SMAU MILANO 2023 | SMAU MILANO 2023 | Intelligenza Artificiale e chatbots
Smau Milano 2016 - sharedVISION parte 3
1. IoT, Big Data e Cloud Computing.
Il punto di vista legale: problemi
e soluzioni
Avv. Gian Marco Rinaldi
Milano, 27 ottobre 2016
2. Introduzione
• Temi della presentazione
– cosa sono i dati nel diritto;
– gli accordi tra le macchine;
– tematiche legali e contrattuali del cloud computing.
4. Il dato come bene mobile
● Art. 810 c.c.: “Sono beni le cose che possono formare oggetto di
diritti”.
● Il dato è considerabile un bene mobile ex art. 812, co. 3, del codice
civile?
● Secondo alcune interpretazioni, il dato - laddove può formare
oggetto di diritti, e dunque, ad esempio, essere oggetto di
scambio o di sfruttamento - può rientrare nella categorie dei
“beni mobili immateriali”
5. Il Dato come proprietà industriale
Art. 98 Codice della Proprietà Industriale
“1. Costituiscono oggetto di tutela le informazioni aziendali e le
esperienze tecnico-industriali, comprese quelle commerciali, soggette
al legittimo controllo del detentore, ove tali informazioni:
a) siano segrete, nel senso che non siano nel loro insieme o nella
precisa configurazione e combinazione dei loro elementi
generalmente note o facilmente accessibili agli esperti ed agli
operatori del settore;
b) abbiano valore economico in quanto segrete;
c) siano sottoposte, da parte delle persone al cui legittimo controllo
sono soggette, a misure da ritenersi ragionevolmente
adeguate a mantenerle segrete.…”
6. Il Dato come dato personale
• Dato Personale: “qualunque informazione relativa a persona fisica,
identificata o identificabile, anche indirettamente, mediante
riferimento a qualsiasi altra informazione, ivi compreso un numero di
identificazione personale” (Art. 4, co. 1, lett. b), Codice Privacy (d.lgs.
196/2003))
“Qualunque informazione archiviata nell’apparecchio di un utente”
(Art. 122 del Codice Privacy e art. 5, comma 3 Direttiva ePrivacy)
• Dato Anonimo: "il dato che in origine, o a seguito di trattamento,
non può essere associato ad un interessato identificato o identificabile
(Art. 4, co. 1, lett. N, C.P.)
• Dato Pseudonimizzato (GDPR): dato che diviene personale solo
se collegato a informazione aggiuntive
7. Raccolta di dati come opera dell’ingegno
● Banca dati come “raccolta di opere, dati o altri elementi indipendenti
sistematicamente o metodicamente disposti ed individualmente
accessibili mediante mezzi elettronici o in altro modo” (art. 2, no. 9,
LDA)
● All’autore spettano tutti i diritti di sfruttamento (riproduzione, modifica,
distribuzione, comunicazione al pubblico, etc.) (art. 64-quinquies LDA).
Protezione 70 anni dalla morte dell’autore
● Banche dati non creative: diritto sui generis del costitutore (“chi
effettua investimenti rilevanti per la sua verifica o la sua presentazione,
impegnando a tal fine mezzi finanziari, tempo e lavoro”): 15 anni dal
completamento o 15 anni dalla (eventuale) messa a disposizione del
pubblico. Il costitutore può autorizzare la “estrazione” (totale o di una
parte sostanziale) o il “reimpiego” (i.e.: messa a disposizione del
pubblico) (102-bis LDA)
8. Contratti tra macchine?
● Possono esistere contratti machine - to-machine?
● L'agente software è un soggetto di diritto o un "mezzo di trasmissione
della volontà dell'utilizzatore"?
● Non si tratta di soggettività giuridica ma di capacità di compiere
azioni corrispondenti o analoghe a quelle che avrebbe compiuto
l'uomo in generale
9. Contratti tra macchine?
● Cd. «autonomia privata procedimentale» Sentenza C. Cass. 11568/1990:
contratti di parcheggio
● Il soggetto giuridico resta l'utilizzatore del dispositivo/software
● «Il Giudice non deve compiere una indagine, di carattere soggettivo, circa la
riferibilità o meno dell’atto elettronico alla volontà di un determinato
soggetto, ma deve accertare, in base a criteri di imputazione oggettivi, su
quale centro di interessi debbano ricadere le responsabilità dell’atto posto in
essere» (E. Giannantonio)
● Oggettivizzazione del contratto
● Contratti telematici di borsa, contratti di e-commerce, contratti automatici,
etc.
10. Definizione di cloud computing
"Il cloud computing è un modello per abilitare, tramite la rete, l’accesso
diffuso, agevole e a richiesta, ad un insieme condiviso e configurabile di
risorse di elaborazione (ad esempio reti, server, memoria, applicazioni
e servizi) che possono essere acquisite e rilasciate rapidamente e con
minimo sforzo di gestione o di interazione con il fornitore di servizi"
(National Institute of Standard and Technology)
Dal paradigma proprietario al paradigma dell'accesso
L'accesso è governato da un contratto
11. Qualificazione dei contratti di cloud
computing
● Appalto di servizi (Art. 1677 c.c.)
Se l'appalto ha per oggetto prestazioni continuative o periodiche di
servizi, si osservano, in quanto compatibili, le norme di questo capo e
quelle relative al contratto di somministrazione.
● Somministrazione (Art. 1559 c.c.)
La somministrazione è il contratto con il quale una parte si obbliga,
verso corrispettivo di un prezzo, a eseguire, a favore dell'altra,
prestazioni periodiche o continuative di cose.
● Vi sono licenze nel cloud computing?
12. SLA – Penali – Service Credits
• Obbligazione di risultato raggiungimento dei Service
Level Objective definiti per mezzo degli SLA
• Conseguenze della violazione dei Service Level Objective:
• Penali
• Crediti di Servizio
• Risoluzione del Contratto
• In UK: penalties vs liquidated damages / in Germania: crediti di
servizio e penali sono equiparate / In Francia se sono "clause pénale"
esauriscono il danno / In Grecia: crediti di servizio sono un
"liquidated damage " e devono essere una stima effettiva del danno.
13. SLA – Penali – Service Credits
• Service Credits o Penali come unico rimedio: art. 1382 c.c.: "risarcibilità del
danno ulteriore". Se unico rimedio con consumatori sarebbe clausola
vessatoria.
• Reporting o Monitoraggio continuo
• Audit su SLA: accertamento presso il provider da parte del cliente
• Revisione periodica degli SLA
• Problemi di standardizzazione degli SLA: confrontabilità degli SLA di diversi
fornitori
14. Responsabilità del fornitore di servizi cloud
• Limitazioni della responsabilità:
- parametrato sui corrispettivi
- "valore del contratto"
- ammontare specifico
• Aree di esclusione dalla limitazione di responsabilità: violazione degli
obblighi di confidenzialità, violazioni degli IPR, violazione obblighi di
data protection, violazioni di legge, dolo e colpa grave;
• Rapporto con il pagamento delle penali e/o service credits
• Limitazione della responsabilità: clausola vessatoria nei rapporti con i
consumatori
• Limitazioni del danno nei diversi paesi
15. Le modifiche al contratto di cloud computing
● Disciplina del codice civile sulle modifiche dell'opera/servizi
appaltati…meglio regolare il punto nel contratto
● Contratti con consumatori modificabili con dei limiti: art. 33, Cod.
Consumo:
Si presume vessatoria la clausola che hanno per oggetto o per effetto:
"m) consentire al professionista di modificare unilateralmente le
clausole del contratto ovvero le caratteristiche del prodotto o del
servizio da fornire, senza un giustificato motivo indicato nel
contratto stesso"
● Problemi connessi al cloud: necessità di modifica dei servizi dal parte
del provider per problemi di sicurezza, update, cambiamenti
legislativi
16. L'Acceptable Use Policy
● L'Acceptable Use Policy è il documento che definisce gli obblighi del Cliente
nell'utilizzazione dei servizi di cloud computing
● Riguardano le seguenti aree:
• Violazioni IPR
• Violazioni su dati personali di terzi
• Immissione di contenuti illegali
• Immissioni di virus, malicious devices, etc.
● Sospensione/chiusura account utente rimozione dei contenuti (previo termine)
● In caso di seri rischi per la sicurezza o attività illecite: immediata
sospensione/cessazione account utente e rimozione contenuti
● Se circostanze relative ai "seri rischi" non vere: risarcimento del danno subito dal
cliente
17. Cessazione del contratto
● Reversibility: continuità e portabilità dei dati
● Divieto di cancellazione dei dati per un certo periodo di tempo
successivo alla cessazione
● Garantire l'accesso ai dati del cliente nel periodo di cui sopra
● Prevedere eventualmente la migrazione (da pagare separatamente)
● Terminato il "retrieval period" o il "migration period": obbligo di
cancellazione