Profili legali e contrattuali
A cura di:
Gabriele Faggioli, legale – Partner ISL – Adjunct Professor MIP-Politecnico di Milano
Lo sviluppo dei servizi It offerti in modalità ‘Cloud’ è stata negli ultimi mesi è stata impetuosa e sta facendo conoscere alle aziende e alle pubbliche amministrazioni un nuovo modo di affrontare la variabile contrattuale.
Infatti, negli ultimi anni, gli acquirenti di prodotti e servizi informatici sono stati abituati a un modello ormai ‘classico’ che si caratterizza per la necessità di stipulare, nell’ottica di fare realizzare e poi gestire un sistema informativo, una serie di diversi contratti e, in particolare (in tutto o in parte):
- Un contratto di licenza d’uso software, scegliendo poi fra soluzioni commerciali o c.d. open source
- Un contratto di manutenzione delle licenze, tipicamente ‘agganciato’ al contratto di licenza d’uso
- Un contratto di ‘approvvigionamento’ hardware, che potrà poi essere una compravendita, una locazione o le altre formule oggi proposte dai vendor
- Un contratto di implementazione, strumentale alla installazione, parametrizzazione e personalizzazione del sistema informativo e che tipicamente si inquadra come contratto di appalto
- Un contratto di assistenza e manutenzione tipicamente successivo al go-live e, a seconda del suo oggetto, al periodo di garanzia previsto dal contratto di implementazione
- Un eventuale successivo contratto di outsourcing, tipicamente contratto di appalto, che generalmente rappresenta la terziarizzazione della gestione di un sistema informativo dopo che lo stesso sia stato realizzato.
Le singole prestazioni contrattuali sopra indicate possono teoricamente essere assorbite in uno o più contratti (contratti misti o complessi), e ciò a seconda dell’interesse delle parti a giungere o meno a un rapporto contrattuale il più possibile semplificato e, notoriamente, le singole prestazioni contrattuali possono essere agganciate a obbligazioni di mezzi o obbligazioni di risultato, scelta che in genere discende dall’equilibrio che viene raggiunto in sede negoziale.
In tutta evidenza si tratta di un complesso contrattuale molto articolato che pretende uno sforzo sia negoziale che poi gestionale importate, in quanto ognuna delle tipologie contrattuali sopra indicate ha una serie di caratteristiche e criticità peculiari che devono essere conosciute, valutate e verificate nel corso del tempo.
In particolare, rispetto al tema dell’outsourcing, esistono una serie di caratteristiche che i contratti che ne vanno a regolamentare l’assetto ormai tipicamente devono possedere e che di fatto, in ultima istanza, portano a una relazione caratterizzata dall’essere ‘ricamata’ sulle esigenze del cliente e sulla sua ‘visione’ della relazione di sourcing, dove l’esperienza, il know how e l’organizzazione del fornitore, essenziali, devono però sposarsi con le istanze del cliente.
Analizzando le fasi tipiche dell’affidamento a un terzo della gestione di un sistema informativo (Figura 1), e in particolare le fasi che sostanziano la definizione dell’assetto di gestione del sistema informativo aziendale (Figura 1), è facile infatti osservare come le attività legali previste per ognuna delle attività che occorrerà effettuare durante la ‘definizione dell’assetto’, e quindi prima della stipula del contratto con il fornitore, sono caratterizzate per essere tipicamente guidate dal cliente che deve giungere a un accordo con il fornitore che sia – per quanto possibile – la perfetta fusione fra il modello di delivery del fornitore e le istanze del cliente.
Il modello cloud ribalta la prospettiva, e infatti, moltissime delle caratteristiche e criticità contrattuali del modello ‘classico’ nell’erogazione di servizi informatici possono considerarsi assenti o fortemente ridimensionate come è possibile verificare analizzando la Figura 2.
Si sottolinea in particolare:
– La differenza fra modello ‘classico’ e cloud in relazione al tema della necessità di costruire una contrattualistica ‘ricamata’ sulle esigenze del servizio/progetto e quindi del cliente, presente nel modello classico e non nel modello ‘cloud’, dove, tipicamente, per sfruttare le economie di scale dovrebbe essere il cliente a ‘sposare’ l’istanza del fornitore.
– La caratteristica di certezza alla stipula del contratto di ciò che un cliente compra nel mondo cloud, laddove invece nel modello ‘classico’ si assiste alla stipula di contratti ampiamente caratterizzati da indeterminatezza di taluni aspetti dell’oggetto contrattuale, con rinvio a momenti successivi per la loro identificazione.
– L’esistenza, nel modello ‘classico’, di molti momenti negoziali che comportano la necessità di seguire in maniera costante nel tempo non solo l’erogazione del servizio da parte di un fornitore, ma anche la relazione contrattuale in sé e per sé.
Nella Figura 3 sono indicate altre differenze che esistono fra il modello ‘classico’ e il modello cloud dove la prospettiva è quella invece del modello innovativo di erogazione di servizi informatici con evidenza delle differenze che caratterizzano il modello ‘classico’ rispetto al secondo.
Si noti in particolare la rilevanza, nel modello cloud:
– Dell’avere un contratto unico con un fornitore contro invece la necessità di stipulare molti contratti con in genere diversi fornitori nel modello ‘classico’, che rende la relazione estremamente semplificata
– L’assenza, generalmente, di una componente ‘licenza d’uso’ con quindi semplificazione della relazione rispetto al tema della proprietà intellettuale
– L’assenza, se non come fase di start-up, di una componente di ‘implementazione’, con tendenziale assenza di tutti i temi critici che tipicamente impattano su un momento antecedente alla gestione terziarizzata del sistema informativo, ma di cui ne rappresentano un momento necessariamente propedeutico
– La tendenziale rigidità dei fornitori a una personalizzazione del contratto o del servizio rispetto a un singolo cliente. Questo elemento appare essere quello veramente distintivo rispetto al modello ‘classico’ dove, se si escludono i contratti di licenza d’suo (tipicamente rigidissimi) è ormai assolutamente usuale negoziare partendo da modellistiche contrattuali proposte direttamente dai clienti.
È interessante notare come (Figura 4 – fonte Osservatori Politecnico di Milano – 2011) su un campione di 168 organizzazioni ci sia stata, in sede di trattativa precontrattuale su rapporti cloud, una attenzione notevole (e una disponibilità del fornitore a negoziare) su taluni tempi quali:
– Le garanzie di riservatezza e sicurezza, tipico elemento sul quale l’attenzione dei clienti è altissima per evidenti motivi normativi di cui parleremo in seguito.
– I livelli di servizio, facendo quindi anche tesoro dell’esperienza maturata in altri rapporti quali, tipicamente, l’outsourcing.
Mentre, al contrario, si è registrata una maggiore resistenza a negoziare da parte dei fornitori su temi quali:
– Le penali, potenzialmente rendendo vano se non in ottica di risoluzione del contratto, il sistema di livelli di servizio
– La limitazione di responsabilità, probabilmente perché molti fornitori sono di derivazione anglosassone con estrema rigidità a concedere ampie responsabilizzazioni (perlomeno nei limiti in cui la responsabilità sia limitabile ex articolo 1229 c.c.)
– I diritti di recesso anticipato da parte del fornitore che tipicamente sono previsti in questi contratti e che, essendo tipicamente appalti, non vedono nel nostro ordinamento giuridico un diritto per il fornitore di poter recedere anticipatamente dovendosi quindi negoziare clausole ad hoc.
A completamento di questa breve disamina della differenza fra modello ‘classico’ e modello cloud di acquisto di servizi informatici, si ritiene interessante sottolineare come il Garante per la protezione dei dati personali nel corso del mese di giugno 2012 hapubblicato una ‘
Mini guida per imprese e pubblica amministrazione’ avente a oggetto il cloud computing e con l’eloquente sottotiolo ‘
Proteggere i dati per non cadere dalle nuvole’. Obiettivo del Garante è stato quello di offrire alcune indicazioni valide per tutti gli utenti, in particolare imprese e amministrazioni pubbliche e di far quindi “riflettere su alcuni importanti aspetti giuridici, economici e tecnologici in un settore in velocissima espansione e di promuovere un utilizzo corretto delle nuove modalità di erogazione dei servizi informatici”. Senza entrare nel merito del panorama del mercato dei servizi di cloud computing che il Garante propone ai lettori, è interessante partire dal paragrafo ‘
La sfida internazionale’. Infatti, prendendo atto della non adeguatezza delle attuali normative, il Garante ribadisce che “Un importante cambiamento per tutto il settore delle comunicazioni elettroniche, e del cloud computing in particolare, dovrebbe avvenire entro il 2014, con l’approvazione del nuovo Regolamento generale sulla protezione dei dati (Com 2012 11 def) proposto dalla Commissione Europea. Il nuovo Regolamento introdurrà identiche regole in Europa e nei confronti
di Stati terzi (riscrivendo quindi anche il Codice della privacy italiano)”.
Quindi, un sostanziale rinvio di almeno un anno e mezzo prima di poter avere un minimo di quadro d’insieme giuridico del problema.
Tra gli altri elementi sottoposti all’attenzione del lettore, e in particolare il decalogo conclusivo cui si rimanda, si ritiene utile evidenziare quelli che sono stati i ‘consigli operativi’ che il Garante ha sottoposto ad aziende e pubbliche amministrazioni, e cioè quelle verifiche preliminari che chi intende percorrere l’ipotesi di acquisto di servizi informativi in modalità cloud dovrebbe porre in essere.
Di particolare rilevanza, tra le altre, si sottolinea:
– L’esigenza, per il Garante, di sapere prima di stipulare il contratto chi sia il reale fornitore del servizio
– l’importanza di sapere se i dati possono essere persi o distrutti
– conoscere i tempi di ripristino del servizio
– verificare la responsabilizzazione contrattuale del fornitore.
Alla luce di quanto sopra appare quanto mai rilevante affrontare un percorso di valutazione di stipula di un contratto di servizi cloud avendo ben presente sia le tematiche e le criticità contrattuali che necessariamente devono essere affrontate per poter garantire alla propria azienda un adeguato livello di sicurezza, sia informatica che di business, sia le problematiche di natura legale che, se non adeguatamente gestite, potrebbero portare a sanzioni anche di rilevante importanza.
