Temi

Shape 5 Live Search

logo

Cloud è un neologismo che indica qualsiasi servizio di elaborazione realizzato direttamente nella rete Internet. In sostanza, invece di trattare i dati sul nostro computer (aziendale o di casa), i dati vengono inviati ad un fornitore di servizi esterno che opera l'elaborazione direttamente sui suoi server. In tal modo l'azienda può avere contemporaneamente un risparmio di costi e una maggiore potenza di elaborazione. 

Numerosi servizi sono offerti tramite elaborazione in cloud, non solo le mail, ma anche i servizi di storage (backup online), di contabilità, anagrafe, prenotazione, word processing e così via. L'adozione di tali tecnologie può, però, comportare rischi per i dati personali che sono inviati a terze parti: 
- i dati non risiedono più sui server del titolare ma sono allocati su quelli del fornitore di cloud, i quali server potrebbero anche trovarsi fisicamente al di fuori dello spazio SEE; 
- l'infrastruttura è condivisa con diversi committenti per cui va garantita la separazione almeno logica dei dati e la sicurezza degli stessi; 
- l'utilizzo avviene via Internet, per cui la velocità di connessione impatta sulla qualità del servizio, inoltre entrano in gioco le questione della sicurezza delle comunicazioni. 

 

Cloud computing

Il cloud potrebbe essereun'infrastruttura dedicata alla singola azienda (private cloud), ma più spesso è un'infrastruttura fornita da un'azienda terza a una serie di soggetti doversi (public cloud). Il cloud computing rende possibile l'utilizzazione di servizi di vario tipo semplicemente collegandosi a server remoti gestiti dal cloud provider, senza quindi caricare le risorse sul proprio sisema informatico. L'unica risorsa necessaria è la connessione alla rete in modo da potersi collegare ai server del cloud provider. In quest'ottica è fondamentale il contratto di fruizione del servizio, non essendo più l'utente il proprietario della risorsa (cioè il software).

Si distinguono tre tipi: 
- Saas (Software as a Service): fornisce l'accesso al software applicativo (software on demand), senza necessità di installazione, confugurazione o altro (esempi: Google Apps, Microsoft Office 365); 
- PaaS (Platform as a Service): fornisce piattaforme di eleborazione con sistema operativo, ambiente di esecuzione del linguaggio di programmazione, database, server web, ecc... (esempi: AWS Elastic Beanstalk, Google App Engine); 
- IaaS (Infrastructure as a Service): è fornita l'infrastruttura informatica, le macchine fisiche o virtuali e altre risorse quali firewall, sistemi di bilanciamento del carico, indirizzi IP, ecc... (esempi: Amazon EC2, Windows Azure). 

 

Contratto di cloud computing

Il contratto di cloud computing non ha una struttura propria ma ricorre a diversi schemi negoziali tipici (contratto misto), spesso l'appalto di servizi e il contratto di licenza. L'appalto di servizi consiste nella prestazione di un'attività che si realizza nell'obbligo di fornire un servizio a fronte di un corrispettivo, quindi un obbligo di facere. Ad esempio potrebbe essere la fornitura di memoria di massa (hosting) sui server del provider e di altri servizi collegati. Ovviamente l'obbligazione assunta dal provider dovrà essere inevitabilmente di risultato. Occorre però dire che, a differenza dell'appalto, il contratto di cloud computing non riguarda un servizio realizzato ad hoc per il cliente. 
Il contratto di licenza specifica, invece, le modalità di utilizzazione del servizio da parte dell'utente (contratto d'uso), indicando eventuali modalità di ridistribuzione e imponendo dei vincoli. Ovviamente è necessario che il cloud provider assicuri la continuità della prestazione. 

Nella redazione dei contratti di cloud è frequente l'inserimento di ulteriori clausole, come l'esternalizzazione (outsourcing) di servizi, specialmente per le aziende. Anche l'outsourcing è una forma di appalto di servizi qualificato con il quale vengono esternalizzate attività produttive dell'azienda, quindi non solo strutture ma anche risorse umane.

I contratti di cloud computing sono costituiti da tre documenti:
- le condizioni generali del servizio (SLA o Service Level Agreement); 
- la policy relativa al comportamento delle parti;
- il contratto di elaborazione dati.
I contenuti concernono i profili generali del contratto, cioè durata, corrispettivo, giurisdizione, e i profili informativi, cioè la gestione delle informazioni immesse nel cloud. 

 

Soggetti del trattamento

E' ovvio che il fornitore di servizi cloud si pone quale responsabile esterno del trattamento rispetto all'azienda titolare del trattamento. In tal senso dovrà essere stipulato un contratto di elaborazione dati (Data Protection Agreement). In alcuni casi il fornitore deve essere, però, più correttamente inquadrato come titolare del trattamento, se agesce anche in base a finalità proprie. 

 

Trasferimento di dati

Generalmente i cloud provider hanno i server all'estero, per cui occorre attentamente analizzare le problematiche relative al trasferimento dei dati. La regolamentazione in materia è dettata dal regolamento europeo GDPR (Capo V). In particolare per gli Stati Uniti, dove sono stabilite le principali aziende del web, è in vigore attualmente il Privacy Shield, a garantire la possibilità di trasferire i dati verso quel paese. 

 

Giurisdizione

Le norme europee (regolamento CE n. 593/2008, sostitutivo della Convenzione di Roma del 19 giugno 1980, e Convenzione di Bruxelles) stabiliscono l'applicabilità al contratto della legge in cui risiede il consumatore. Inoltre il legislatore italiano esclude che il consumatore possa essere privato della tutela minima richiesta dal Codice del Consumo (art. 143: 1. I diritti attribuiti al consumatore dal codice sono irrinunciabili. E' nulla ogni pattuizione in contrasto con le disposizioni del codice. 2. Ove le parti abbiano scelto di applicare al contratto una legislazione diversa da quella italiana, al consumatore devono comunque essere riconosciute le condizioni minime di tutela previste dal codice).

Frequenti, però, sono le clausole per limitare la responsabilità del cloud provider, principalmente quelle derogatorie del foro competente. Ovviamente se si tratta di clausole vessatorie e come tali vanno trattate.