Spedicato_Cloud computing: clausole contrattuali e best practices (SMAU 2013)

Titolo della presentazione

CLOUD COMPUTING: CLAUSOLE CONTRATTUALI E BEST PRACTICES

Avv. Giorgio Spedicato

Monducci Perri Spedicato & Partners

Studio legale associato

www.mpslaw.it


CHI SONO� Managing Partner dello studio legale Monducci Perri Spedicato & Partners.

� Professore a contratto di Diritto della Proprietà intellettuale presso la Facoltà di Giurisprudenza dell’Università di Bologna (polo didattico di Ravenna).

� Dottore di ricerca in Informatica giuridica e diritto dell’informatica.

COS’È MPSLAW� Lo Studio legale associato Monducci Perri Spedicato & Partners è una law

boutique specializzata in proprietà intellettuale, diritto delle nuove tecnologie e diritto dell’innovazione, con sedi a Milano, Bologna e Imola.

� Affianca chi fa dell’innovazione il proprio lavoro e il proprio impegno quotidiani, supportandolo nell’attività day by day e assistendolo nelle operazioni più complesse.


I contratti cloud:una categoria piuttosto ampia

Cloud computing is a model for enabling ubiquitous,

convenient, on-demand network access to a shared pool

of configurable computing resources (e.g., networks, servers,

storage, applications, and services) that can be rapidly

provisioned and released with minimal management effort

or service provider interaction.


I contratti cloud:una categoria piuttosto ampia


I contratti cloud come specie del genere outsourcing?

Contratti di outsourcing

Contratti cloud

esternalizzazione

rilievo componente tecnologica

standardizzazione


Il problema tecnologico…

Perdita del controllo sui dati:la dimensione del problema


Il problema tecnologico…

La perdità di controllo sui dati è relativa al:� Chi può accedere ai dati� Cosa viene fatto con i dati� Dove si trovano i dati


…alla base del problema giuridico

� Come garantire la sicurezza dei dati?

� Come garantire la disponibilità dei dati?

� Come garantire la proprietà dei dati?

� Come garantire la confidenzialità dei dati?

� Come garantire la legal compliance in relazione al trattamento dei dati?

� Etc…


Un «ecosistema contrattuale»per il cloud computing

SLA

AUPPrivacy Policy

ToS

Ma attenzione anche ad eventuale altro

«contenuto negoziale» presente nel sito del

provider

!


Un rilievo preliminare(di sostanza e di forma)

� È raro che i cloud provider prendano in considerazione la possibilità di negoziare il contenuto dei loro contratti

� Si tratta dunque, nella stragrande maggioranza dei casi, di contratti unilateralmente predisposti, con conseguente dubbio – in alcuni ordinamenti giuridici – sulla validità della modalità c.d. clickwrap per l’accettazione degli stessi (o, più correttamente, per l’accettazione di tutte le clausole in essi previste)


Le clausole contrattuali come «strumenti di controllo»

� Clausole sulla legge applicabile e sulla risoluzione delle controversie

� Clausole sulle modifiche unilaterali delle condizioni di contratto

� Clausole sugli usi consentiti

� Clausole sulla proprietà, integrità e accessibilità dei dati

� Clausole relative alla normativa in materia di privacy

� Clausole relative ai livelli di servizio

� Clausole relative alla responsabilità

Cambio di approccio: dalla negoziazione alla due diligence

(che non deve mai limitarsi al confronto di parametri tecnici e/o economici)


Legge applicabile

� In linea di massima tutti i contratti cloud contengono indicazioni relative alla legge applicabile. Si tratta nella maggior parte dei casi della legge del Paese in cui ha sede il provider. In alcuni casi può essere indicata la legge di un Paese particolarmente favorevole al provider. In altri casi ancora, piuttosto limitati, la scelta della legge applicabile al contratto viene resa una variabile dipendente del Paese in cui ha sede il Cliente.

� La clausola relativa alla legge applicabile è particolarmente importante per i Clienti corporate. Nei contratti cloud in cui il Cliente è un consumatore, infatti, la scelta delle lagge applicabile non può avere come effetto quello di privare quest’ultimo delle garanzie offerte dalle norme imperative del Paese in cui il consumatore stesso è residente.

� La legge applicabile al contratto ha un’importanza fondamentale e si riverbera sulla validità (o meno) di molte altre clausole del contratto. Dal momento che è molto improbabile che un provider accetti di negoziare la clausola relativa alla legge applicabile, la cosa più ragionevole è quella di scegliere un provider che abbia indicato come legge applicabile quella di un Paese con cui il Cliente ha (almeno) una certa familiarità.


Foro competente

� In linea di massima il cloud provider sarà portato a scegliere un foro competente coerente con la legge applicabile indicata.

� Anche in questo caso, la clausola relativa al foro competente è di particolare importanza per i Clienti corporate, dal momento che il Cliente consumatore potrà sempre agire davanti al proprio foro.

� La clausola sul foro competente ha un impatto economico notevole. Pertanto, soprattutto nel caso di Clienti corporate, la cosa più opportuna è scegliere un provider che abbia indicato come foro competente quello di un Paese in cui il Cliente stesso abbia la possibilità di agire (in modo economicamente conveniente).


Arbitrato

� A volte i contratti cloud contengono delle clauole con cui si individua in un arbitrato il modo di risoluzione delle controversie relative al contratto.

� L’arbitrato viene indicato talvolta come alternativo alla giurisdizione ordinaria; altre volte come obbligatorio (ma una tale ipotesi appare non applicabile ai contratti conclusi con Clienti che siano consumatori); altre volte ancora previsto solo in caso di superamento di una certa soglia di valore; altre volte, infine, previsto solo con riferimento ad alcune giurisdizioni.

� Nell’accettare clausole arbitrali, oltre alle considerazioni svolte per il foro competente, occorre sempre tenere conto del trade-off, che le procedure arbitrali presentano, tra rapidità della procedura e costo della stessa.


Modifica dei termini contrattuali

� In molti contratti cloud i provider si riservano il diritto di modificare le condizioni generali di contratto.

� Tali modifiche possono essere semplicemente pubblicate sul sito del provider (con onere in capo al Cliente di prenderne visione) o essere comunicate via email o con altri mezzi. Spesso tali clausole vengono considerate accettate per fatti concludenti (per il semplice fatto che il Cliente continua a utilizzare il servizio). In altri casi è data la possibilità al Cliente, che non intenda accettare la nuova versione delle condizioni generali, di recedere dal contratto.

� Al netto di ogni considerazione circa la validità di tali clausole, è decisamente consigliabile preferire quei provider che, pur riservandosi il diritto di modificare le condizioni contrattuali, prevedano (almeno) obblighi di notificazione nei confronti del Cliente e gli riconoscano il diritto di recedere dal contratto.


Usi consentiti

La gran parte dei contratti cloud prevedono clausole relativi agli usi del servizio consentiti al Cliente.

Sebbene normalmente gli usi non consentiti coincidano con usi illeciti o comunque inopportuni (almeno per il provider…), è comunque consigliabile verificare il contenuto di tale clausola per:

� accertarsi che gli usi non consentiti (ma non per ciò stesso illeciti) non coincidano anche solo parzialmente con gli usi che il Cliente intende fare;

� accertarsi che alla clausola sugli usi consentiti non siano associate clausole di manleva particolarmente gravose.


Proprietà intellettuale dei dati

� Spesso le clausole sulla proprietà intellettuale presenti nei contratti cloud

sono relative solo ai diritti del provider sul software o sulla piattaforma

� È invece opportuno verificare che il contratto preveda espressamente che la titolarità dei diritti di proprietà intellettuale sui dati (diritti d’autore, diritti connessi al diritto d’autore, diritto sui generis del costitutore della banca dati) appartiene al Cliente (o – almeno – che non sia stabilito il contrario).

� Al cloud provider dovrebbe al limite spettare una licenza d’uso dei dati limitata all’esecuzione delle obbligazioni dedotte in contratto (e non anche a scopi commerciali).


Integrità dei dati

� La maggior parte dei cloud provider nelle proprie condizioni generali di contratto tende ad escludere la propria responsabilità con riferimento all’integrità dei dati. Alcuni provider assumono solo un’obbligazione di mezzi (best effort). Altri provider assumonono la responsabilità solo qualora il Cliente acquisti il separato servizio di back up dei dati.

� È improbabile che, a meno di acquistare il servizio di back up dei dati, un provider assuma qualcosa di più di un’obbligazione di mezzi rispetto all’integrità dei dati. È dunque quanto mai opportuno provvedere ad acquistare tale servizio o a procedere autonomamente a back up

periodici.


Riservatezza dei dati

La riservatezza dei dati è un profilo di fondamentale importanza per numerose ragioni, tra cui:

� garantire la legal compliance del trattamento dei dati personali rispetto alla normativa in materia di privacy

� assicurare il rispetto di obblighi contrattuali di riservatezza che il Cliente abbia assunto con riferimento a soggetti terzi e mettere il Cliente stesso al riparo da responsabilità risarcitoria

� preservare la propria intellettuale del Cliente riferimento, ad esempio, alle informazioni aziendali segrete (know how) e a eventuali innovazioni brevettabili

È bene acquisire servizi cloud da quei provider che si impegnino espressamente a garantire la riservatezza dei dati del Cliente e, in caso di data breach, la notificazione al Cliente. In alternativa (o in aggiunta) è opportuno procedere alla cifratura dei dati memorizzati in cloud.


Accessibilità dei dati da parte di terzi

� I problemi di riservatezza sono strettamente connessi con il profilo dell’accessibilità dei dati da parte di soggetti diversi dal Cliente.

� A volte i provider si riservano il diritto di monitorare l’uso del servizio (��conseguenze in termini di responsabilità del provider ai sensi del d.lgs. 70/2003) da parte del Cliente in termini anonimi, altre volte si riservano il diritto di verificare che i dati uploadati dai Clienti siano conformi agli usi consentiti.

� Spesso i contratti cloud prevedono espressamente che il provider consentirà, ove richiesto, l’accesso ai dati alla pubblica autorità (in alcuni casi a seguito di un ordine dell’autorità giudiziaria, in altri casi anche a seguito di richieste più o meno formali).

� Quando il contratto prevede tali poteri di controllo da parte del provider o dei terzi è consigliabile cifrare i dati (soprattutto quelli particolarmente sensibili).


Disponibilità dei dati alla risoluzione del contratto

Le condizioni contrattuali proposte sul punto dai cloud provider sono varie:� A volte viene previsto che i dati vengano conservati per un certo periodo

di tempo dopo la risoluzione del contratto� Altre volte viene previsto che I dati verranno immediatamente cancellati� Altre volte ancora il provider non assume nessun obbligo specifico in tal

senso, ma si riserva il diritto di cancellare i dati dopo la risoluzione del contratto

Gli interessi del Cliente, in questo ambito, sono almeno due:� Avere la garanzia della disponibilità dei dati per un certo periodo di tempo

dopo la risoluzione del contratto� Avere la garanzia che, trascorso tale periodo di tempo, i dati verranno

definitivamente cancellati

Quando si selezionino dei provider che non assumono specifiche obbligazioni sui punti sopra indicati è consigliabile procedere alla cifratura dei dati e a frequenti back up.


Luogo in cui sono memorizzati i dati

La normativa in materia di trasferimento all’estero dei dati personali rende particolarmente critico il profilo del luogo in cui sono memorizzati i dati.

Occorre dunque fare attenzione alle clausole contrattuali relative all’eventuale collocazione dei server e al trasferimento dei dati da parte del cloud provider.

In particolare è opportuno preferire quei cloud provider che, alternativamente:

� ospitano i dati su server collocati all’interno di Stati UE

� ospitano i dati su server collocati in Paesi extra UE che garantiscono un livello di protezione dei dati adeguato (Andorra, Argentina, Australia, Canada, Svizzera, Isole Fær Øer, Guernsey, Israele, Isola di Man, Jersey, Uruguay USA limitatamente alle imprese che aderiscono al safe harbor)

� fanno ricorso alle clausole contrattuali standard approvate dalla Commissione europea (cfr. da ultimo le decisioni della Commissione europea 2004/915/CE e 2010/87/UE)


SLA

� L’assunzione, da parte del provider, di specifici obblighi sugli standard di servizio, sulla business continuity e sul disaster recovery, sono fondamentali per i Clienti che ricorrono a servizi cloud per gestire dati critici e/o per fornire servizi in real-time

� L’assunzione di obblighi specifici da parte del provider può essere considerato come uno dei principali indici di affidabilità del fornitore (oltre ad essere una scelta razionale anche per lo stesso provider che così può modulare la propria responsabilità…).

� È in ogni caso opportuno precisare che, laddove il provider non abbia assunto specifici obblighi in tal senso non implica la sua irresponsabilità per inadempimento, ma solo una maggiore difficoltà di darne prova.


Esclusioni e limitazioni di responsabilità

� Tutti i provider, sia pure in misura diversa (maggiore i provider USA, minore i provider EU), cercano di limitare o escludere contrattualmente la propria responsabilità per inadempimento (si pensi alle clausole «as is»).

� Quando al contratto si applica la legge italiana, è opportuno ricordare che le clausole di esclusione della responsabilità per dolo e colpa grave sono nulle (�� art. 1229 c.c.), essendo possibile solo escludere la responsabilità in caso di colpa lieve (con il problema, tuttavia, in assenza di SLA, di stabilire dove finisca la colpa lieve e inizi la colpa grave)

� In molti casi la limitazione di responsabilità non attiene ai fatti che la ingenerano, ma all’estensione del risarcimento (si pensi alle clausole contenenti «indemnification caps» o alle clausole che stabiliscano risarcimenti «in servizi»)


Esclusioni e limitazioni di responsabilità

L’atteggiamento corretto da tenere in caso di clausole di esclusione o limitazione della responsabilità è:

� verificare la validità delle clausole in questione rispetto alla legge applicabile al contratto

� scegliere i provider che offrono maggiori garanzie contrattuali

� cegliere in ogni caso i provider che offrano maggiori garanzie patrimoniali

� valutare l’opportunità di protezioni esterne (assicurazioni)


Quando il cloud provider

è fornitore di un fornitore…

PROVIDER

• Il cloud provider introduce nelle proprie CGC delle clausole di esclusione o limitazione della responsabilità

CLIENTE

• Il Cliente non «rende simmetriche» tali clausole nel contratto con i propri utenti finali

UTENTE

• Il Cliente rimane esposto a responsabilità nei confronti dei propri utenti per inadempimenti, di fatto, ascrivibili al cloud provider

È di fondamentale importanza, quando si fa

ricorso a servizi cloud per fornire a

propria volta servizi a degli utenti finali,

verificare che vi sia simmetria tra

il contratto «a monte» e quello

«a valle».


Le iniziative europee in materia di contratti cloud

Il 27 settembre 2012, la Commissione europea ha adottato una strategia denominata «Sfruttare il potenziale del cloud computing in Europa» (IP/12/1025, MEMO/12/713)

Tra le altre azioni annunciate la Commissione intende lavorare per un sviluppare standard e clausole contrattuali equilibrati per i contratti cloud.

Il diritto dei contratti rappresenta una parte importante della

nostra strategia in materia di cloud computing. […] Le incertezze

in materia di contratti per il cloud computing possono ostacolare

gli scambi transfrontalieri. Visto che si tratta di un settore molto

complesso, stiamo raccogliendo i pareri degli esperti prima di

decidere come procedere.

!


Questo è, quindi, solo un arrivederci…

(e un grazie per l’attenzione!)


MONDUCCI PERRI SPEDICATO & PARTNERS

Avv. Giorgio Spedicato

[email protected]

Spedicato_Cloud computing: clausole contrattuali e best practices (SMAU 2013)

Documents

Transcript of Spedicato_Cloud computing: clausole contrattuali e best practices (SMAU 2013)