Aspetti legali e di compliance

del SaaS (Cloud Computing)

Studio Legale
Avv. Stefano Bendandi

http://www.stefanobendandi.com
http://stefanobendandi.blogspot.com
 Aspetti legali e di compliance del SaaS (Cloud Computing)
Il software è l'elemento che ha dato
maggiore impulso alla diffusione ed
evoluzione della scienza informatica,
grazie alle sue doti di strumento capace
di semplificare ed automatizzare i pro-
cessi di trattamento ed elaborazione
delle informazioni.
Il suo modello di distribuzione tipico,
basato sulle licenze d'uso, non è, però,
esente da alcune problematiche con-
nesse, in particolar modo, con i costi e
gli oneri di gestione che ne derivano
(acquisto delle licenze e dell'hardware,
costi del personale, installazione, confi-
gurazione, aggiornamenti, ecc...).
Già dai primi anni 90, grazie all'av-
vento di Internet e dei primi web brow-
ser, si tentò di fornire una risposta a
questi problemi, teorizzando sull'evolu-
zione del software come servizio; que-
sta teoria, come è noto, trovò applica-
zione pratica nel modello commerciale
degli ASP, acronimo di Application Ser-
vice Provider.
Ormai sono passati diversi anni dalla
fine di quel periodo e, tuttavia, lo svilup-
po della banda larga, la maturità rag-
giunta dalla rete Internet e l'affermarsi
di modelli di distribuzione dello storage
e delle capacità elaborative per supplire
alle necessità derivanti dalla diffusione
delle tecnologie mobili e dalla crescente
domanda di flessibilità e dinamicità del-
le moderne infrastrutture, hanno riporta-
to in auge il dibattito sul software inteso
come servizio.
Questo anche grazie alla notorietà
ed al successo del SaaS (Software as
a Service) che rappresenta la nuova
tendenza evolutiva dell'outsourcing ed
è uno dei modelli su cui si basa il para-
digma del cloud computing.
Il software diventa, così, un servizio
e l'utente finale è finalmente libero di
concentrare la sua attenzione sui risul-
tati che la tecnologia permette di conse-
guire, scegliendo tra i servizi soltanto
quelli più idonei alle proprie reali neces-
sità e contribuendo alla diffusione di un
nuovo modello economico orientato al
consumo IT.
Tutto ciò a condizione di non sotto-
valutare le implicazioni connesse con
l'adozione di questo nuovo modello,
comprese ovviamente quelle di natura
legale.
LE CARATTERISTICHE DEL SAAS
Nel SaaS le capacità elaborative e di
memorizzazione dei dati risiedono nelle
applicazioni offerte da un fornitore, inte-
grate all'interno della sua infrastruttura
IT ed accessibili esternamente attraver-
so la rete Internet ed una comune inter-
faccia, come quella del web browser.
Dal punto di vista dell'utilizzatore finale
questo implica:
• una completa devoluzione del
potere di gestione e controllo
della infrastruttura e di risoluzio-
ne delle problematiche connesse
(installazioni, configurazioni, ma-
nutenzione, storage, ecc...) al le-
gittimo proprietario;
• una riduzione dei costi come
risultato della semplificazione od
eliminazione degli oneri di gestio-
ne delle risorse IT;
• un conseguente abbattimento
dei rischi connessi con la gestio-
ne IT;
• la possibilità di usufruire delle
caratteristiche tecnologiche ed
evolutive di una infrastruttura
esterna, compresa la scalabilità
ed il supporto della connettività,
a sostegno delle esigenze di mo-
bilità aziendale;
Semplificazione, flessibilità e riduzio-
ne degli oneri economici non possono,
però, essere visti isolatamente, ma
vanno bilanciati con le maggiori com-
plessità e le problematiche legali che il
nuovo modello introduce, e con i costi
Pag. 3
Aspetti legali e di compliance del SaaS (Cloud Computing)
necessari per farvi fronte.
Il titolare dei dati, cioè l'organizzazio-
ne che li raccoglie e li utilizza, continua
infatti ad essere destinatario di ben pre-
cisi obblighi di compliance, ai quali non
può sottrarsi per il semplice fatto di
aver affidato all'esterno la gestione di
alcuni aspetti della propria organizza-
zione, mentre il fornitore assume, sem-
mai, la responsabilità di custodia dei
dati.
Inoltre la perdita di controllo determi-
na una condizione di dipendenza che
può ingenerare delle vulnerabilità a cui
contribuiscono anche altri fattori come,
ad esempio, l'accesso privilegiato che
l'outsourcer ed i suoi dipendenti e colla-
boratori hanno sull'infrastruttura, l'esi-
stenza di spazi di condivisione dello
storage e di altre risorse, ecc...
In questo contesto quindi è essenzia-
le che entrambe le parti acquisiscano
una consapevolezza dei rispettivi ruoli e
responsabilità e la traducano in uno
schema contrattuale tale da garantire
un equo contemperamento dei contrap-
posti interessi.
LE IMPLICAZIONI LEGALI
Due diligence
La rilevanza ed il valore che gli asset
informativi acquistano, non soltanto nei
confronti dei terzi (clienti, fornitori, di-
pendenti, ecc...) ma per le stesse orga-
nizzazioni a cui appartengono, trovano
ormai un riflesso nelle normative che
impongono obblighi di sicurezza e di
privacy sempre più stringenti a tutela
delle informazioni.
Come già anticipato, questi obblighi,
che ricomprendono il dovere di garanti-
re l'integrità, la confidenzialità e la di-
sponibilità delle informazioni, gravano
principalmente sul titolare che viene in-
Pag. 4
vestito della ulteriore responsabilità di
esigere dai suoi fornitori ed outsourcer
l'adozione di misure di sicurezza ed il ri-
spetto di garanzie appropriate.
Tutto ciò si traduce nell'onere di
esercitare la dovuta diligenza (due dili-
gence) in tutte le fasi del rapporto; in
primo luogo attraverso una valutazione
dei presupposti che permettono l'ado-
zione del SaaS, comprese le caratteri-
stiche del business (natura, necessità,
limiti, ecc...) ed i vincoli derivanti da leg-
gi, regolamenti, contratti e standard1.
La scelta tra le varie offerte deve es-
sere pertanto orientata in favore di quei
fornitori che abbiano l'effettiva capacità
di soddisfare i requisiti del contesto di
riferimento; ecco, quindi, che diventano
rilevanti le indagini sulla compagine
aziendale, sulla solidità finanziaria, sul
possesso di certificazioni specifiche,
sull'impiego di personale altamente
qualificato, sull'adeguatezza qualitativa
e dimensionale delle infrastrutture IT,
ecc...
In questa fase non si possono, peral-
tro, sottovalutare le problematiche sot-
tese alla localizzazione geografica dei
sistemi cloud, da cui possono scaturire
importanti conseguenze in termini di
legge applicabile.
Purtroppo, a tale proposito, sussisto-
no delle oggettive difficoltà di reperi-
mento delle informazioni dovute sia alle
caratteristiche distribuite del modello
SaaS, sia alle ovvie reticenze da parte
dei fornitori, parzialmente giustificabili
con il bisogno di sicurezza e di flessibili-
tà organizzativa.
Non meno importante, ai fini della
valutazione complessiva, è la negozia-
zione dei termini del rapporto con la
possibilità di addivenire ad uno schema
contrattuale che garantisca il rispetto
delle obbligazioni reciproche durante
1 Gli standard, come ad esempio l'ISO 27001, creano un
cd. effetto domino, imponendo alle organizzazioni di
richiedere ai propri contraenti il rispetto delle medesime
obbligazioni a cui esse sono soggette
 Aspetti legali e di compliance del SaaS (Cloud Computing)
l'intero ciclo di vita, compresa la fase fi-
nale.
Al contrario, invece, l'accettazione
unilaterale delle condizioni predisposte
dal fornitore, oltre a costituire la soluzio-
ne meno flessibile, è anche quella che
presenta il maggior numero di rischi dal
punto di vista legale.
Questo lascia intendere anche l'im-
portanza che ricoprono i Service Level
Agreement (SLA), ossia gli accordi con
i quali si stabiliscono una serie di para-
metri tecnici, oggettivi e misurabili, che
incidono sulle modalità di erogazione
della prestazione (uptime, tempi di ri-
sposta, metriche di servizio varie, come
il periodo di operatività del servizio tec-
nico, il tempo di presa in carico o di cor-
rezione degli eventuali errori o malfun-
zionamenti, ecc...).
Infine, la due diligence presuppone
l'esplicazione di controlli diretti a:
• valutare la conformità delle pre-
stazioni ai termini ed alle condi-
zioni stabilite;
• identificare le eventuali proble-
matiche ed i rischi che insorgono
nel corso del rapporto;
• supportare la prova dell'esercizio
della diligenza attraverso una
idonea documentazione;
Le modalità di esercizio di tali con-
trolli hanno una rilevanza diretta sia nel-
la fase negoziale che nel corso del rap-
porto.
Nel primo caso, infatti, andranno pat-
tuite delle clausole che prevedano il di-
ritto di condurre degli audit ad intervalli
periodici, mentre nel secondo gli audit
potranno essere realizzati, a seconda
delle esigenze, attraverso attività di mo-
nitoraggio, test od aggiornamento; ad
esempio, controlli sulla corretta applica-
zione delle misure di sicurezza, ade-
guamenti ai requisiti imposti da nuove
leggi, oppure modifiche delle policies
dettate dall'esigenza di far fronte a nuo-
vi rischi o cambiamenti nell'organizza-
zione del fornitore.
Obblighi di compliance
Sicurezza informatica
Nel momento in cui gli asset informa-
tivi appartenenti ad una organizzazione
diventano oggetto dei processi di elabo-
razione di una infrastruttura esterna, l'e-
sigenza di conformità agli obblighi im-
posti da leggi (es. d.lgs. 196/03), rego-
lamenti, contratti e standard (es. PCI
DSS, ISO 27001, ecc...) si traduce sul
piano pratico nell'adozione, da parte
degli stessi fornitori, delle misure di si-
curezza tecniche, fisiche ed organizzati-
ve idonee2 a tutelare la riservatezza,
l'integrità e la disponibilità delle informa-
zioni custodite.
Purtroppo nella maggior parte dei
casi i livelli di protezione offerti, oltre ad
essere definiti in modo unilaterale, sono
piuttosto basilari; in questo modo i forni-
tori riescono a mantenere il controllo e
la flessibilità organizzativa necessari ed
a garantirsi la possibilità di praticare ca-
noni di mercato competitivi che sareb-
be, invece, preclusa dai costi di una si-
curezza “personalizzata”.
Dato che le misure di sicurezza “mi-
nime” non possono realisticamente co-
prire tutte le necessità di una moderna
organizzazione, lo squilibrio che si vie-
ne a creare deve essere attentamente
ponderato e, possibilmente, mitigato o
sanato attraverso altri rimedi (es. nego-
ziazione, clausole contrattuali, livelli di
servizio, ecc...).
Parlando di sicurezza è giusto poi af-
frontare la questione degli incidenti che
richiede una preparazione ed una coo-
perazione tra le parti nella predisposi-
zione e nell'attuazione di un piano di
gestione diretto a garantire una risposta
2 Si intende in base ad una analisi del rischio
Pag. 5
Aspetti legali e di compliance del SaaS (Cloud Computing)

tempestiva ed efficace nei confronti del- ed incompatibili con quelle per le

le varie tipologie di eventi verificabili. quali gli interessati hanno mani-
Secondariamente, ma non certo per festato il loro consenso;
importanza, c'è il problema della re- • il fornitore dovrebbe garantire il
sponsabilità del fornitore: da questo rispetto delle misure di sicurezza
punto di vista l'eventuale sua disponibi- specificate dal titolare e quest'ul-
lità ad assumere contrattualmente il ri- timo dovrebbe essere messo in
schio delle violazioni va interpretata condizione di esercitare un con-
come un segnale molto positivo sulla trollo sull'operato del primo;
sua affidabilità complessiva. • dovrebbero essere adottate delle
Nella prassi, però, prevale l'orienta- procedure per consentire agli in-
mento contrario di cui sono spesso ma- teressati l'esercizio dei diritti di
nifestazione le clausole di esonero da accesso, modifica e cancellazio-
responsabilità, ambigue e dal contenuto ne dei propri dati;
poco chiaro, alle quali è bene prestare Ulteriore aspetto è quello concernen-
sempre la massima attenzione. te il divieto di trasferimento dei dati per-
sonali in paesi al di fuori della comunità
Protezione dei dati personali Europea che non offrono un livello di tu-
tela delle persone adeguato; la rigorosa
osservanza di questo vincolo di natura
Nell'ambito territoriale dello spazio generale può:
economico europeo i titolari di dati per- • impattare sulla scelta del fornito-
sonali hanno, già da tempo3, l'obbligo di re, imponendo una attenta verifi-
garantirne la riservatezza, l'integrità e la ca che l'affidamento dei dati per-
disponibilità, cui si aggiunge quello di sonali non implichi, di fatto, una
soddisfare integralmente le scelte mani- violazione dei requisiti di legge;
festate dai singoli ai quali si riferiscono i
dati trattati4. • richiedere che il fornitore assu-
ma contrattualmente l'obbligo di
L'applicazione delle prescrizioni della non trasferire i dati all'esterno
direttiva europea sulla protezione dei della propria infrastruttura, se
dati personali5 può produrre alcune non previa garanzia di conformi-
conseguenze significative nell'ambito tà con le disposizioni vigenti;
delle architetture di cloud computing:
Si tratta comunque di questioni che
• esiste la possibilità che il fornito- sfuggono ad una immediata percezione
re debba ricoprire il ruolo di re- e comprensione, anche in considerazio-
sponsabile del trattamento relati- ne delle caratteristiche di ridondanza e
vamente ai dati che gli sono affi- distribuzione delle architetture cloud ri-
dati in custodia6; chieste per far fronte alle inevitabili esi-
• i dati personali non possono es- genze di continuità operativa e disaster
sere trattati per finalità diverse recovery.

3 E precisamente, sin dal termine per l'attuazione della

direttiva 95/46 sulla tutela delle persone fisiche con
riguardo al trattamento dei dati personali
4 Tra queste rientra la possibilità che gli interessati hanno
di acconsentire al trattamento dei propri dati soltanto per
determinate finalità
5 Che non può essere esclusa a priori per il solo fatto che
il fornitore abbia sede in un paese posto al di fuori dello
spazio economico europeo
6 Questo significa altresì che ci deve essere un atto
formale di designazione ed accettazione dell'incarico
Business continuity
La protezione delle informazioni ab-
braccia anche il profilo della loro dispo-
nibilità, il che si traduce nella necessità
per i titolari di assicurare la continuità
delle operazioni e l'accesso ai dati, a

Pag. 6
 Aspetti legali e di compliance del SaaS (Cloud Computing)
prescindere da dove essi siano effetti-
vamente memorizzati.
Questo vuol dire, innanzitutto, accer-
tare che l'infrastruttura SaaS sia in gra-
do di soddisfare le reali esigenze di bu-
siness continuity e disaster recovery e,
successivamente, supportare adegua-
tamente queste esigenze attraverso la
previsione di garanzie contrattuali.
In linea di massima il ricorso ad am-
bienti cloud andrebbe comunque esclu-
so nel caso di dati per i quali sussistano
esigenze di disponibilità del tipo 24x7-
x365.
Titolarità delle informazioni e
proprietà intellettuale
Le informazioni generate e gestite at-
traverso i sistemi cloud, specie se rela-
tive a processi di business, possono in-
cludere risorse di natura confidenziale,
strategica o addirittura critica ai fini del-
l'operatività e della competitività azien-
dale.
E' quindi necessario assicurarsi di
conservare la titolarità dei propri asset
e, soprattutto, di proteggerli mediante
clausole di riservatezza, salvaguardia o
rivendicazione dei diritti di proprietà in-
tellettuale, propri o di terzi affiliati.
Anzi in questa prospettiva ci può es-
sere un interesse, più che legittimo, a li-
mitare l'accesso anche ai cd. metadati7,
impedendone utilizzi secondari (es.
marketing, ricerche di mercato, ecc...).
Cessazione del rapporto
Dato che la fornitura di servizi SaaS
si basa su rapporti di natura contrattua-
le, essa può cessare in qualsiasi mo-
mento per una serie di eventi, tra cui il
mancato rinnovo alla scadenza, la riso-
7 Ad esempio informazioni sul volume dei dati scambiato
o generato
luzione del contratto, la riorganizzazio-
ne od il fallimento del fornitore, ecc...
L'insidia maggiore in questi casi è
che si tratta di eventi che possono
creare incertezza o confusione, indu-
cendo una condizione di vulnerabilità
per i dati derivante dal fatto che il titola-
re si trova nella necessità di reclamarne
la restituzione o la completa distruzione
(nel caso in cui essi non siano più ne-
cessari).
Purtroppo, però, alcuni ostacoli pos-
sono frapporsi all'accoglimento di que-
ste legittime richieste come, ad esem-
pio, il tentativo del fornitore di ritardarne
la restituzione, nella speranza di acqui-
sire maggiori introiti, l'impossibilità di
una cancellazione immediata per effetto
di vincoli posti da leggi locali, o, addirit-
tura, l'oggettiva difficoltà di poter indivi-
duare i dati di pertinenza nell'ambito
dello spazio di risorse condivise sulle
quali si basa l'infrastruttura ospite.
Ancora una volta, la strategia miglio-
re è quella di anticipare l'insorgere di
eventuali problemi attraverso la predi-
sposizione di procedure alle quali atte-
nersi e l'inclusione nel contratto di clau-
sole chiare e dettagliate che preveda-
no, possibilmente, penali dirette a scon-
giurare atteggiamenti di ritardo nell'a-
dempimento degli obblighi di restituzio-
ne o cancellazione dei dati stessi.
Pag. 7