• Share
  • Email
  • Embed
  • Like
  • Save
  • Private Content
Smau milano 2013 giorgio spedicato
 

Smau milano 2013 giorgio spedicato

on

  • 285 views

Cloud computing: clausole contrattuali e best practices

Cloud computing: clausole contrattuali e best practices

Statistics

Views

Total Views
285
Views on SlideShare
217
Embed Views
68

Actions

Likes
0
Downloads
4
Comments
0

1 Embed 68

http://www.smau.it 68

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    Smau milano 2013 giorgio spedicato Smau milano 2013 giorgio spedicato Presentation Transcript

    • CLOUD COMPUTING: CLAUSOLE CONTRATTUALI E BEST PRACTICES Avv. Giorgio Spedicato Monducci Perri Spedicato & Partners Studio legale associato www.mpslaw.it Titolo della presentazione
    • CHI SONO Managing Partner dello studio legale Monducci Perri Spedicato & Partners. Professore a contratto di Diritto della Proprietà intellettuale presso la Facoltà di Giurisprudenza dell’Università di Bologna (polo didattico di Ravenna). Dottore di ricerca in Informatica giuridica e diritto dell’informatica. COS’È MPSLAW Lo Studio legale associato Monducci Perri Spedicato & Partners è una law boutique specializzata in proprietà intellettuale, diritto delle nuove tecnologie e diritto dell’innovazione, con sedi a Milano, Bologna e Imola. Affianca chi fa dell’innovazione il proprio lavoro e il proprio impegno quotidiani, supportandolo nell’attività day by day e assistendolo nelle operazioni più complesse. Titolo della presentazione
    • I contratti cloud: una categoria piuttosto ampia Cloud computing is a model for enabling ubiquitous, convenient, on-demand network access to a shared pool of configurable computing resources (e.g., networks, servers, storage, applications, and services) that can be rapidly provisioned and released with minimal management effort or service provider interaction. Titolo della presentazione
    • I contratti cloud: una categoria piuttosto ampia Titolo della presentazione
    • I contratti cloud come specie del genere outsourcing? Contratti di outsourcing esternalizzazione Contratti rilievo componente tecnologica cloud standardizzazione Titolo della presentazione
    • Il problema tecnologico… Perdita del controllo sui dati: la dimensione del problema Titolo della presentazione
    • Il problema tecnologico… La perdità di controllo sui dati è relativa al: Chi può accedere ai dati Cosa viene fatto con i dati Dove si trovano i dati Titolo della presentazione
    • …alla base del problema giuridico Come garantire la sicurezza dei dati? Come garantire la disponibilità dei dati? Come garantire la proprietà dei dati? Come garantire la confidenzialità dei dati? Come garantire la legal compliance in relazione al trattamento dei dati? Etc… Titolo della presentazione
    • Un «ecosistema contrattuale» per il cloud computing ToS Privacy Policy Titolo della presentazione SLA AUP ! Ma attenzione anche ad eventuale altro «contenuto negoziale» presente nel sito del provider
    • Un rilievo preliminare (di sostanza e di forma) È raro che i cloud provider prendano in considerazione la possibilità di negoziare il contenuto dei loro contratti Si tratta dunque, nella stragrande maggioranza dei casi, di contratti unilateralmente predisposti, con conseguente dubbio – in alcuni ordinamenti giuridici – sulla validità della modalità c.d. clickwrap per l’accettazione degli stessi (o, più correttamente, per l’accettazione di tutte le clausole in essi previste) Titolo della presentazione
    • Le clausole contrattuali come «strumenti di controllo» Clausole sulla legge applicabile e sulla risoluzione delle controversie Clausole sulle modifiche unilaterali delle condizioni di contratto Clausole sugli usi consentiti Clausole sulla proprietà, integrità e accessibilità dei dati Clausole relative alla normativa in materia di privacy Clausole relative ai livelli di servizio Clausole relative alla responsabilità Cambio di approccio: dalla negoziazione alla due diligence (che non deve mai limitarsi al confronto di parametri tecnici e/o economici) Titolo della presentazione
    • Legge applicabile In linea di massima tutti i contratti cloud contengono indicazioni relative alla legge applicabile. Si tratta nella maggior parte dei casi della legge del Paese in cui ha sede il provider. In alcuni casi può essere indicata la legge di un Paese particolarmente favorevole al provider. In altri casi ancora, piuttosto limitati, la scelta della legge applicabile al contratto viene resa una variabile dipendente del Paese in cui ha sede il Cliente. La clausola relativa alla legge applicabile è particolarmente importante per i Clienti corporate. Nei contratti cloud in cui il Cliente è un consumatore, infatti, la scelta delle lagge applicabile non può avere come effetto quello di privare quest’ultimo delle garanzie offerte dalle norme imperative del Paese in cui il consumatore stesso è residente. La legge applicabile al contratto ha un’importanza fondamentale e si riverbera sulla validità (o meno) di molte altre clausole del contratto. Dal momento che è molto improbabile che un provider accetti di negoziare la clausola relativa alla legge applicabile, la cosa più ragionevole è quella di scegliere un provider che abbia indicato come legge applicabile quella di un Paese con cui il Cliente ha (almeno) una certa familiarità. Titolo della presentazione
    • Foro competente In linea di massima il cloud provider sarà portato a scegliere un foro competente coerente con la legge applicabile indicata. Anche in questo caso, la clausola relativa al foro competente è di particolare importanza per i Clienti corporate, dal momento che il Cliente consumatore potrà sempre agire davanti al proprio foro. La clausola sul foro competente ha un impatto economico notevole. Pertanto, soprattutto nel caso di Clienti corporate, la cosa più opportuna è scegliere un provider che abbia indicato come foro competente quello di un Paese in cui il Cliente stesso abbia la possibilità di agire (in modo economicamente conveniente). Titolo della presentazione
    • Arbitrato A volte i contratti cloud contengono delle clauole con cui si individua in un arbitrato il modo di risoluzione delle controversie relative al contratto. L’arbitrato viene indicato talvolta come alternativo alla giurisdizione ordinaria; altre volte come obbligatorio (ma una tale ipotesi appare non applicabile ai contratti conclusi con Clienti che siano consumatori); altre volte ancora previsto solo in caso di superamento di una certa soglia di valore; altre volte, infine, previsto solo con riferimento ad alcune giurisdizioni. Nell’accettare clausole arbitrali, oltre alle considerazioni svolte per il foro competente, occorre sempre tenere conto del trade-off, che le procedure arbitrali presentano, tra rapidità della procedura e costo della stessa. Titolo della presentazione
    • Modifica dei termini contrattuali In molti contratti cloud i provider si riservano il diritto di modificare le condizioni generali di contratto. Tali modifiche possono essere semplicemente pubblicate sul sito del provider (con onere in capo al Cliente di prenderne visione) o essere comunicate via email o con altri mezzi. Spesso tali clausole vengono considerate accettate per fatti concludenti (per il semplice fatto che il Cliente continua a utilizzare il servizio). In altri casi è data la possibilità al Cliente, che non intenda accettare la nuova versione delle condizioni generali, di recedere dal contratto. Al netto di ogni considerazione circa la validità di tali clausole, è decisamente consigliabile preferire quei provider che, pur riservandosi il diritto di modificare le condizioni contrattuali, prevedano (almeno) obblighi di notificazione nei confronti del Cliente e gli riconoscano il diritto di recedere dal contratto. Titolo della presentazione
    • Usi consentiti La gran parte dei contratti cloud prevedono clausole relativi agli usi del servizio consentiti al Cliente. Sebbene normalmente gli usi non consentiti coincidano con usi illeciti o comunque inopportuni (almeno per il provider…), è comunque consigliabile verificare il contenuto di tale clausola per: accertarsi che gli usi non consentiti (ma non per ciò stesso illeciti) non coincidano anche solo parzialmente con gli usi che il Cliente intende fare; accertarsi che alla clausola sugli usi consentiti non siano associate clausole di manleva particolarmente gravose. Titolo della presentazione
    • Proprietà intellettuale dei dati Spesso le clausole sulla proprietà intellettuale presenti nei contratti cloud sono relative solo ai diritti del provider sul software o sulla piattaforma È invece opportuno verificare che il contratto preveda espressamente che la titolarità dei diritti di proprietà intellettuale sui dati (diritti d’autore, diritti connessi al diritto d’autore, diritto sui generis del costitutore della banca dati) appartiene al Cliente (o – almeno – che non sia stabilito il contrario). Al cloud provider dovrebbe al limite spettare una licenza d’uso dei dati limitata all’esecuzione delle obbligazioni dedotte in contratto (e non anche a scopi commerciali). Titolo della presentazione
    • Integrità dei dati La maggior parte dei cloud provider nelle proprie condizioni generali di contratto tende ad escludere la propria responsabilità con riferimento all’integrità dei dati. Alcuni provider assumono solo un’obbligazione di mezzi (best effort). Altri provider assumonono la responsabilità solo qualora il Cliente acquisti il separato servizio di back up dei dati. È improbabile che, a meno di acquistare il servizio di back up dei dati, un provider assuma qualcosa di più di un’obbligazione di mezzi rispetto all’integrità dei dati. È dunque quanto mai opportuno provvedere ad acquistare tale servizio o a procedere autonomamente a back up periodici. Titolo della presentazione
    • Riservatezza dei dati La riservatezza dei dati è un profilo di fondamentale importanza per numerose ragioni, tra cui: garantire la legal compliance del trattamento dei dati personali rispetto alla normativa in materia di privacy assicurare il rispetto di obblighi contrattuali di riservatezza che il Cliente abbia assunto con riferimento a soggetti terzi e mettere il Cliente stesso al riparo da responsabilità risarcitoria preservare la propria intellettuale del Cliente riferimento, ad esempio, alle informazioni aziendali segrete (know how) e a eventuali innovazioni brevettabili È bene acquisire servizi cloud da quei provider che si impegnino espressamente a garantire la riservatezza dei dati del Cliente e, in caso di data breach, la notificazione al Cliente. In alternativa (o in aggiunta) è opportuno procedere alla cifratura dei dati memorizzati in cloud. Titolo della presentazione
    • Accessibilità dei dati da parte di terzi I problemi di riservatezza sono strettamente connessi con il profilo dell’accessibilità dei dati da parte di soggetti diversi dal Cliente. A volte i provider si riservano il diritto di monitorare l’uso del servizio ( conseguenze in termini di responsabilità del provider ai sensi del d.lgs. 70/2003) da parte del Cliente in termini anonimi, altre volte si riservano il diritto di verificare che i dati uploadati dai Clienti siano conformi agli usi consentiti. Spesso i contratti cloud prevedono espressamente che il provider consentirà, ove richiesto, l’accesso ai dati alla pubblica autorità (in alcuni casi a seguito di un ordine dell’autorità giudiziaria, in altri casi anche a seguito di richieste più o meno formali). Quando il contratto prevede tali poteri di controllo da parte del provider o dei terzi è consigliabile cifrare i dati (soprattutto quelli particolarmente sensibili). Titolo della presentazione
    • Disponibilità dei dati alla risoluzione del contratto Le condizioni contrattuali proposte sul punto dai cloud provider sono varie: A volte viene previsto che i dati vengano conservati per un certo periodo di tempo dopo la risoluzione del contratto Altre volte viene previsto che I dati verranno immediatamente cancellati Altre volte ancora il provider non assume nessun obbligo specifico in tal senso, ma si riserva il diritto di cancellare i dati dopo la risoluzione del contratto Gli interessi del Cliente, in questo ambito, sono almeno due: Avere la garanzia della disponibilità dei dati per un certo periodo di tempo dopo la risoluzione del contratto Avere la garanzia che, trascorso tale periodo di tempo, i dati verranno definitivamente cancellati Quando si selezionino dei provider che non assumono specifiche obbligazioni sui punti sopra indicati è consigliabile procedere alla cifratura dei dati e a frequenti back up. Titolo della presentazione
    • Luogo in cui sono memorizzati i dati La normativa in materia di trasferimento all’estero dei dati personali rende particolarmente critico il profilo del luogo in cui sono memorizzati i dati. Occorre dunque fare attenzione alle clausole contrattuali relative all’eventuale collocazione dei server e al trasferimento dei dati da parte del cloud provider. In particolare è opportuno preferire quei cloud provider che, alternativamente: ospitano i dati su server collocati all’interno di Stati UE ospitano i dati su server collocati in Paesi extra UE che garantiscono un livello di protezione dei dati adeguato (Andorra, Argentina, Australia, Canada, Svizzera, Isole Fær Øer, Guernsey, Israele, Isola di Man, Jersey, Uruguay USA limitatamente alle imprese che aderiscono al safe harbor) fanno ricorso alle clausole contrattuali standard approvate dalla Commissione europea (cfr. da ultimo le decisioni della Commissione europea 2004/915/CE e 2010/87/UE) Titolo della presentazione
    • SLA L’assunzione, da parte del provider, di specifici obblighi sugli standard di servizio, sulla business continuity e sul disaster recovery, sono fondamentali per i Clienti che ricorrono a servizi cloud per gestire dati critici e/o per fornire servizi in real-time L’assunzione di obblighi specifici da parte del provider può essere considerato come uno dei principali indici di affidabilità del fornitore (oltre ad essere una scelta razionale anche per lo stesso provider che così può modulare la propria responsabilità…). È in ogni caso opportuno precisare che, laddove il provider non abbia assunto specifici obblighi in tal senso non implica la sua irresponsabilità per inadempimento, ma solo una maggiore difficoltà di darne prova. Titolo della presentazione
    • Esclusioni e limitazioni di responsabilità Tutti i provider, sia pure in misura diversa (maggiore i provider USA, minore i provider EU), cercano di limitare o escludere contrattualmente la propria responsabilità per inadempimento (si pensi alle clausole «as is»). Quando al contratto si applica la legge italiana, è opportuno ricordare che le clausole di esclusione della responsabilità per dolo e colpa grave sono nulle ( art. 1229 c.c.), essendo possibile solo escludere la responsabilità in caso di colpa lieve (con il problema, tuttavia, in assenza di SLA, di stabilire dove finisca la colpa lieve e inizi la colpa grave) In molti casi la limitazione di responsabilità non attiene ai fatti che la ingenerano, ma all’estensione del risarcimento (si pensi alle clausole contenenti «indemnification caps» o alle clausole che stabiliscano risarcimenti «in servizi») Titolo della presentazione
    • Esclusioni e limitazioni di responsabilità L’atteggiamento corretto da tenere in caso di clausole di esclusione o limitazione della responsabilità è: verificare la validità delle clausole in questione rispetto alla legge applicabile al contratto scegliere i provider che offrono maggiori garanzie contrattuali cegliere in ogni caso i provider che offrano maggiori garanzie patrimoniali valutare l’opportunità di protezioni esterne (assicurazioni) Titolo della presentazione
    • Quando il cloud provider è fornitore di un fornitore… È di fondamentale importanza, quando si fa ricorso a servizi cloud per fornire a propria volta servizi a degli utenti finali, verificare che vi sia simmetria tra il contratto «a monte» e quello «a valle». Titolo della presentazione • Il cloud provider introduce nelle proprie CGC delle clausole di esclusione o limitazione della PROVIDER responsabilità CLIENTE UTENTE • Il Cliente non «rende simmetriche» tali clausole nel contratto con i propri utenti finali • Il Cliente rimane esposto a responsabilità nei confronti dei propri utenti per inadempimenti, di fatto, ascrivibili al cloud provider
    • Le iniziative europee in materia di contratti cloud Il 27 settembre 2012, la Commissione europea ha adottato una strategia denominata «Sfruttare il potenziale del cloud computing in Europa» (IP/12/1025, MEMO/12/713) Il diritto dei contratti rappresenta una parte importante della nostra strategia in materia di cloud computing. […] Le incertezze in materia di contratti per il cloud computing possono ostacolare gli scambi transfrontalieri. Visto che si tratta di un settore molto complesso, stiamo raccogliendo i pareri degli esperti prima di decidere come procedere. Tra le altre azioni annunciate la Commissione intende lavorare per un sviluppare standard e clausole contrattuali equilibrati per i contratti cloud. Titolo della presentazione !
    • Questo è, quindi, solo un arrivederci… (e un grazie per l’attenzione!) Titolo della presentazione
    • MONDUCCI PERRI SPEDICATO & PARTNERS Avv. Giorgio Spedicato giorgio.spedicato@mpslaw.it Titolo della presentazione