You are on page 1of 7

Aspetti legali e di compliance

del SaaS (Cloud Computing)

Studio Legale
Avv. Stefano Bendandi

http://www.stefanobendandi.com
http://stefanobendandi.blogspot.com
Aspetti legali e di compliance del SaaS (Cloud Computing)

Il software è l'elemento che ha dato sità e contribuendo alla diffusione di un


maggiore impulso alla diffusione ed nuovo modello economico orientato al
evoluzione della scienza informatica, consumo IT.
grazie alle sue doti di strumento capace Tutto ciò a condizione di non sotto-
di semplificare ed automatizzare i pro- valutare le implicazioni connesse con
cessi di trattamento ed elaborazione l'adozione di questo nuovo modello,
delle informazioni. comprese ovviamente quelle di natura
Il suo modello di distribuzione tipico, legale.
basato sulle licenze d'uso, non è, però,
esente da alcune problematiche con-
nesse, in particolar modo, con i costi e LE CARATTERISTICHE DEL SAAS
gli oneri di gestione che ne derivano
(acquisto delle licenze e dell'hardware, Nel SaaS le capacità elaborative e di
costi del personale, installazione, confi- memorizzazione dei dati risiedono nelle
gurazione, aggiornamenti, ecc...). applicazioni offerte da un fornitore, inte-
Già dai primi anni 90, grazie all'av- grate all'interno della sua infrastruttura
vento di Internet e dei primi web brow- IT ed accessibili esternamente attraver-
ser, si tentò di fornire una risposta a so la rete Internet ed una comune inter-
questi problemi, teorizzando sull'evolu- faccia, come quella del web browser.
zione del software come servizio; que- Dal punto di vista dell'utilizzatore finale
sta teoria, come è noto, trovò applica- questo implica:
zione pratica nel modello commerciale • una completa devoluzione del
degli ASP, acronimo di Application Ser- potere di gestione e controllo
vice Provider. della infrastruttura e di risoluzio-
Ormai sono passati diversi anni dalla ne delle problematiche connesse
fine di quel periodo e, tuttavia, lo svilup- (installazioni, configurazioni, ma-
po della banda larga, la maturità rag- nutenzione, storage, ecc...) al le-
giunta dalla rete Internet e l'affermarsi gittimo proprietario;
di modelli di distribuzione dello storage • una riduzione dei costi come
e delle capacità elaborative per supplire risultato della semplificazione od
alle necessità derivanti dalla diffusione eliminazione degli oneri di gestio-
delle tecnologie mobili e dalla crescente ne delle risorse IT;
domanda di flessibilità e dinamicità del- • un conseguente abbattimento
le moderne infrastrutture, hanno riporta- dei rischi connessi con la gestio-
to in auge il dibattito sul software inteso ne IT;
come servizio. • la possibilità di usufruire delle
Questo anche grazie alla notorietà caratteristiche tecnologiche ed
ed al successo del SaaS (Software as evolutive di una infrastruttura
a Service) che rappresenta la nuova esterna, compresa la scalabilità
tendenza evolutiva dell'outsourcing ed ed il supporto della connettività,
è uno dei modelli su cui si basa il para- a sostegno delle esigenze di mo-
digma del cloud computing. bilità aziendale;
Il software diventa, così, un servizio Semplificazione, flessibilità e riduzio-
e l'utente finale è finalmente libero di ne degli oneri economici non possono,
concentrare la sua attenzione sui risul- però, essere visti isolatamente, ma
tati che la tecnologia permette di conse- vanno bilanciati con le maggiori com-
guire, scegliendo tra i servizi soltanto plessità e le problematiche legali che il
quelli più idonei alle proprie reali neces- nuovo modello introduce, e con i costi

Pag. 3
Aspetti legali e di compliance del SaaS (Cloud Computing)

necessari per farvi fronte. vestito della ulteriore responsabilità di


Il titolare dei dati, cioè l'organizzazio- esigere dai suoi fornitori ed outsourcer
ne che li raccoglie e li utilizza, continua l'adozione di misure di sicurezza ed il ri-
infatti ad essere destinatario di ben pre- spetto di garanzie appropriate.
cisi obblighi di compliance, ai quali non Tutto ciò si traduce nell'onere di
può sottrarsi per il semplice fatto di esercitare la dovuta diligenza (due dili-
aver affidato all'esterno la gestione di gence) in tutte le fasi del rapporto; in
alcuni aspetti della propria organizza- primo luogo attraverso una valutazione
zione, mentre il fornitore assume, sem- dei presupposti che permettono l'ado-
mai, la responsabilità di custodia dei zione del SaaS, comprese le caratteri-
dati. stiche del business (natura, necessità,
Inoltre la perdita di controllo determi- limiti, ecc...) ed i vincoli derivanti da leg-
na una condizione di dipendenza che gi, regolamenti, contratti e standard1.
può ingenerare delle vulnerabilità a cui La scelta tra le varie offerte deve es-
contribuiscono anche altri fattori come, sere pertanto orientata in favore di quei
ad esempio, l'accesso privilegiato che fornitori che abbiano l'effettiva capacità
l'outsourcer ed i suoi dipendenti e colla- di soddisfare i requisiti del contesto di
boratori hanno sull'infrastruttura, l'esi- riferimento; ecco, quindi, che diventano
stenza di spazi di condivisione dello rilevanti le indagini sulla compagine
storage e di altre risorse, ecc... aziendale, sulla solidità finanziaria, sul
In questo contesto quindi è essenzia- possesso di certificazioni specifiche,
le che entrambe le parti acquisiscano sull'impiego di personale altamente
una consapevolezza dei rispettivi ruoli e qualificato, sull'adeguatezza qualitativa
responsabilità e la traducano in uno e dimensionale delle infrastrutture IT,
schema contrattuale tale da garantire ecc...
un equo contemperamento dei contrap- In questa fase non si possono, peral-
posti interessi. tro, sottovalutare le problematiche sot-
tese alla localizzazione geografica dei
sistemi cloud, da cui possono scaturire
LE IMPLICAZIONI LEGALI
importanti conseguenze in termini di
legge applicabile.
Purtroppo, a tale proposito, sussisto-
Due diligence no delle oggettive difficoltà di reperi-
mento delle informazioni dovute sia alle
La rilevanza ed il valore che gli asset caratteristiche distribuite del modello
informativi acquistano, non soltanto nei SaaS, sia alle ovvie reticenze da parte
confronti dei terzi (clienti, fornitori, di- dei fornitori, parzialmente giustificabili
pendenti, ecc...) ma per le stesse orga- con il bisogno di sicurezza e di flessibili-
nizzazioni a cui appartengono, trovano tà organizzativa.
ormai un riflesso nelle normative che
impongono obblighi di sicurezza e di Non meno importante, ai fini della
privacy sempre più stringenti a tutela valutazione complessiva, è la negozia-
delle informazioni. zione dei termini del rapporto con la
possibilità di addivenire ad uno schema
Come già anticipato, questi obblighi, contrattuale che garantisca il rispetto
che ricomprendono il dovere di garanti- delle obbligazioni reciproche durante
re l'integrità, la confidenzialità e la di-
sponibilità delle informazioni, gravano 1 Gli standard, come ad esempio l'ISO 27001, creano un
cd. effetto domino, imponendo alle organizzazioni di
principalmente sul titolare che viene in- richiedere ai propri contraenti il rispetto delle medesime
obbligazioni a cui esse sono soggette

Pag. 4
Aspetti legali e di compliance del SaaS (Cloud Computing)

l'intero ciclo di vita, compresa la fase fi- vi rischi o cambiamenti nell'organizza-


nale. zione del fornitore.
Al contrario, invece, l'accettazione
unilaterale delle condizioni predisposte
dal fornitore, oltre a costituire la soluzio- Obblighi di compliance
ne meno flessibile, è anche quella che
presenta il maggior numero di rischi dal Sicurezza informatica
punto di vista legale.
Nel momento in cui gli asset informa-
Questo lascia intendere anche l'im- tivi appartenenti ad una organizzazione
portanza che ricoprono i Service Level diventano oggetto dei processi di elabo-
Agreement (SLA), ossia gli accordi con razione di una infrastruttura esterna, l'e-
i quali si stabiliscono una serie di para- sigenza di conformità agli obblighi im-
metri tecnici, oggettivi e misurabili, che posti da leggi (es. d.lgs. 196/03), rego-
incidono sulle modalità di erogazione lamenti, contratti e standard (es. PCI
della prestazione (uptime, tempi di ri- DSS, ISO 27001, ecc...) si traduce sul
sposta, metriche di servizio varie, come piano pratico nell'adozione, da parte
il periodo di operatività del servizio tec- degli stessi fornitori, delle misure di si-
nico, il tempo di presa in carico o di cor- curezza tecniche, fisiche ed organizzati-
rezione degli eventuali errori o malfun- ve idonee2 a tutelare la riservatezza,
zionamenti, ecc...). l'integrità e la disponibilità delle informa-
Infine, la due diligence presuppone zioni custodite.
l'esplicazione di controlli diretti a: Purtroppo nella maggior parte dei
• valutare la conformità delle pre- casi i livelli di protezione offerti, oltre ad
stazioni ai termini ed alle condi- essere definiti in modo unilaterale, sono
zioni stabilite; piuttosto basilari; in questo modo i forni-
• identificare le eventuali proble- tori riescono a mantenere il controllo e
matiche ed i rischi che insorgono la flessibilità organizzativa necessari ed
nel corso del rapporto; a garantirsi la possibilità di praticare ca-
• supportare la prova dell'esercizio noni di mercato competitivi che sareb-
della diligenza attraverso una be, invece, preclusa dai costi di una si-
idonea documentazione; curezza “personalizzata”.
Le modalità di esercizio di tali con- Dato che le misure di sicurezza “mi-
trolli hanno una rilevanza diretta sia nel- nime” non possono realisticamente co-
la fase negoziale che nel corso del rap- prire tutte le necessità di una moderna
porto. organizzazione, lo squilibrio che si vie-
ne a creare deve essere attentamente
Nel primo caso, infatti, andranno pat-
ponderato e, possibilmente, mitigato o
tuite delle clausole che prevedano il di-
sanato attraverso altri rimedi (es. nego-
ritto di condurre degli audit ad intervalli
ziazione, clausole contrattuali, livelli di
periodici, mentre nel secondo gli audit
servizio, ecc...).
potranno essere realizzati, a seconda
delle esigenze, attraverso attività di mo- Parlando di sicurezza è giusto poi af-
nitoraggio, test od aggiornamento; ad frontare la questione degli incidenti che
esempio, controlli sulla corretta applica- richiede una preparazione ed una coo-
zione delle misure di sicurezza, ade- perazione tra le parti nella predisposi-
guamenti ai requisiti imposti da nuove zione e nell'attuazione di un piano di
leggi, oppure modifiche delle policies gestione diretto a garantire una risposta
dettate dall'esigenza di far fronte a nuo-
2 Si intende in base ad una analisi del rischio

Pag. 5
Aspetti legali e di compliance del SaaS (Cloud Computing)

tempestiva ed efficace nei confronti del- ed incompatibili con quelle per le


le varie tipologie di eventi verificabili. quali gli interessati hanno mani-
Secondariamente, ma non certo per festato il loro consenso;
importanza, c'è il problema della re- • il fornitore dovrebbe garantire il
sponsabilità del fornitore: da questo rispetto delle misure di sicurezza
punto di vista l'eventuale sua disponibi- specificate dal titolare e quest'ul-
lità ad assumere contrattualmente il ri- timo dovrebbe essere messo in
schio delle violazioni va interpretata condizione di esercitare un con-
come un segnale molto positivo sulla trollo sull'operato del primo;
sua affidabilità complessiva. • dovrebbero essere adottate delle
Nella prassi, però, prevale l'orienta- procedure per consentire agli in-
mento contrario di cui sono spesso ma- teressati l'esercizio dei diritti di
nifestazione le clausole di esonero da accesso, modifica e cancellazio-
responsabilità, ambigue e dal contenuto ne dei propri dati;
poco chiaro, alle quali è bene prestare Ulteriore aspetto è quello concernen-
sempre la massima attenzione. te il divieto di trasferimento dei dati per-
sonali in paesi al di fuori della comunità
Protezione dei dati personali Europea che non offrono un livello di tu-
tela delle persone adeguato; la rigorosa
osservanza di questo vincolo di natura
Nell'ambito territoriale dello spazio generale può:
economico europeo i titolari di dati per- • impattare sulla scelta del fornito-
sonali hanno, già da tempo3, l'obbligo di re, imponendo una attenta verifi-
garantirne la riservatezza, l'integrità e la ca che l'affidamento dei dati per-
disponibilità, cui si aggiunge quello di sonali non implichi, di fatto, una
soddisfare integralmente le scelte mani- violazione dei requisiti di legge;
festate dai singoli ai quali si riferiscono i
dati trattati4. • richiedere che il fornitore assu-
ma contrattualmente l'obbligo di
L'applicazione delle prescrizioni della non trasferire i dati all'esterno
direttiva europea sulla protezione dei della propria infrastruttura, se
dati personali5 può produrre alcune non previa garanzia di conformi-
conseguenze significative nell'ambito tà con le disposizioni vigenti;
delle architetture di cloud computing:
Si tratta comunque di questioni che
• esiste la possibilità che il fornito- sfuggono ad una immediata percezione
re debba ricoprire il ruolo di re- e comprensione, anche in considerazio-
sponsabile del trattamento relati- ne delle caratteristiche di ridondanza e
vamente ai dati che gli sono affi- distribuzione delle architetture cloud ri-
dati in custodia6; chieste per far fronte alle inevitabili esi-
• i dati personali non possono es- genze di continuità operativa e disaster
sere trattati per finalità diverse recovery.

3 E precisamente, sin dal termine per l'attuazione della


direttiva 95/46 sulla tutela delle persone fisiche con Business continuity
riguardo al trattamento dei dati personali
4 Tra queste rientra la possibilità che gli interessati hanno La protezione delle informazioni ab-
di acconsentire al trattamento dei propri dati soltanto per
determinate finalità braccia anche il profilo della loro dispo-
5 Che non può essere esclusa a priori per il solo fatto che nibilità, il che si traduce nella necessità
il fornitore abbia sede in un paese posto al di fuori dello
spazio economico europeo per i titolari di assicurare la continuità
6 Questo significa altresì che ci deve essere un atto delle operazioni e l'accesso ai dati, a
formale di designazione ed accettazione dell'incarico

Pag. 6
Aspetti legali e di compliance del SaaS (Cloud Computing)

prescindere da dove essi siano effetti- luzione del contratto, la riorganizzazio-


vamente memorizzati. ne od il fallimento del fornitore, ecc...
Questo vuol dire, innanzitutto, accer- L'insidia maggiore in questi casi è
tare che l'infrastruttura SaaS sia in gra- che si tratta di eventi che possono
do di soddisfare le reali esigenze di bu- creare incertezza o confusione, indu-
siness continuity e disaster recovery e, cendo una condizione di vulnerabilità
successivamente, supportare adegua- per i dati derivante dal fatto che il titola-
tamente queste esigenze attraverso la re si trova nella necessità di reclamarne
previsione di garanzie contrattuali. la restituzione o la completa distruzione
In linea di massima il ricorso ad am- (nel caso in cui essi non siano più ne-
bienti cloud andrebbe comunque esclu- cessari).
so nel caso di dati per i quali sussistano Purtroppo, però, alcuni ostacoli pos-
esigenze di disponibilità del tipo 24x7- sono frapporsi all'accoglimento di que-
x365. ste legittime richieste come, ad esem-
pio, il tentativo del fornitore di ritardarne
la restituzione, nella speranza di acqui-
Titolarità delle informazioni e sire maggiori introiti, l'impossibilità di
proprietà intellettuale una cancellazione immediata per effetto
di vincoli posti da leggi locali, o, addirit-
Le informazioni generate e gestite at- tura, l'oggettiva difficoltà di poter indivi-
traverso i sistemi cloud, specie se rela- duare i dati di pertinenza nell'ambito
tive a processi di business, possono in- dello spazio di risorse condivise sulle
cludere risorse di natura confidenziale, quali si basa l'infrastruttura ospite.
strategica o addirittura critica ai fini del-
Ancora una volta, la strategia miglio-
l'operatività e della competitività azien-
re è quella di anticipare l'insorgere di
dale.
eventuali problemi attraverso la predi-
E' quindi necessario assicurarsi di sposizione di procedure alle quali atte-
conservare la titolarità dei propri asset nersi e l'inclusione nel contratto di clau-
e, soprattutto, di proteggerli mediante sole chiare e dettagliate che preveda-
clausole di riservatezza, salvaguardia o no, possibilmente, penali dirette a scon-
rivendicazione dei diritti di proprietà in- giurare atteggiamenti di ritardo nell'a-
tellettuale, propri o di terzi affiliati. dempimento degli obblighi di restituzio-
Anzi in questa prospettiva ci può es- ne o cancellazione dei dati stessi.
sere un interesse, più che legittimo, a li-
mitare l'accesso anche ai cd. metadati7,
impedendone utilizzi secondari (es.
marketing, ricerche di mercato, ecc...).

Cessazione del rapporto


Dato che la fornitura di servizi SaaS
si basa su rapporti di natura contrattua-
le, essa può cessare in qualsiasi mo-
mento per una serie di eventi, tra cui il
mancato rinnovo alla scadenza, la riso-

7 Ad esempio informazioni sul volume dei dati scambiato


o generato

Pag. 7