Il Cloud Computing - I diversi approcci contrattuali e nuove definizioni in ambito privacy 17 gennaio 2012 Milano Avv. Alessandro Mantelero Ricercatore Politecnico di Torino IV Facoltà
Cloud computing: una definizione National Institute of Standards and Technology Cloud computing is a model for enabling ubiquitous, convenient, on-demand network access to a shared pool of configurable computing resources (e.g., networks, servers, storage, applications, and services) that can be rapidly provisioned and released with minimal management effort or service provider interaction. This cloud model is composed of five essential characteristics, three service models, and four deployment models. Essential Characteristics - on-demand self-service - broad network access - resource pooling - rapid elasticity - measured service Service Models: - software as a Service (SaaS) - platform as a Service (PaaS) - infrastructure as a Service (IaaS) Deployment Models: - private cloud - community cloud - public cloud - hybrid cloud osservazione: - limite sovente labile fra SaaS, IaaS, PaaS - possibilità di combinazione dei diversi modelli (EaaS/XaaS everything as a service)
Il contratto: qualificazione giuridica Nota generale: - centralità del profilo contrattuale - importanza dell'attenzione prestata dal fornitore a tale aspetto Natura del contratto: contratto misto (appalto, licenza) assenza di un profilo solitamente prevalente, bensì variazioni fra schemi in cui prevale la struttura del contratto di servizio e schemi in cui prevale quello di licenza sovente accostamento ai contratti di outsourcing (modelli contrattuali eterogenei connotati dall'affidamento a terzi di fasi del processo produttivo) L'evoluzione dell'it non si traduce in un'evoluzione altrettanto rapida dei modelli contrattuali.
aspetti comuni al modello dell'outsourcing: Il contratto: qualificazione giuridica - esternalizzazione dei servizi - centralità del servizio e della sua qualità - rilievo dei profili di costo ed efficienza - modelli contrattuali analitici (allegati tecnici, SLA) aspetti divergenti rispetto al modello dell'outsourcing: - centralità degli strumenti produttivi e scarsa rilevanza della componente umana - modello uno/molti (personalizzazione secondo offerte standard, definizione delle policies ad opera del fornitore, semplificazione della fase precontrattuale, limitata variabilità degli accordi, mancanza di clausole di rinegoziazione) - flessibilità nell'ampiezza della durata (salvo lock-in) - carenza del trasferimento tecnologico/strumentale e di personale (ruolo secondario di formazione, audit e controlli diretti) - metrica dei costi più semplice (costo/unità/tempo), ma maggiore incertezza sul costo globale (funzione dell'utilizzo) - minore potere contrattuale del cliente e definizione dei servizi/nuovi prodotti da parte del fornitore
struttura: - Terms of Service - Acceptable Use Policy - Privacy policies Il contratto: struttura e contenuti talvolta le stesse materie sono trattate all'interno di più di un documento talvolta personalizzazione dei contratti in ragione delle diverse aree geografiche contenuti: profili generali del contratto: - lingua - durata - corrispettivo - possibilità di modifiche unilaterali e relative modalità - legge applicabile e giurisdizione - prevenzione e gestione dell'inadempimento - limitazione di responsabilità/garanzie - sub-contratto profili inerenti le informazioni gestite: - titolarità dei contenuti - sicurezza - disciplina della disclosure - flussi transfrontalieri - destinazione dei dati in caso di scioglimento del contratto
Il contratto: struttura e contenuti legge applicabile e giurisdizione: - rapporto uno/molti - preferenza per legge e giurisdizione del fornitore (diverso dai casi di outsourcing) - limiti alla scelta della legge: ordine pubblico internazionale, norme di applicazione necessaria sub-contratto: - facoltà prevista in maniera bilaterale o per il solo fornitore cloud - responsabilità permanente sul primo contraente - poco curato il profilo dei sub-contratti (scarsa attenzione ad ampiezza e complessità della filiera) limitazione della responsabilità/garanzie - rapporto uno/molti - minor personalizzazione e conseguente maggior rischio di inadeguatezza del prodotto - esigenza di introdurre limiti a responsabilità/garanzie - talvolta garanzie specifiche in relazione a servizi di security ad hoc acquistati
Il contratto: struttura e contenuti limitazione delle garanzie - fatti salvi i casi di norme non disponibili (presenti specie in EU) - fatte salve alcune ipotesi di maggior rilievo specificate nel contratto limitazione della responsabilità (riguardano essenzialmente il fornitore) casi di esclusione - ampiezza dei casi di esclusione della responsabilità (più circoscritti in ambito EU) - ipotesi tipizzate: contenuti immessi dal cliente (con clausola di manleva in caso di contenzioso), forza maggiore et similia, interruzione servizio o mancanza di sicurezza - possibilità di indennizzi (es. mancata fruizione del servizio) secondo multipli del costo orario e non in ragione dei danni effettivi limitazione dell'oggetto del contratto - posti in capo al cliente oneri inerenti sicurezza, integrità dei dati, accesso illecito limitazione del danno risarcibile - esclusione responsabilità per danni indiretti - limitazione in ragione di un tetto massimo prefissato in un ammontare determinato (es. 25.000 $) o in un multiplo del corrispettivo pagato per il servizio
Avv. Alessandro Mantelero Confirmed Assistant Professor Department of Production Systems and Business Economics Politecnico di Torino Faculty Fellow-NEXA Center for Internet and Society alessandro.mantelero@polito.it http://staff.polito.it/alessandro.mantelero