Analizzare e valutare dal punto di vista legale un modello di contratto avente come oggetto un servizio di cloud computing è un’operazione tutt’altro che semplice, sia perché richiede il possesso di specifiche competenze in ambito giuridico-informatico, sia perché la negoziazione di un servizio (e quindi la definizione di Sla – Service level agreement) di questo genere si differenzia radicalmente rispetto alle tradizionali modalità di contrattualizzazione e acquisizione di servizi informatici.
Le riflessioni che seguono certamente non vogliono, né possono, essere esaustive rispetto a una tematica che richiederebbe una trattazione molto più ampia, ma mirano a evidenziare alcuni degli elementi da considerare con attenzione nel momento in cui l’azienda inizi a valutare l’adozione di un servizio cloud.
Contratto per i servizi cloud computing, consigli preliminari
In ragione delle caratteristiche proprie dei servizi di cloud computing – specie laddove, come tipicamente avviene nelle ipotesi di “public cloud”, una pluralità indistinta di utenti si trovi a fruire in condivisione delle risorse applicative ed infrastrutturali del provider – la prassi contrattuale che già da alcuni anni si è andata consolidando sul mercato presenta, infatti, talune criticità che è utile conoscere e vagliare attentamente, in sede di valutazione e scelta del servizio più adatto alle esigenze aziendali e di business, di selezione del provider e di successiva contrattualizzazione del servizio.
In primo luogo, tra le più diffuse problematicità presenti nella maggior parte degli accordi di servizio proposti al mercato dai cloud provider assume particolare rilievo la marcata asimmetria che caratterizza i rapporti contrattuali tra il cloud provider e il cloud customer, il quale si trova per lo più a decidere se aderire o meno a condizioni di contratto che sono unilateralmente predisposte dal provider, a fronte delle quali il potere negoziale dell’utente del servizio è scarso o addirittura nullo.
Se, infatti, le imprese di grandi dimensioni, stante anche l’importanza economica dei contratti da negoziarsi, hanno talora una qualche possibilità di richiedere e ottenere, se non contratti “tailor made”, per lo meno deroghe più o meno importanti rispetto alla contrattualistica standard del provider, non altrettanto – e per ovvi motivi – accade con piccoli contraenti del tutto privi di peso negoziale specifico, i quali si troveranno a decidere se “prendere o lasciare” un servizio a condizioni unilateralmente imposte.
In generale, tuttavia, a differenza di quanto avviene in relazione ad altre forme di esternalizzazione (si pensi, ad esempio, ai contratti relativi ai servizi di outsourcing), anche per le grandi aziende riuscire a contrattare il contenuto di ciascuna singola previsione dell’accordo di servizio, approdando a un esito negoziale notevolmente divergente rispetto al modello contrattuale di partenza – comunque proposto dal fornitore – è, di fatto, impossibile.
Ecco perché è impensabile approcciare il contratto e le trattative con il fornitore con la prospettiva relazionale, le modalità di negoziazione, gli schemi e le dinamiche contrattuali tipiche dello stretto rapporto intercorrente tra cliente e fornitore nel modello classico di acquisto in ambito IT.
Comprendere il reale contenuto dell’accordo oggetto di negoziazione
Risulta, quindi, sotto questo profilo, di fondamentale importanza comprendere il reale contenuto dell’accordo oggetto di negoziazione sotto i molteplici profili in rilievo (tecnici, giuridici, di sicurezza, di compliance normativa, ecc.) e, infine, prevedere e ponderare le ricadute concrete delle previsioni contrattuali sui processi aziendali, anche sotto il profilo della valutazione dei rischi connessi ad indisponibilità, malfunzionamenti del servizio o violazioni accidentali o volontarie dei dati trattati.
A ciò si aggiunga poi, la ricorrenza, negli accordi di servizio, di clausole fortemente sbilanciate in favore del fornitore e, viceversa, particolarmente penalizzanti nei confronti dell’utente del servizio, che comportano uno squilibro dell’assetto negoziale e della ripartizione tra i rispettivi diritti ed obblighi gravanti in capo alle parti (si pensi, ad esempio, a clausole quali la limitazione di responsabilità, il diritto di modifica unilaterale del servizio, l’esclusione di garanzie, ecc.).
Un ulteriore fattore di complicazione potrebbe inoltre esser dato dalla complessità della struttura contrattuale, spesso articolata in una molteplicità di documenti distinti, con la conseguente difficoltà a ricostruire e definire con precisione l’insieme delle obbligazioni che gravano su ciascuna delle parti.
Un’analisi dei modelli contrattuali adottati da alcuni dei principali fornitori di servizi cloud rivela, infatti, un’impostazione della contrattualistica che risente ancora fortemente del fatto che taluni grandi provider sono nati come fornitori di soluzioni software on premise, sviluppando solo successivamente il proprio business nella direzione dei servizi fruibili online.
Conseguentemente, in alcuni casi, la contrattualizzazione di un servizio di cloud computing prevede la necessaria sottoscrizione di un insieme articolato di testi (spesso nella forma di accordo quadro applicabile al complesso dei rapporti tra le parti, corredato da una serie di contratti applicativi riferiti ai singoli servizi offerti), talora contenenti al proprio interno previsioni sovrapponibili o parzialmente difformi, mediante il quale il provider tende a disciplinare sia le condizioni di licensing on premise che le condizioni dei servizi offerti online.
Servizi facilmente attivabili e disattivabili, ma contratti complessi
Ciò comporta, in capo all’utente, un notevole sforzo pre-negoziale, in termini di ricostruzione dell’intera impalcatura contrattuale applicabile ai servizi di proprio interesse, nonché di definizione della gerarchia contrattuale che presiede ai rapporti tra i testi considerati.
In ogni caso, anche quando l’offerta del provider preveda esclusivamente la fornitura di servizi cloud – e non si pongano, quindi, problemi di successive stratificazioni di testi originariamente concepiti in relazione all’ambito on premise e successivamente riadattati – la struttura contrattuale viene solitamente articolata in una pluralità di testi contrattuali. Tipicamente, infatti, le condizioni generali di fornitura, la disciplina delle specifiche tecniche e dei livelli di servizio e le modalità di trattamento dei dati vengono disciplinate rispettivamente in specifici e distinti documenti contrattuali.
A dispetto, quindi, delle caratteristiche di semplificazione, scalabilità e rapidità di attivazione e disattivazione del servizio – pubblicizzate generalmente come elementi di forza delle tecnologie di cloud computing – la struttura contrattuale che tale servizio disciplina risulta, in molti casi, decisamente sovrabbondante e richiede un importante impegno precontrattuale e negoziale, rendendo opportuno, in ipotesi di contrattualizzazione di servizi particolarmente strategici per l’azienda, un adeguato supporto legale.
A rendere ancor più difficoltoso tale compito di ricostruzione dell’intera struttura contrattuale e, conseguentemente, dell’esatto contenuto delle prestazioni che ne costituiscono l’oggetto, contribuisce il fatto che non infrequentemente gli accordi di servizio contengono al proprio interno una serie di richiami URL che rimandano per relationem a testi diversi e ulteriori, che divengono comunque vincolanti a tutti gli effetti nei confronti del cloud customer.
Molto spesso, inoltre, le pagine web linkate dall’indirizzo URL indicato nell’accordo contengono il complesso della contrattualistica proposta dal provider in relazione a tutti i servizi da esso offerti, con la conseguenza che l’utente sarà gravato dell’ulteriore onere di ricercare ed identificare i moduli contrattuali applicabili allo specifico servizio di proprio interesse.
In conclusione, il ricorso al cloud richiede un mutamento di prospettiva e di forma mentis rispetto alla contrattualizzazione tradizionale che, preso atto della diversità dei rapporti di forza che caratterizza l’offerta generalizzata di un servizio “preconfezionato”, si fondi un un’attenta analisi delle criticità, nella prospettiva di valutazione e mitigazione dei possibili rischi, piuttosto che sulla pretesa di riuscire a ottenere dal provider consistenti deroghe rispetto alla politica contrattuale e di servizio da questi diffusamente attuata sul mercato.
