CLOUD COMPUTING:
CLAUSOLE CONTRATTUALI
E BEST PRACTICES
Avv. Giorgio Spedicato
Monducci Perri Spedicato & Partners
Studio ...
CHI SONO
Managing Partner dello studio legale Monducci Perri Spedicato & Partners.
Professore a contratto di Diritto della...
I contratti cloud:
una categoria piuttosto ampia

Cloud computing is a model for enabling ubiquitous,
convenient, on-deman...
I contratti cloud:
una categoria piuttosto ampia

Titolo della presentazione
I contratti cloud come specie
del genere outsourcing?

Contratti di
outsourcing
esternalizzazione

Contratti rilievo compo...
Il problema tecnologico…

Perdita del controllo
sui dati:
la dimensione
del problema

Titolo della presentazione
Il problema tecnologico…

La perdità di controllo sui
dati è relativa al:
Chi può accedere ai dati
Cosa viene fatto con i ...
…alla base del problema giuridico
Come garantire la sicurezza dei dati?
Come garantire la disponibilità dei dati?
Come gar...
Un «ecosistema contrattuale»
per il cloud computing

ToS
Privacy
Policy

Titolo della presentazione

SLA
AUP

!

Ma attenz...
Un rilievo preliminare
(di sostanza e di forma)
È raro che i cloud provider prendano in
considerazione la possibilità di n...
Le clausole contrattuali
come «strumenti di controllo»
Clausole sulla legge applicabile e sulla risoluzione delle controve...
Legge applicabile
In linea di massima tutti i contratti cloud contengono indicazioni relative
alla legge applicabile. Si t...
Foro competente
In linea di massima il cloud provider sarà portato a scegliere un foro
competente coerente con la legge ap...
Arbitrato
A volte i contratti cloud contengono delle clauole con cui si individua in un
arbitrato il modo di risoluzione d...
Modifica dei termini contrattuali
In molti contratti cloud i provider si riservano il diritto di modificare le
condizioni ...
Usi consentiti
La gran parte dei contratti cloud prevedono clausole relativi agli usi del
servizio consentiti al Cliente.
...
Proprietà intellettuale dei dati
Spesso le clausole sulla proprietà intellettuale presenti nei contratti cloud
sono relati...
Integrità dei dati
La maggior parte dei cloud provider nelle proprie condizioni generali di
contratto tende ad escludere l...
Riservatezza dei dati
La riservatezza dei dati è un profilo di fondamentale importanza per
numerose ragioni, tra cui:
gara...
Accessibilità dei dati
da parte di terzi
I problemi di riservatezza sono strettamente connessi con il profilo
dell’accessi...
Disponibilità dei dati
alla risoluzione del contratto
Le condizioni contrattuali proposte sul punto dai cloud provider son...
Luogo in cui sono
memorizzati i dati
La normativa in materia di trasferimento all’estero dei dati personali rende
particol...
SLA
L’assunzione, da parte del provider, di specifici obblighi sugli standard di
servizio, sulla business continuity e sul...
Esclusioni e limitazioni
di responsabilità
Tutti i provider, sia pure in misura diversa (maggiore i provider USA,
minore i...
Esclusioni e limitazioni
di responsabilità
L’atteggiamento corretto da tenere in caso di clausole di esclusione o
limitazi...
Quando il cloud provider
è fornitore di un fornitore…
È di fondamentale
importanza,
quando si fa
ricorso a servizi
cloud p...
Le iniziative europee in
materia di contratti cloud
Il 27 settembre 2012, la Commissione europea ha adottato una strategia...
Questo è, quindi, solo un arrivederci…
(e un grazie per l’attenzione!)

Titolo della presentazione
MONDUCCI PERRI SPEDICATO & PARTNERS
Avv. Giorgio Spedicato
giorgio.spedicato@mpslaw.it

Titolo della presentazione
Upcoming SlideShare
Loading in …5
×

Smau milano 2013 giorgio spedicato

548 views
484 views

Published on

Cloud computing: clausole contrattuali e best practices

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
548
On SlideShare
0
From Embeds
0
Number of Embeds
211
Actions
Shares
0
Downloads
8
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Smau milano 2013 giorgio spedicato

  1. 1. CLOUD COMPUTING: CLAUSOLE CONTRATTUALI E BEST PRACTICES Avv. Giorgio Spedicato Monducci Perri Spedicato & Partners Studio legale associato www.mpslaw.it Titolo della presentazione
  2. 2. CHI SONO Managing Partner dello studio legale Monducci Perri Spedicato & Partners. Professore a contratto di Diritto della Proprietà intellettuale presso la Facoltà di Giurisprudenza dell’Università di Bologna (polo didattico di Ravenna). Dottore di ricerca in Informatica giuridica e diritto dell’informatica. COS’È MPSLAW Lo Studio legale associato Monducci Perri Spedicato & Partners è una law boutique specializzata in proprietà intellettuale, diritto delle nuove tecnologie e diritto dell’innovazione, con sedi a Milano, Bologna e Imola. Affianca chi fa dell’innovazione il proprio lavoro e il proprio impegno quotidiani, supportandolo nell’attività day by day e assistendolo nelle operazioni più complesse. Titolo della presentazione
  3. 3. I contratti cloud: una categoria piuttosto ampia Cloud computing is a model for enabling ubiquitous, convenient, on-demand network access to a shared pool of configurable computing resources (e.g., networks, servers, storage, applications, and services) that can be rapidly provisioned and released with minimal management effort or service provider interaction. Titolo della presentazione
  4. 4. I contratti cloud: una categoria piuttosto ampia Titolo della presentazione
  5. 5. I contratti cloud come specie del genere outsourcing? Contratti di outsourcing esternalizzazione Contratti rilievo componente tecnologica cloud standardizzazione Titolo della presentazione
  6. 6. Il problema tecnologico… Perdita del controllo sui dati: la dimensione del problema Titolo della presentazione
  7. 7. Il problema tecnologico… La perdità di controllo sui dati è relativa al: Chi può accedere ai dati Cosa viene fatto con i dati Dove si trovano i dati Titolo della presentazione
  8. 8. …alla base del problema giuridico Come garantire la sicurezza dei dati? Come garantire la disponibilità dei dati? Come garantire la proprietà dei dati? Come garantire la confidenzialità dei dati? Come garantire la legal compliance in relazione al trattamento dei dati? Etc… Titolo della presentazione
  9. 9. Un «ecosistema contrattuale» per il cloud computing ToS Privacy Policy Titolo della presentazione SLA AUP ! Ma attenzione anche ad eventuale altro «contenuto negoziale» presente nel sito del provider
  10. 10. Un rilievo preliminare (di sostanza e di forma) È raro che i cloud provider prendano in considerazione la possibilità di negoziare il contenuto dei loro contratti Si tratta dunque, nella stragrande maggioranza dei casi, di contratti unilateralmente predisposti, con conseguente dubbio – in alcuni ordinamenti giuridici – sulla validità della modalità c.d. clickwrap per l’accettazione degli stessi (o, più correttamente, per l’accettazione di tutte le clausole in essi previste) Titolo della presentazione
  11. 11. Le clausole contrattuali come «strumenti di controllo» Clausole sulla legge applicabile e sulla risoluzione delle controversie Clausole sulle modifiche unilaterali delle condizioni di contratto Clausole sugli usi consentiti Clausole sulla proprietà, integrità e accessibilità dei dati Clausole relative alla normativa in materia di privacy Clausole relative ai livelli di servizio Clausole relative alla responsabilità Cambio di approccio: dalla negoziazione alla due diligence (che non deve mai limitarsi al confronto di parametri tecnici e/o economici) Titolo della presentazione
  12. 12. Legge applicabile In linea di massima tutti i contratti cloud contengono indicazioni relative alla legge applicabile. Si tratta nella maggior parte dei casi della legge del Paese in cui ha sede il provider. In alcuni casi può essere indicata la legge di un Paese particolarmente favorevole al provider. In altri casi ancora, piuttosto limitati, la scelta della legge applicabile al contratto viene resa una variabile dipendente del Paese in cui ha sede il Cliente. La clausola relativa alla legge applicabile è particolarmente importante per i Clienti corporate. Nei contratti cloud in cui il Cliente è un consumatore, infatti, la scelta delle lagge applicabile non può avere come effetto quello di privare quest’ultimo delle garanzie offerte dalle norme imperative del Paese in cui il consumatore stesso è residente. La legge applicabile al contratto ha un’importanza fondamentale e si riverbera sulla validità (o meno) di molte altre clausole del contratto. Dal momento che è molto improbabile che un provider accetti di negoziare la clausola relativa alla legge applicabile, la cosa più ragionevole è quella di scegliere un provider che abbia indicato come legge applicabile quella di un Paese con cui il Cliente ha (almeno) una certa familiarità. Titolo della presentazione
  13. 13. Foro competente In linea di massima il cloud provider sarà portato a scegliere un foro competente coerente con la legge applicabile indicata. Anche in questo caso, la clausola relativa al foro competente è di particolare importanza per i Clienti corporate, dal momento che il Cliente consumatore potrà sempre agire davanti al proprio foro. La clausola sul foro competente ha un impatto economico notevole. Pertanto, soprattutto nel caso di Clienti corporate, la cosa più opportuna è scegliere un provider che abbia indicato come foro competente quello di un Paese in cui il Cliente stesso abbia la possibilità di agire (in modo economicamente conveniente). Titolo della presentazione
  14. 14. Arbitrato A volte i contratti cloud contengono delle clauole con cui si individua in un arbitrato il modo di risoluzione delle controversie relative al contratto. L’arbitrato viene indicato talvolta come alternativo alla giurisdizione ordinaria; altre volte come obbligatorio (ma una tale ipotesi appare non applicabile ai contratti conclusi con Clienti che siano consumatori); altre volte ancora previsto solo in caso di superamento di una certa soglia di valore; altre volte, infine, previsto solo con riferimento ad alcune giurisdizioni. Nell’accettare clausole arbitrali, oltre alle considerazioni svolte per il foro competente, occorre sempre tenere conto del trade-off, che le procedure arbitrali presentano, tra rapidità della procedura e costo della stessa. Titolo della presentazione
  15. 15. Modifica dei termini contrattuali In molti contratti cloud i provider si riservano il diritto di modificare le condizioni generali di contratto. Tali modifiche possono essere semplicemente pubblicate sul sito del provider (con onere in capo al Cliente di prenderne visione) o essere comunicate via email o con altri mezzi. Spesso tali clausole vengono considerate accettate per fatti concludenti (per il semplice fatto che il Cliente continua a utilizzare il servizio). In altri casi è data la possibilità al Cliente, che non intenda accettare la nuova versione delle condizioni generali, di recedere dal contratto. Al netto di ogni considerazione circa la validità di tali clausole, è decisamente consigliabile preferire quei provider che, pur riservandosi il diritto di modificare le condizioni contrattuali, prevedano (almeno) obblighi di notificazione nei confronti del Cliente e gli riconoscano il diritto di recedere dal contratto. Titolo della presentazione
  16. 16. Usi consentiti La gran parte dei contratti cloud prevedono clausole relativi agli usi del servizio consentiti al Cliente. Sebbene normalmente gli usi non consentiti coincidano con usi illeciti o comunque inopportuni (almeno per il provider…), è comunque consigliabile verificare il contenuto di tale clausola per: accertarsi che gli usi non consentiti (ma non per ciò stesso illeciti) non coincidano anche solo parzialmente con gli usi che il Cliente intende fare; accertarsi che alla clausola sugli usi consentiti non siano associate clausole di manleva particolarmente gravose. Titolo della presentazione
  17. 17. Proprietà intellettuale dei dati Spesso le clausole sulla proprietà intellettuale presenti nei contratti cloud sono relative solo ai diritti del provider sul software o sulla piattaforma È invece opportuno verificare che il contratto preveda espressamente che la titolarità dei diritti di proprietà intellettuale sui dati (diritti d’autore, diritti connessi al diritto d’autore, diritto sui generis del costitutore della banca dati) appartiene al Cliente (o – almeno – che non sia stabilito il contrario). Al cloud provider dovrebbe al limite spettare una licenza d’uso dei dati limitata all’esecuzione delle obbligazioni dedotte in contratto (e non anche a scopi commerciali). Titolo della presentazione
  18. 18. Integrità dei dati La maggior parte dei cloud provider nelle proprie condizioni generali di contratto tende ad escludere la propria responsabilità con riferimento all’integrità dei dati. Alcuni provider assumono solo un’obbligazione di mezzi (best effort). Altri provider assumonono la responsabilità solo qualora il Cliente acquisti il separato servizio di back up dei dati. È improbabile che, a meno di acquistare il servizio di back up dei dati, un provider assuma qualcosa di più di un’obbligazione di mezzi rispetto all’integrità dei dati. È dunque quanto mai opportuno provvedere ad acquistare tale servizio o a procedere autonomamente a back up periodici. Titolo della presentazione
  19. 19. Riservatezza dei dati La riservatezza dei dati è un profilo di fondamentale importanza per numerose ragioni, tra cui: garantire la legal compliance del trattamento dei dati personali rispetto alla normativa in materia di privacy assicurare il rispetto di obblighi contrattuali di riservatezza che il Cliente abbia assunto con riferimento a soggetti terzi e mettere il Cliente stesso al riparo da responsabilità risarcitoria preservare la propria intellettuale del Cliente riferimento, ad esempio, alle informazioni aziendali segrete (know how) e a eventuali innovazioni brevettabili È bene acquisire servizi cloud da quei provider che si impegnino espressamente a garantire la riservatezza dei dati del Cliente e, in caso di data breach, la notificazione al Cliente. In alternativa (o in aggiunta) è opportuno procedere alla cifratura dei dati memorizzati in cloud. Titolo della presentazione
  20. 20. Accessibilità dei dati da parte di terzi I problemi di riservatezza sono strettamente connessi con il profilo dell’accessibilità dei dati da parte di soggetti diversi dal Cliente. A volte i provider si riservano il diritto di monitorare l’uso del servizio ( conseguenze in termini di responsabilità del provider ai sensi del d.lgs. 70/2003) da parte del Cliente in termini anonimi, altre volte si riservano il diritto di verificare che i dati uploadati dai Clienti siano conformi agli usi consentiti. Spesso i contratti cloud prevedono espressamente che il provider consentirà, ove richiesto, l’accesso ai dati alla pubblica autorità (in alcuni casi a seguito di un ordine dell’autorità giudiziaria, in altri casi anche a seguito di richieste più o meno formali). Quando il contratto prevede tali poteri di controllo da parte del provider o dei terzi è consigliabile cifrare i dati (soprattutto quelli particolarmente sensibili). Titolo della presentazione
  21. 21. Disponibilità dei dati alla risoluzione del contratto Le condizioni contrattuali proposte sul punto dai cloud provider sono varie: A volte viene previsto che i dati vengano conservati per un certo periodo di tempo dopo la risoluzione del contratto Altre volte viene previsto che I dati verranno immediatamente cancellati Altre volte ancora il provider non assume nessun obbligo specifico in tal senso, ma si riserva il diritto di cancellare i dati dopo la risoluzione del contratto Gli interessi del Cliente, in questo ambito, sono almeno due: Avere la garanzia della disponibilità dei dati per un certo periodo di tempo dopo la risoluzione del contratto Avere la garanzia che, trascorso tale periodo di tempo, i dati verranno definitivamente cancellati Quando si selezionino dei provider che non assumono specifiche obbligazioni sui punti sopra indicati è consigliabile procedere alla cifratura dei dati e a frequenti back up. Titolo della presentazione
  22. 22. Luogo in cui sono memorizzati i dati La normativa in materia di trasferimento all’estero dei dati personali rende particolarmente critico il profilo del luogo in cui sono memorizzati i dati. Occorre dunque fare attenzione alle clausole contrattuali relative all’eventuale collocazione dei server e al trasferimento dei dati da parte del cloud provider. In particolare è opportuno preferire quei cloud provider che, alternativamente: ospitano i dati su server collocati all’interno di Stati UE ospitano i dati su server collocati in Paesi extra UE che garantiscono un livello di protezione dei dati adeguato (Andorra, Argentina, Australia, Canada, Svizzera, Isole Fær Øer, Guernsey, Israele, Isola di Man, Jersey, Uruguay USA limitatamente alle imprese che aderiscono al safe harbor) fanno ricorso alle clausole contrattuali standard approvate dalla Commissione europea (cfr. da ultimo le decisioni della Commissione europea 2004/915/CE e 2010/87/UE) Titolo della presentazione
  23. 23. SLA L’assunzione, da parte del provider, di specifici obblighi sugli standard di servizio, sulla business continuity e sul disaster recovery, sono fondamentali per i Clienti che ricorrono a servizi cloud per gestire dati critici e/o per fornire servizi in real-time L’assunzione di obblighi specifici da parte del provider può essere considerato come uno dei principali indici di affidabilità del fornitore (oltre ad essere una scelta razionale anche per lo stesso provider che così può modulare la propria responsabilità…). È in ogni caso opportuno precisare che, laddove il provider non abbia assunto specifici obblighi in tal senso non implica la sua irresponsabilità per inadempimento, ma solo una maggiore difficoltà di darne prova. Titolo della presentazione
  24. 24. Esclusioni e limitazioni di responsabilità Tutti i provider, sia pure in misura diversa (maggiore i provider USA, minore i provider EU), cercano di limitare o escludere contrattualmente la propria responsabilità per inadempimento (si pensi alle clausole «as is»). Quando al contratto si applica la legge italiana, è opportuno ricordare che le clausole di esclusione della responsabilità per dolo e colpa grave sono nulle ( art. 1229 c.c.), essendo possibile solo escludere la responsabilità in caso di colpa lieve (con il problema, tuttavia, in assenza di SLA, di stabilire dove finisca la colpa lieve e inizi la colpa grave) In molti casi la limitazione di responsabilità non attiene ai fatti che la ingenerano, ma all’estensione del risarcimento (si pensi alle clausole contenenti «indemnification caps» o alle clausole che stabiliscano risarcimenti «in servizi») Titolo della presentazione
  25. 25. Esclusioni e limitazioni di responsabilità L’atteggiamento corretto da tenere in caso di clausole di esclusione o limitazione della responsabilità è: verificare la validità delle clausole in questione rispetto alla legge applicabile al contratto scegliere i provider che offrono maggiori garanzie contrattuali cegliere in ogni caso i provider che offrano maggiori garanzie patrimoniali valutare l’opportunità di protezioni esterne (assicurazioni) Titolo della presentazione
  26. 26. Quando il cloud provider è fornitore di un fornitore… È di fondamentale importanza, quando si fa ricorso a servizi cloud per fornire a propria volta servizi a degli utenti finali, verificare che vi sia simmetria tra il contratto «a monte» e quello «a valle». Titolo della presentazione • Il cloud provider introduce nelle proprie CGC delle clausole di esclusione o limitazione della PROVIDER responsabilità CLIENTE UTENTE • Il Cliente non «rende simmetriche» tali clausole nel contratto con i propri utenti finali • Il Cliente rimane esposto a responsabilità nei confronti dei propri utenti per inadempimenti, di fatto, ascrivibili al cloud provider
  27. 27. Le iniziative europee in materia di contratti cloud Il 27 settembre 2012, la Commissione europea ha adottato una strategia denominata «Sfruttare il potenziale del cloud computing in Europa» (IP/12/1025, MEMO/12/713) Il diritto dei contratti rappresenta una parte importante della nostra strategia in materia di cloud computing. […] Le incertezze in materia di contratti per il cloud computing possono ostacolare gli scambi transfrontalieri. Visto che si tratta di un settore molto complesso, stiamo raccogliendo i pareri degli esperti prima di decidere come procedere. Tra le altre azioni annunciate la Commissione intende lavorare per un sviluppare standard e clausole contrattuali equilibrati per i contratti cloud. Titolo della presentazione !
  28. 28. Questo è, quindi, solo un arrivederci… (e un grazie per l’attenzione!) Titolo della presentazione
  29. 29. MONDUCCI PERRI SPEDICATO & PARTNERS Avv. Giorgio Spedicato giorgio.spedicato@mpslaw.it Titolo della presentazione

×