C’è chi, come Luca Bolognini, Presidente
dell’Istituto italiano della Privacy, si era spinto a
definire il Cloud Computing come “illegale”, stante
l’allora legislazione. Se ne parlava a febbraio 2011. A
distanza di oltre un anno, non sembra che la situazione sia molto
cambiata.
La tecnologia avanza, ma il diritto arranca. E i temi discussi al
convegno “Cloud Computing e Diritto – Questioni attuali e
sfide future“, organizzato dalla Bocconi in collaborazione
con lo Studio Legale Graziadei e con lo Studio Legale Maschietto
Maggiore confermano un po’ quello che è il sentore comune:
la legislazione sul Cloud ancora non c’è.
Il problema non è facile per i giuristi. Il Cloud porta con sé
problemi di privacy, di sicurezza del dato, contrattualistici.
I paradossi del diritto
E si arriva a situazioni paradossali. “Per adempiere ai
requisiti di sicurezza, nel Cloud si adotta il sistema delle
ridondanze multiple dove il dato è replicato in locazioni
diverse – spiega Aura Bertoni, docente del Dipartimento di
Studi Giuridici della Bocconi -. In questo modo il profilo
multigiurisdizionale del dato viene moltiplicato per tutte le
ridondanze possibili”.
In altre parole, per adempiere a un requisito si corre il rischio
di non rispettarne un altro (dati personali fuori giurisdizione).
I Cloud Provider stanno trovando il mondo di aggirare la
questione ad esempio costruendo i data center in mezzo al
mare, nelle acque internazionali che non essendo un
“paese terzo” (per l’appunto) non deve
sottostare alla direttiva europea sul trattamento dei dati (in
particolare l’articolo 25). Ma è una reale soluzione?
La questione del contratto
Altra questione spinosa: il contratto. "Non è facile
inquadrare a quale tipo appartenga il contratto di Cloud
Computing – spiega Massimo Maggiore, partner dello Studio
Maschietto Maggiore -.Ci sono elementi comuni a vari tipi
contrattuali e comunque non sufficienti a ricondurlo ad uno solo.
La soluzione più agevole è inquadrarlo come contratto atipico a
causa mista. La legge del cloud, al momento, è il
contratto" .
Di conseguenza, quello che fa fede e quanto si scrive nel
contratto. E’ lì il vero contendere. Ma se le grandi
aziende possono fare la voce grossa e hanno studi legali in grado
di entrare nei meandri dei codicilli, le PMI cosa possono fare?
"Al momento sono pochi gli istituti giuridici applicabili
alla tutela delle PMI e la loro applicazione è comunque
difficile e tutt'altro che sistematica – spiega Giuseppe
Rizzo, Partner Graziadei Studio Legale – Si pensi ai divieti di
previsione di clausole di limitazione della responsabilità,
presenti non solo nel diritto italiano, ma anche nella maggior
parte degli ordinamenti stranieri (principalmente Regno Unito e
Stati Uniti) alla cui disciplina i contratti dei maggiori
operatori sono soggetti. Inoltre l'utente PMI potrà tentare
di agire per far valere la nullità o l'inefficacia delle
clausole inique e sbilanciate. In Italia, Germania, Francia
esiste l'istituto dell'abuso di dipendenza economica;
nella Common Law c'è comunque forte attenzione ad evitare
sbilanciamenti eccessivi nelle prestazioni contrattuali fra
l'impresa soggetto debole e l'impresa in posizione di
dominanza relativa".
Quali soluzioni?
Emerge ancora che la legislazione è un passo indietro;
annaspa su concetti e categorie difficilmente applicabili al
Cloud. Per trovare una soluzione bisogna probabilmente
cambiare il punto di vista. Non si tratta di ingabbiare la
tecnologia con vecchie leggi, ma di costruire (con le tecnologie)
il nuovo diritto sulle tecnologie. “Un esempio sono le PET
(Privacy Enhancing Technology) – conclude Bertone . Nel
trattamento del dato quella che in realtà conta è la sua
protezione, non dove è ubicato. Una soluzione già c’è e
sono i sistemi di cifratura”. Facile, no?
