Un inquadramento giuridico del cloud computing
di Giuseppe Marinelli
Comodità, servizi, socialità ed efficienza a costi bassi e talvolta persino nulli.
Non è difficile intuire la ragione del successo delle tecnologie di cloud computing.
A beneficiarne, nei rispettivi campi d’azione, sono imprese, pubbliche amministrazioni e privati cittadini.
Inquadrare giuridicamente il cloud obbliga l’interprete, per un verso, ad analizzare il rapporto tra provider ed utente, quindi a verificarne la sussumibilità nei singoli tipi contrattuali, al fine di valutarne il regime giuridico (disciplina, sopravvenienze, rimedi); per l’altro, impone di valutare le criticità riguardo alla gestione ed al trattamento dei dati personali, onde conformarsi alla stringente normativa in materia.
Qualificare giuridicamente un contratto necessita una previa attività di identificazione dell’operazione economica ed una successiva astrazione del rapporto, con conseguente isolamento dei tratti essenziali: parti, causa ed oggetto.
Nel caso che ci occupa, tale sequenza risulta ostica sin dal primo step.
Ed invero, l’ampiezza dei servizi cloud e dei modelli di fruizione rende estremamente complesso racchiudere tale tecnologia all’interno di una definizione stringente.
Quella elaborata dal NIST (National Institute of standard and Technology) è senz’altro la più idonea a tratteggiarne le caratteristiche essenziali e si esprime nei seguenti termini: «il cloud computing è un ambiente di esecuzione elastico che consente l’accesso via rete e su richiesta ad un insieme condiviso di risorse di calcolo configurabili (ad esempio reti, server, dispositivi di memorizzazione, applicazioni e servizi) sotto forma di servizi a vari livelli di granularità. Tali servizi possono essere rapidamente richiesti, forniti e rilasciati con minimo sforzo gestionale da parte dell’utente e minima interazione con il fornitore»[1].
Isolandone i tratti peculiari, possiamo evidenziare che:
a. per l’accesso al cloud è necessaria l’accessibilità alla rete;
b. i servizi sono fruiti direttamente da remoto;
c. l’utilizzo della tecnologia avviene su richiesta dell’utente;
d. la medesima tecnologia è utilizzabile contemporaneamente da una pluralità di utenti;
e. la gamma dei servizi offerti è estremamente ampia, si va dall’uso di reti a quello di server e di applicazioni software;
f. i servizi erogati sono offerti a differenti livelli di dettaglio;
g. la fruizione dei servizi coniuga rapidità, efficienza ed economicità.
Una analisi aggregata dei requisiti di cui alle lettere a., b., c. e d., ci consente di cogliere il concreto mutamento di paradigma che il cloud importa nella fruizione dei servizi informatici, si tratti di spazi di memorizzazione, software, server virtuali o ambienti di sviluppo. Ed infatti, superata la concezione proprietaria del bene informatico, si accede ad un concetto di tecnologia intesa come servizio (as a service, si vedrà a breve), il cui utilizzo è legato esclusivamente all’accessibilità ad internet.
Le differenti tipologie di servizio richiesto consentono di distinguere tre categorie di cloud: il cloud SaaS (Software as a Service), il cloud PaaS (Platform as a service) ed il cloud Iaas (Infrastructure as a Service). In sostanza, nel primo caso l’utente fruisce di servizi applicativi da remoto (si pensi a software di contabilità, gestione di calendari, Erp, ecc.), sgravandosi della necessità di dotarsi di adeguati sistemi hardware e liberandosi da complesse gestioni e manutenzioni di licenze; nel secondo caso, l’utente utilizza una piattaforma di elaborazione, al fine di sviluppare applicativi; nel terzo caso, all’utente viene messa a disposizione un’infrastruttura hardware (server, storage, ecc.), che gli consenta di installare ed eseguire piattaforme o applicazioni.
Da quanto detto emerge che il provider, generalmente a fronte di un pagamento di corrispettivo in danaro, assume su di sé l’obbligazione di rendere una prestazione di servizi, di carattere continuativo o periodico.
La fattispecie appena delineata sembrerebbe pacificamente sussumersi nell’appalto di servizi di carattere continuativo o periodico, delineata dagli artt. 1655 – 1677 codice civile, il quale ultimo a riguardo sancisce l’applicabilità delle norme del capo VII (Dell’appalto) e di quelle relative al contratto di somministrazione (art. 1559 c.c.), in quanto compatibili.
Seppur – di fatto – nominato[2], il contratto di somministrazione di servizi rimane uno schema negoziale atipico, considerato che la prestazione prevista dall’art. 1559 c.c. si risolve in un dare anziché in un facere e che la relativa disciplina non potrà che incepparsi nelle maglie della “compatibilità”. Di conseguenza, ove il rapporto tra fornitore e provider non sia specificatamente ed omogeneamente disciplinato nel testo contrattuale, l’attività dell’interprete risulterebbe oltremodo complessa, quindi discrezionale, ergo incerta.
Giova evidenziare che detto inquadramento non è pacifico e che parte della dottrina talora riconduce il rapporto alla fattispecie innominata dell’outsourcing e talaltra a quella della licenza d’uso[3].
Il livello di difficoltà aumenta ove si consideri il peculiare servizio reso dal fornitore cloud Iaas, che parte della dottrina ha (coerentemente) ricondotto al contratto di deposito ex art. 1766 c.c[4].
Il complesso quadro descritto induce senz’altro ad esigere, in fase di sottoscrizione del contratto, un testo contrattuale chiaro nei termini, nell’individuazione dei livelli di servizio, nelle garanzie di continuità della prestazione, oltreché nelle modalità di trattamento dei dati, come si vedrà a breve.
Ritornando all’elenco di cui sopra, giova al breve inquadramento in corso l’analisi di quanto indicato alle lettere c. e d., che consentono di definire i cosiddetti modelli di fruizione del cloud.
Sinteticamente, si distinguono public, community e private cloud, a seconda che il servizio sia messo a disposizione di una pluralità indistinta o omogenea di fruitori, ovvero di singoli soggetti. Sono presenti sul mercato, altresì, modelli misti, o ibridi, che presentano profili di commistione tra i differenti modelli.
Le caratteristiche di multiutenza, la materiale perdita di disponibilità dei dati da parte del titolare del trattamento, nonché la difficoltà (se non impossibilità) di localizzare con precisione i dati in transito “nelle nuvole” inducono gli operatori economici e del diritto ad affrontare le problematiche in tema di data protection, al fine di rendere conforme alla normativa l’utilizzo dei servizi[5].
La pacifica qualificazione dell’utente quale titolare del trattamento dovrebbe indurre ad una certa prudenza nell’utilizzo del cloud, considerata la permanenza in capo allo stesso di obblighi di vigilanza sulle condotte del fornitore e della necessità di adottare le misure di sicurezza necessarie ad assicurare riservatezza, integrità e disponibilità dei dati.
La sostanziale impossibilità di negoziare i termini contrattuali con i fornitori comporta la necessità di ponderare con estrema attenzione l’utilizzo di tale tecnologia e la scelta del provider incaricato.
Comodità, servizi, socialità, efficienza ed economicità non potranno che affiancarsi ad una crescente responsabilizzazione degli utenti e consapevolezza della trasformazione digitale in atto.
[1] «Cloud computing is a model for enabling ubiquitous, convenient, on-demand network access to a shared pool of configurable computing resources (e.g., networks, servers, storage, applications and service) that can be rapidly provisioned and released with minimal management effort or service provider interaction». Traduzione da Ziccardi G., Perri P. “Tecnologia e diritto”, Giuffrè, 2017, p. 93.
[2] Giova evidenziare che il contratto di appalto di servizi tratteggiato dell’art. 1655 c.c. e disciplinato dalle successive disposizioni non individua un contratto di durata, ragion per cui lo stesso Codice evidenzia la necessità di una commistione tra la disciplina dell’appalto e quella della somministrazione, fattispecie strutturata per fronteggiare l’esigenza delle parti di soddisfare bisogni di carattere continuativo.
[3] Per un’ampia critica, si veda Faggioli G., Italiano A., “I contratti di cloud computing”, Franco Angeli, 2017
[4] E. Prosperetti, “Gli obblighi di assicurare la custodia e la sicurezza dei dati in un sistema cloud”, in «Trattato di diritto dell’Internet», a cura di G. Cassano, G. Scorza, G. Vaciago, Padova, 2012.
[5] La locuzione richiama la scheda elaborata dal Garante Privacy nel novembre 2011 dal titolo “Cloud Computing: indicazioni per l’uso consapevole dei servizi” ed ulteriormente sviluppato in “Cloud computing – Proteggere i dati per non cadere dalle nuvole. Mini guida per imprese e pubbliche amministrazioni”.
BIbliografia
Cardetta A., “IT outsourcing: il cloud computing tra sicurezza e privacy”, in https://www.ictsecuritymagazine.com/articoli/it-outsourcing-cloud-computing-sicurezza-privacy/;
Cassano, G. Scorza, G. Vaciago , “Trattato di diritto dell’Internet”, Padova, 2012;
Faggioli G., Italiano A., “I contratti di cloud computing”, 2017, Milano;
Iaselli M., “I contratti informatici”, 2015, Milanofiori Assago;
Limone M., “i contratti di cloud”, in comparazionedirittocivile.it;
Mantelero A., “Il contratto per l’erogazione alle imprese di servizi di cloud computing”, in Contratto e impresa, 2012;
Mantelero A., “Processi di outsourcing informatico e cloud computing: la gestione dei dati personali e aziendali”, in Diritto dell’informazione e dell’informatica, 2010;
Popoli A.R., “Il contratto di cloud computing: natura giuridica e clausole limitative di responsabilità”, in giustiziacivile.com;
Rifkin J., “L’era dell’accesso. La rivoluzione della new economy”, Milano, 2000;
Ziccardi G., Perri P. “Tecnologia e diritto”, 2017, Milano.
Autore