsi a tali modifiche.”

Pertanto, la possibilità per il prestatore di servizi del ricorso a terzi che operino quali subappaltatori dovrà essere prevista nel contratto per la disciplina del servizio di cloud computing tramite un’approvazione specifica dell’utilizzatore che potrà essere preventiva, oppure richiesta di volta in volta.

Naturalmente risulterà necessario predisporre e mettere a disposizione di tutti gli interessati (i.e. “stakeholders”) un’adeguata informativa ai sensi dell’art. 13 GDPR, illustrando la circostanza che dati personali propri e dei propri clienti, fornitori, dipendenti, consulenti, ecc., potranno essere trattati da parte di un responsabile del trattamento nell’ambito del ricorso a servizi di cloud computing, con indicazione del luogo dove questi servizi saranno forniti (per quanto possibili, vista la natura e le caratteristiche di un servizio di cloud computing).

Trasferimento dati extra EEA

Nel caso in cui la prestazione del servizio di cloud computing richieda o comunque implichi la necessità del trasferimento dei dati personali al di fuori della EEA (European Economic Area), post sentenza della Corte di Giustizia dell’Unione Europea nel caso cd. “Schrems II” risulterà necessaria una valutazione circa il livello di protezione del Paese di destinazione dei dati personali (posto che sia possibile individuare una simile eventualità, data la natura del servizio di cloud computing, o perlomeno individuando tale luogo dove abbia sede il prestatore di servizi) al fine di decidere l’eventuale adozione di uno strumento giuridico adeguato al fine di governare lo scambio di dati personali tra utilizzatore e prestatore di servizi.

Si tratta di condurre una valutazione alla luce degli strumenti di trasferimento dei dati personali in paesi non appartenenti alla EEA ai sensi di quanto previsto nell’articolo 46 GDPR. In particolare, come risulta dalle stesse indicazioni (FAQ) fornite dallo EDPB[6], “la Corte ha sottolineato che spetta all’esportatore e all’importatore di dati valutare se il livello di protezione richiesto dal diritto dell’UE sia rispettato nel Paese terzo in questione al fine di determinare se le garanzie fornite dalle SCC o dalle BCR possano essere rispettate nella pratica. In caso contrario, occorre valutare se sia possibile prevedere misure supplementari per garantire un livello di protezione sostanzialmente equivalente a quello previsto nel EEA, e se la legislazione del paese terzo non consenta ingerenze nei riguardi delle suddette misure supplementari tali da comprometterne di fatto l’efficacia”.

Alla luce di quanto sopra, potrebbe essere opportuna la predisposizione di un data transfer impact assessment (TIA) sulla base delle risultanze dell’analisi pregressa al fine di individuare la soluzione più appropriata (e documentare l’accountability del titolare/esportatore dei dati personali).

Cloud e accountability

Sulla base del principio di accountability risulta necessario per il titolare del trattamento (e quindi per l’utilizzatore) valutare se sia necessario o meno effettuare una valutazione d’impatto sulla protezione dei dati personali “DPIA” (ai sensi dell’art. 35 GDPR), eventualmente prendendo in considerazione la DPIA del prestatore di servizi o comunque considerando la valutazione di quest’ultimo circa la necessità o meno di eseguire tale valutazione. L’art. 35 GDPR stabilisce in principio che

“1. Quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali. Una singola valutazione può esaminare un insieme di trattamenti simili che presentano rischi elevati analoghi.

Lo stesso articolo 35 GDPR viene interpretato alla luce delle Linee guida del Gruppo Articolo 29 (WP29) concernenti la valutazione di impatto sulla protezione dei dati[7]. Sulla base di quanto indicato nelle Linee guida del WP29, il Garante Privacy ha effettuato una “infografica”, disponibile su proprio sito web, per riassumere i casi in cui sia richiesta l’effettuazione di una DPIA:

  • trattamenti valutativi o di scoring, compresa la profilazione;
  • decisioni automatizzate che producono significativi effetti giuridici (es: assunzioni, concessione di prestiti, stipula di assicurazioni);
  • monitoraggio sistematico (es: videosorveglianza);
  • trattamento di dati sensibili, giudiziari o di natura estremamente personale (es: informazioni sulle opinioni politiche); – trattamenti di dati personali su larga scala;
  • combinazione o raffronto di insiemi di dati derivanti da due o più trattamenti svolti per diverse finalità e/o da titolari distinti, secondo modalità che esulano dal consenso iniziale (come avviene, ad esempio, con i Big Data);
  • dati relativi a soggetti vulnerabili (minori, soggetti con patologie psichiatriche, richiedenti asilo, anziani, ecc.);
  • utilizzi innovativi o applicazione di nuove soluzioni tecnologiche o organizzative (es: riconoscimento facciale, device IoT, ecc.);
  • trattamenti che, di per sé, potrebbero impedire agli interessati di esercitare un diritto o di avvalersi di un servizio o di un contratto (es: screening dei clienti di una banca attraverso i dati registrati in una centrale rischi per stabilire la concessione di un finanziamento).

Si indica che una DPIA potrebbe risultare necessaria in presenza di almeno due dei seguenti criteri tuttavia tenendo conto delle circostanze. Rimanendo stabilito, bene inteso, che il titolare del trattamento può decidere di condurre una DPIA anche se ricorre uno solo dei criteri di cui sopra. Sarà quindi necessario condurre di volta in volta adeguate valutazioni al fine di stabilire se sia necessaria o meno una DPIA funzionale al ricordo ad un servizio di cloud computing. Da ultimo, in connessione con il ricorso ad un servizio di cloud computing, si segnala la delicatezza del tema relativo all’effettivo esercizio del cd. «diritto all’oblio» (art. 17 GDPR), aspetto da valutare con attenzione per la implicita difficoltà nel dare corso a tali richieste, anche in relazione ad eventuali limitazioni contrattuali stabilite con il prestatore di servizi.

Cloud computing e sicurezza

Occorre a questo riguardo individuare e contrattualizzare l’adozione ed impiego di adeguate misure organizzative e di sicurezza poste a tutela dei servizi erogati, in particolare con riferimento a normative di settore applicabili.

Oggetto principale delle misure organizzative e di sicurezza dovrebbe essere la protezione della cd. triade di sicurezza informatica: CIA – Confidentiality, Integrity, Availability (Confidenzialità, Integrità, Disponibilità), specialmente tenuto conto dell’eventuale possibilità di “concentrazione dei rischi”, della potenziale perdita di controllo delle informazioni e specialmente dei dati personali ed a fronte delle possibili minacce derivanti dalla contemporanea presenza, nello stesso sito operativo e/o sulla stessa piattaforma impiegata dal prestatore di servizi di altri clienti con le proprie informazioni e dati personali (e archivi).

In particolare, risulta opportuno contrattualizzare le modalità di protezione dei dati, stabilendo opportunamente criteri di scelta e requisiti delle misure da adottare, le quali potranno comprendere (in estrema sintesi):

  • Crittografia dei dati
  • Misure di sicurezza logica: verifica e autorizzazione accessi
  • Misure di sicurezza fisica
  • Misure anti-malware,
  • Misure di protezione contro accessi non consentiti (compresi test quali: access penetration, vulnerability assessment);
  • Backup dei dati e delle informazioni e piani di business continuity nonché di recupero dei dati in caso di incidente informatico.

Tutela della proprietà intellettuale

Uno degli aspetti critici del ricorso a servizi di cloud computing riguarda la disciplina e la tutela dei diritti della proprietà intellettuale; ciò particolarmente in ragione delle modalità di erogazione del servizio che non prevede la messa a disposizione di particolari beni hardware o software a favore dell’utilizzatore, quanto l’erogazione di un servizio con accesso in modalità remota ed immateriale. La fruizione del servizio non comporta quindi la concessione di alcun diritto esclusivo di proprietà intellettuale su tutto ciò che riguarda la piattaforma necessaria per l’erogazione del servizio.

Detto quanto sopra, si pongono in rilievo alcuni aspetti che occorre considerare attentamente, con riguardo:

  • agli aspetti relativi al trasferimento/utilizzabilità delle licenze d’uso sui software impiegati in precedenza e non più utilizzati;
  • attribuzione dei diritti patrimoniali d’autore o dei diritti di utilizzazione su quanto costituisca oggetto di nuovi sviluppi da parte del prestatore di servizi a favore dell’utilizzatore (caso raso per i servizi IaaS o SaaS) ovvero per il caso in cui l’utilizzatore sviluppi in proprio nuove soluzioni o nuovi applicativi utilizzando il servizio di cloud computing (PaaS o BPaaS);
  • alla tutela e protezione del know-how precedentemente sviluppato (cd. informazioni segrete, ai sensi dell’art. 98 del Codice di proprietà industriale) e memorizzato sulla piattaforma di cloud computing e, maggiormente, al know-how sviluppato in conseguenza dell’utilizzo del servizio di cloud computing nelle varie modalità offerte (IaaS, SaaS, BPaaS o PaaS).

Legge applicabile e foro competente

Nel caso in cui la prestazione dei servizi di cloud computing avvenga ad opera di un prestatore di servizi che sia ubicato ovvero operi in altro Paese, diverso dall’Italia, vi sono alcuni aspetti da tenere in considerazione:

  • identificazione del luogo dove i servizi sono resi e dove i dati sono memorizzati (posto che sia possibile);
  • definizione del foro competente in caso di lite, ovvero ricorso ad una forma alternativa di composizione delle liti (quali arbitrato, rituale o irrituale; amministrato, in questo caso con indicazione del corpo di regole applicabili);
  • possibilità di ottenimento di eventuali provvedimenti esecutivi e/cautelari all’esito di un procedimento contenzioso.

Utilizzo di formulari e schemi contrattuali predefiniti per il servizio di cloud computing

Si osserva che nella pratica molti fornitori ricorrono a formulari o schemi contrattuali predefiniti, per i quali non è prevista una vera e propria fase di negoziazione, che sono completati da appositi allegati o capitolati prestabiliti per la descrizione dei servizi oggetto del contratto. Tali schemi contrattuali o formulari sono naturalmente assoggettati alla disciplina dettata dagli art. 1341 e 1342 cod. civ. con tutte le conseguenze del caso (per il caso naturalmente B2B; diverso sarebbe il discorso B2C con riguardo alla tutela del consumatore dettata dal Codice del consumo e con particolare riguardo alle cd. clausole vessatorie).

In generale, gli schemi contrattuali predefiniti comprendono le seguenti clausole principali, le quali possono fornire una disciplina più o meno di dettaglio, risultando naturalmente ed inevitabilmente “sbilanciati” a favore di chi li ha predisposti;

  • Definizione oggetto mediante formulario allegato
  • Durata e decorrenza, rinnovo
  • Attivazione mediante codici
  • Fornitura Help-desk, contact centre
  • Requisiti hardware e software di interconnessione
  • Divieto di storno di personale
  • Divieto di agire per conto terzi
  • Utilizzo del servizio da parte di terzi
  • Ripartizione di compiti
  • Recesso, risoluzione
  • Responsabilità del fornitore e del cliente
  • Assistenza al cliente
  • Protezione dei dati personali
  • Responsabile del trattamento
  • Cessazione del servizio

Naturalmente tali schemi di contratti prestabiliti e formulati in modo standardizzato vanno adeguatamente considerati e valutati in quanto la loro sintetica formulazione e articolazione potrebbe rappresentare un fattore di rischio per il beneficiario dei servizi stante la loro eventuale semplificazione che potrebbe non comprendere tutti gli aspetti e fattori di rischio che sono stati evidenziati nel presente lavoro.

_

Note

  1. Banking on Cloud, A discussion paper by the BBA and Pinsent Masons, 2016 BBA01-470474-v1-BBA_PM_-_Banking_on_Cloud.pdf
  2. Draft Opinion on Cloud Computing (gpdp.it)
  3. Cloud Computing – La guida del Garante della Privacy per imprese e… – Garante Privacy
  4. Banca d’Italia – Circolare n. 263 del 27 dicembre 2006
  5. EBA BS 2017 XX (Final draft Recommendations on Cloud Outsourcing).docx (europa.eu)
  6. Cfr. le FAQ dello EDPB nella traduzione predisposta dal Garante per la Protezione dei dati personali
  7. Cfr. Linee-guida concernenti la valutazione di impatto sulla protezione dei dati nonché i criteri per stabilire se un trattamento “possa presentare un rischio elevato” ai sensi del regolamento 2016/679 – WP248rev.01 adottate il 4 aprile 2017 come modificate e adottate da ultimo il 4 ottobre 2017

WHITEPAPER
Gestione dei contratti e GDPR: guida all’esternalizzazione di attività dei dati personali
Legal
Privacy
@RIPRODUZIONE RISERVATA

Articolo 1 di 4