Il cloud rappresenta un acceleratore straordinario per la trasformazione digitale e per molte imprese esso costituisce ormai una risorsa strategica, ma comprare servizi cloud richiede una particolare prudenza e la consapevolezza della necessità di affidarsi ad un legale in grado valutare e mitigare i possibili rischi contrattualistici.
«Sono molti gli aspetti che un’azienda deve considerare per giungere alla sottoscrizione consapevole del contratto con un provider, e sono tutti essenziali per valutare la sostenibilità del contratto sotto il profilo del rischio», riferisce l’avvocato Anna Italiano, Associate Partner di Partners4Innovation.
Ma perché parlare di rischio contrattuale?
Tramite il ricorso al cloud stiamo assistendo a un passaggio epocale, da una concezione di tipo proprietario delle risorse IT, ad una visione in cui acquista rilevanza il concetto di fruibilità del servizio. Questo porta con sé l’esigenza di analizzare il contratto con il provider in modo molto accurato e meticoloso, perché da esso dipendono tutte le tutele relative all’accessibilità al servizio.
«Il primo scoglio contro cui ci si imbatte è la forte chiusura del provider rispetto ad una possibile negoziazione», sostiene l’avv. Italiano.
Il cloud offre un servizio standardizzato, uguale per tutti gli utenti, e questo comporta una limitata o nulla negoziabilità delle condizioni contrattuali per cui è il provider a dettare i vincoli del servizio che intende fornire: una sorta di prendere-o-lasciare, esattamente come quando si vuole comprare il biglietto di un treno.
«A ciò si aggiunga la complessità della struttura contrattuale, che è spesso sovrabbondante e articolata in una molteplicità di documenti distinti, con la conseguente difficoltà a ricostruire e definire con precisione l’insieme delle obbligazioni che gravano su ciascuna delle parti», prosegue Italiano. Per di più, i vari testi contrattuali non di rado contengono previsioni sovrapponibili o parzialmente difformi, oppure includono richiami URL che a loro volta rimandano a testi ulteriori, anch’essi vincolanti ma difficili da ricostruire.
Tra le più diffuse problematicità dei contratti cloud, assume rilievo la marcata asimmetria che caratterizza i rapporti tra cloud provider e cloud customer. Talune clausole contrattuali, seppure legittime sotto il profilo giuridico, sono molto spesso vessatorie, sbilanciate in favore del provider, o addirittura unfair, per mutuare l’espressione utilizzata del Gruppo di esperti sui contratti cloud della Commissione Europea.
Who's Who
Anna Italiano
Avvocato, Associate Partner di P4I-Partners4Innovation
Contratti cloud: «Le clausule sbilanciate in favore dei provider»
Per capire meglio di cosa si sta parlando può essere utile fare qualche esempio:
- Il diritto di modifica unilaterale, che riserva al provider il diritto di cambiare qualunque aspetto del contratto, anche in senso peggiorativo per il cliente, fino in alcuni casi a consentire di degradare livelli di servizio contrattualizzati. «Questo comporta poca certezza sull’oggetto del contratto», ribadisce Italiano. Come tutelare l’impresa? Ad esempio, prevedendo che le modifiche vengano portate a conoscenza del cliente in modo diretto, non limitandosi ad una semplice pubblicazione della variazione sul sito web del provider. In questo modo potrà essere meglio garantito il diritto di recesso dal contratto, seppure talvolta questo rimedio risulti antieconomico, e obblighi il cliente ad accettare le nuove condizioni.
- L’esclusione della garanzia, che prevede che il servizio sia fornito nelle condizioni in cui si trova, per quanto disponibile, e quindi non garantisce che funzioni senza interruzioni. Come sottolinea Anna Italiano: «Si tratta di una clausola tipica della contrattualistica per la licenza sull’uso del software, ma è del tutto anomala, visto che quando si compra un’automobile non ci si sente dire che frenerà con un margine di errore possibile». Come tutelare l’impresa? Chiarendo cosa si debba intendere per “indisponibilità del servizio” e definendo quali siano le tempistiche di presa in carico e di risoluzione delle problematiche.
- Le clausole di limitazione o esclusione della responsabilità, che escludono o limitano il danno risarcibile dal provider ad una determinata soglia predefinita, troppo spesso irrisoria, rispetto al danno potenziale o al valore stesso del contratto. «Queste clausole sono giustificabili in ragione delle caratteristiche di multi-utenza dei contratti cloud, ma eccessivamente sbilanciate in favore dei cloud provider, quando ad esempio limitano la responsabilità per danni conseguenti ad eventi che i fornitori avrebbero il dovere giuridico di prevedere e gestire». Come tutelare l’impresa? Si tratta di clausole particolarmente delicate e molto difficili da negoziare, ma proprio per questo vanno considerate con attenzione in termini di sostenibilità del contratto: ogni azienda deve valutare il proprio impatto da disservizio e scegliere il provider che meglio garantisca le sue aspettative.
- Le clausole che consentono la sospensione o l’interruzione del servizio in qualsiasi momento, anche senza alcun preavviso: «Il fatto che i motivi di tale sospensione o interruzione vengano contrattualizzati, non esclude che si tratti di clausole ancora una volta molto sbilanciate, che l’impresa cliente deve conoscere bene e valutare, prima di accettare».
Infine, sottolinea Italiano: «Uno degli aspetti più delicati è la valutazione dei livelli che consentano di parametrare il servizio cloud che viene comprato e quindi di valutare le performance del provider in termini oggettivi e misurabili».
Anzitutto è bene accertarsi che i livelli di servizio siano definiti in modo chiaro, cosicché non restino interpretazioni equivoche: si tratta di esplicitare il cd. service level agreement e di agganciare un meccanismo di penalizzazione, consentendo all’utente di ottenere un indennizzo per l’eventuale indisponibilità del servizio o per la discesa delle performance al di sotto dei livelli contrattualmente definiti e garantiti, seppure questo significhi poter beneficiare solo di crediti di servizio o penali secche di importo fortemente ridotto rispetto al danno potenzialmente subito.
Qualcosa che può assicurare all’utente qualche forma di tutela?
«A garanzia del cloud customer resta la clausola di recesso dal contratto. Anche questa, però, deve essere attentamente negoziata, prevedendo eventuali tempistiche di preavviso, o anche il possibile supporto del provider nelle attività di switching verso altro fornitore», ribadisce l’avv. Italiano.
Oltre a ciò, va considerata l’esigenza di garantire la compliance alla normativa sul trattamento dei dati personali, tenendo presente che, se l’impresa cliente è pur sempre il titolare del trattamento, il provider agisce in qualità di responsabile, e pertanto, ai sensi della nuova normativa GDPR, potrà esser chiamato a rispondere direttamente e per l’intero ammontare del danno cagionato nei confronti degli interessati, qualora:
- abbia agito in modo difforme rispetto alle istruzioni legittime ricevute dal titolare (tipicamente contenute nei “data protection agreement” allegati alle condizioni contrattuali di servizio), ovvero
- non abbia adempiuto agli obblighi che il GDPR pone direttamente in capo ai responsabili.
Strettamente collegato al tema del trattamento dei dati personali, tra gli aspetti che dovranno essere espressamente disciplinati dal contratto, vi è il ricorso al subappalto, pena l’impossibilità di ricorrere ai subfornitori. Deve essere chiaro che il provider dovrà garantire il ribaltamento sui subappaltatori degli stessi obblighi che lo vincolano contrattualmente all’azienda cliente, e che, eventuali modifiche in ordine alla catena di subfornitura dovranno essere comunicate al cliente, a cui si deve accordare il diritto di opporsi alla variazione.
E ancora: tra gli ulteriori obblighi normativi previsti in capo al provider, si devono menzionare il dovere di comunicazione delle violazioni della sicurezza che comportino la distruzione, la perdita, la modifica o la divulgazione non autorizzata dei dati (e l’obbligo di assistere e cooperare con l’azienda nel notificare l’eventuale data breach all’Autorità Garante). Inoltre, il dovere di assistere l’azienda cliente nell’effettuare la DPIA e l’eventuale consultazione preventiva (ove prevista), e, infine, l’obbligo di restituzione o cancellazione dei dati personali al momento della cessazione del servizio.
Il GDPR, insomma, potrebbe costituire una grande opportunità per lo sviluppo di una nuova maturità del mercato dei servizi cloud, soprattutto qualora l’offerta riesca ad orientarsi verso pratiche contrattuali più corrette e bilanciate. Intanto, l’atteggiamento di forte chiusura dei provider sembra che si stia mitigando e i contratti non sono più intoccabili come nel passato, ma la strada è ancora tutta in salita.