Smau Milano 2016 - sharedVISION parte 3
19
IoT, Big Data e Cloud Computing. Il punto di vista legale: problemi e soluzioni Avv. Gian Marco Rinaldi Milano, 27 ottobre 2016
Transcript of Smau Milano 2016 - sharedVISION parte 3
IoT, Big Data e Cloud Computing. Il punto di vista legale: problemi e soluzioni
Avv. Gian Marco Rinaldi
Milano, 27 ottobre 2016
Introduzione
• Temi della presentazione – cosa sono i dati nel diritto;
– gli accordi tra le macchine;
– tematiche legali e contrattuali del cloud computing.
Gli oggetti si connettono
Il dato come bene mobile
● Art. 810 c.c.: “Sono beni le cose che possono formare oggetto di diritti”.
● Il dato è considerabile un bene mobile ex art. 812, co. 3, del codice civile?
● Secondo alcune interpretazioni, il dato - laddove può formare oggetto di diritti, e dunque, ad esempio, essere oggetto di scambio o di sfruttamento - può rientrare nella categorie dei “beni mobili immateriali”
Il Dato come proprietà industriale
Art. 98 Codice della Proprietà Industriale
“1. Costituiscono oggetto di tutela le informazioni aziendali e le esperienze tecnico-industriali, comprese quelle commerciali, soggette al legittimo controllo del detentore, ove tali informazioni:
a) siano segrete, nel senso che non siano nel loro insieme o nella precisa configurazione e combinazione dei loro elementi generalmente note o facilmente accessibili agli esperti ed agli operatori del settore;
b) abbiano valore economico in quanto segrete;
c) siano sottoposte, da parte delle persone al cui legittimo controllo sono soggette, a misure da ritenersi ragionevolmente adeguate a mantenerle segrete.…”
Il Dato come dato personale
• Dato Personale: “qualunque informazione relativa a persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale” (Art. 4, co. 1, lett. b), Codice Privacy (d.lgs. 196/2003))
“Qualunque informazione archiviata nell’apparecchio di un utente” (Art. 122 del Codice Privacy e art. 5, comma 3 Direttiva ePrivacy)
• Dato Anonimo: "il dato che in origine, o a seguito di trattamento, non può essere associato ad un interessato identificato o identificabile (Art. 4, co. 1, lett. N, C.P.)
• Dato Pseudonimizzato (GDPR): dato che diviene personale solo se collegato a informazione aggiuntive
Raccolta di dati come opera dell’ingegno
● Banca dati come “raccolta di opere, dati o altri elementi indipendenti
sistematicamente o metodicamente disposti ed individualmente accessibili mediante mezzi elettronici o in altro modo” (art. 2, no. 9, LDA)
● All’autore spettano tutti i diritti di sfruttamento (riproduzione, modifica, distribuzione, comunicazione al pubblico, etc.) (art. 64-quinquies LDA). Protezione 70 anni dalla morte dell’autore
● Banche dati non creative: diritto sui generis del costitutore (“chi effettua investimenti rilevanti per la sua verifica o la sua presentazione, impegnando a tal fine mezzi finanziari, tempo e lavoro”): 15 anni dal completamento o 15 anni dalla (eventuale) messa a disposizione del pubblico. Il costitutore può autorizzare la “estrazione” (totale o di una parte sostanziale) o il “reimpiego” (i.e.: messa a disposizione del pubblico) (102-bis LDA)
Contratti tra macchine? ● Possono esistere contratti machine - to-machine?
● L'agente software è un soggetto di diritto o un "mezzo di trasmissione della volontà dell'utilizzatore"?
● Non si tratta di soggettività giuridica ma di capacità di compiere azioni corrispondenti o analoghe a quelle che avrebbe compiuto l'uomo in generale
Contratti tra macchine? ● Cd. «autonomia privata procedimentale» Sentenza C. Cass. 11568/1990:
contratti di parcheggio
● Il soggetto giuridico resta l'utilizzatore del dispositivo/software
● «Il Giudice non deve compiere una indagine, di carattere soggettivo, circa la riferibilità o meno dell’atto elettronico alla volontà di un determinato soggetto, ma deve accertare, in base a criteri di imputazione oggettivi, su quale centro di interessi debbano ricadere le responsabilità dell’atto posto in essere» (E. Giannantonio)
● Oggettivizzazione del contratto
● Contratti telematici di borsa, contratti di e-commerce, contratti automatici, etc.
Definizione di cloud computing
"Il cloud computing è un modello per abilitare, tramite la rete, l’accesso diffuso, agevole e a richiesta, ad un insieme condiviso e configurabile di risorse di elaborazione (ad esempio reti, server, memoria, applicazioni e servizi) che possono essere acquisite e rilasciate rapidamente e con minimo sforzo di gestione o di interazione con il fornitore di servizi" (National Institute of Standard and Technology)
Dal paradigma proprietario al paradigma dell'accesso
L'accesso è governato da un contratto
Qualificazione dei contratti di cloud
computing ● Appalto di servizi (Art. 1677 c.c.)
Se l'appalto ha per oggetto prestazioni continuative o periodiche di servizi, si osservano, in quanto compatibili, le norme di questo capo e quelle relative al contratto di somministrazione.
● Somministrazione (Art. 1559 c.c.) La somministrazione è il contratto con il quale una parte si obbliga, verso corrispettivo di un prezzo, a eseguire, a favore dell'altra, prestazioni periodiche o continuative di cose.
● Vi sono licenze nel cloud computing?
SLA – Penali – Service Credits
• Obbligazione di risultato raggiungimento dei Service Level Objective definiti per mezzo degli SLA
• Conseguenze della violazione dei Service Level Objective:
• Penali
• Crediti di Servizio
• Risoluzione del Contratto
• In UK: penalties vs liquidated damages / in Germania: crediti di servizio e penali sono equiparate / In Francia se sono "clause pénale" esauriscono il danno / In Grecia: crediti di servizio sono un "liquidated damage " e devono essere una stima effettiva del danno.
SLA – Penali – Service Credits
• Service Credits o Penali come unico rimedio: art. 1382 c.c.: "risarcibilità del danno ulteriore". Se unico rimedio con consumatori sarebbe clausola vessatoria.
• Reporting o Monitoraggio continuo
• Audit su SLA: accertamento presso il provider da parte del cliente
• Revisione periodica degli SLA
• Problemi di standardizzazione degli SLA: confrontabilità degli SLA di diversi fornitori
Responsabilità del fornitore di servizi cloud
• Limitazioni della responsabilità:
- parametrato sui corrispettivi
- "valore del contratto"
- ammontare specifico
• Aree di esclusione dalla limitazione di responsabilità: violazione degli obblighi di confidenzialità, violazioni degli IPR, violazione obblighi di data protection, violazioni di legge, dolo e colpa grave;
• Rapporto con il pagamento delle penali e/o service credits
• Limitazione della responsabilità: clausola vessatoria nei rapporti con i consumatori
• Limitazioni del danno nei diversi paesi
Le modifiche al contratto di cloud computing
● Disciplina del codice civile sulle modifiche dell'opera/servizi appaltati…meglio regolare il punto nel contratto
● Contratti con consumatori modificabili con dei limiti: art. 33, Cod. Consumo:
Si presume vessatoria la clausola che hanno per oggetto o per effetto:
"m) consentire al professionista di modificare unilateralmente le clausole del contratto ovvero le caratteristiche del prodotto o del servizio da fornire, senza un giustificato motivo indicato nel contratto stesso"
● Problemi connessi al cloud: necessità di modifica dei servizi dal parte del provider per problemi di sicurezza, update, cambiamenti legislativi
L'Acceptable Use Policy
● L'Acceptable Use Policy è il documento che definisce gli obblighi del Cliente nell'utilizzazione dei servizi di cloud computing
● Riguardano le seguenti aree:
• Violazioni IPR
• Violazioni su dati personali di terzi
• Immissione di contenuti illegali
• Immissioni di virus, malicious devices, etc.
● Sospensione/chiusura account utente rimozione dei contenuti (previo termine)
● In caso di seri rischi per la sicurezza o attività illecite: immediata sospensione/cessazione account utente e rimozione contenuti
● Se circostanze relative ai "seri rischi" non vere: risarcimento del danno subito dal cliente
Cessazione del contratto
● Reversibility: continuità e portabilità dei dati
● Divieto di cancellazione dei dati per un certo periodo di tempo successivo alla cessazione
● Garantire l'accesso ai dati del cliente nel periodo di cui sopra
● Prevedere eventualmente la migrazione (da pagare separatamente)
● Terminato il "retrieval period" o il "migration period": obbligo di cancellazione
Domande?
