CAPIRE E CONOSCERE

Capire e Conoscere: Il Contratto SaaS (Software As A Service)

In questo articolo proponiamo una breve analisi del modello di contratto Software As A Service, indicando quali potrebbero essere i punti cruciali in fatto di ripartizione del rischio per perdita di dati, gestione della privacy, e di tutela della proprietà industriale ed intellettuale dei contenuti immessi nei server del fornitore di servizi.

Introduzione

Sentiamo sempre più spesso parlare di servizi Cloud, di gestione diffusa delle risorse, nonché della possibilità, in fase di acquisto di un nuovo software, di scegliere tra differenti modelli, ed in particolare tra il modello Software-As-A-Service o tra il contrapposto modello On-Premises.
In realtà nella maggior parte dei casi non si utilizzano questi specifici termini, pur tuttavia ricomprendendo tutte le caratteristiche proprie di queste forme contrattuali.

Con il termine Software As A Service (o SaaS) si intende una particolare forma di evoluta di esternalizzazione di particolari funzioni o attività del processo produttivo, affidandole a diverse imprese esterne. In particolare si intende l’esternalizzazione del processo di mantenimento e gestione dei software aziendali.

Con il termine On Premises si intende, per contro, la gestione accentrata delle risorse software dell’azienda, la quale decide di non dare in gestione a terzi le proprie risorse software, ma di mantenerle sotto lo stretto controllo dell’azienda stessa.

In particolare la distinzione fondamentale è data dal modello distributivo che differenzia le diverse forme contrattuali. Nel modello SaaS ci si avvicina più ad una fornitura continua di servizi, non pagando più per il possesso del software, ma per l’utilizzo dello stesso, mentre il modello On Premises si connatura come un vero e proprio acquisto di licenza.

Facendo un esempio concreto, pensiamo al modello Microsoft Office. Esistono varie forme di distribuzione del pacchetto office, da un lato esiste il modello Office 365, su cui Microsoft sta ad oggi spingendo molto, mentre dal lato opposto esistono diversi pacchetti Office Home and Business 2013 o Microsoft Office Home and Student 2013.

Nel primo caso l’utente pagherà una fee continua per poter usufruire del servizio dato da Office365. All’interruzione del pagamento della fee, tuttavia, l’utente si troverà a poter utilizzare il prodotto con funzioni ridotte (nel caso dei servizi freemium) oppure a non poter più accedere ai servizi offerti. Nel secondo caso invece l’utente, una volta acquistata una licenza di utilizzo, potrà accedere al software a tempo indeterminato.

Il modello SaaS

In particolare oggi il modello SaaS si sta espandendo visti i ridotti costi di accesso. Sopratutto nel caso di Start Up a budget ridotto.
L’acquisto di diverse licenze complete per i software ad uso comune può risultare in molteplici casi un aggravio notevole per il bilancio aziendale, mentre l’acquisto dei soli servizi necessari può favorire l’avvio dell’azienda, potendo impiegare maggiori risorse in altri settori.
Con il modello SaaS, infatti, non si avranno più ingenti costi per l’acquisto del parco licenze e nemmeno i costi relativi all’intallazione di server aziendali, potendo sfruttare quelli del fornitore di servizi.

La natura del contratto SaaS, infatti, prevede che il software sia installato sui server dell’impresa che fornisce il servizio (nel caso precedente Microsoft), mentre nel diverso caso dell’On Premises il software viene installato sulle macchine interne dell’azienda, con il necesario acquisto di macchine interne all’azienda.

Per tale ragione questo modello si pone come una nuova forma contrattuale atipica, che richiama in sè elementi del contratto di appalto di servizi, e non solo di licenza di utilizzo software.

I rischi connessi al modello SaaS e la perdita di dati.

Tuttavia il passaggio verso tale nuova forma contrattuale propone l’analisi di diversi elementi giuridici, che prima non venivano posti in rilievo, ad esempio:

  • La responsabilità del fornitore per le interruzioni del servizio;
  • Una nuova gestione della privacy a livello aziendale (informative ed incarichi);
  • L’accertamento del pieno rispetto degli standard di sicurezza informatica (rispetto dell’Allegato B al Codice della Privacy);
  • La protezione della proprietà industriale ed intellettuale, nonché dei segreti aziendali;
  • La responsabilità del fornitore per le perdite di dati;

Il problema fondamentale infatti è dato proprio dal modo in cui opera il modello SaaS. Se il server è installato presso l’azienda che offre il servizio i dati dovranno necessariamente passare per questo, uscendo dalle mura aziendali.

Tale modalità di fornitura, tuttavia, molto spesso viene vista con diffidenza dalle aziende, poiché vi è una perdita del controllo delle informazioni.

Pensiamo infatti al reparto di ricerca e sviluppo di un’azienda che stia lavorando su un nuovo prodotto, che ovviamente non può e non deve essere comunicato all’esterno, dovendo rimanere segreto fino alla richiesta di brevetto.

Pensiamo ora che tale azienda utilizzi per il salvataggio di tutta la documentazione relativa a detto progetto una piattaforma Cloud, quale Dropbox o Google Drive, invece di utilizzare propri server aziendali e permettere la connessione dei ricercatori solo tramite VPN.

In tal caso, laddove vi sia una fuga di informazioni, che nel caso in esame potrebbero addirittura compromettere la brevettabilità del trovato tecnico, si dovrebbe indagare sulla responsabilità non solo dei ricercatori ( i quali devono aver cura dei dati di accesso, etc, etc) ma anche della responsabilità del fornitore del servizio SaaS.
Se si accertasse, infatti, che la fuga di informazioni è dovuta ad una cattiva gestione della sicurezza dei server da parte del fornitore di servizi SaaS questo sarebbe certamente tenuto a risarcire il danno patito dall’azienda.
Sul punto giova ricordare altresì che nel nostro codice civile, all’art. 1229 c.c., si prevede che:

 1. È nullo qualsiasi patto che esclude o limita preventivamente la responsabilità del debitore per dolo o per colpa grave.
2. È nullo altresì qualsiasi patto preventivo di esonero o di limitazione di responsabilità per i casi in cui il fatto del debitore e dei suoi ausiliari costituisca violazione di obblighi derivanti da norme di ordine pubblico.

Il rischio di violazione dei dati personali.

Pensiamo anche al trattamento dei dati personali. Va considerato che laddove i dati vengano immessi in un server situato fuori dall’azienda vi sarà la necessità di modificare la propria privacy aziendale, nonché informare prontamente gli interessati al trattamento, i quali hanno il diritto di conoscere ogni eventuale comunicazione o diffusione dei propri dati trattati dall’azienda stessa.

Lasciando il punto ad una analisi più approfondita, si ricordi che in caso di errata informativa fornita ai sensi dell’art. 13 Codice della Privacy, o comunque in caso di informativa lacunosa, l’art. 161 del medesimo codice prevede:

  1. La violazione delle disposizioni di cui all’articolo 13 è punita con la sanzione amministrativa del pagamento di una somma da tremila euro a diciottomila euro o, nei casi di dati sensibili o giudiziari o di trattamenti che presentano rischi specifici ai sensi dell’articolo 17 o, comunque, di maggiore rilevanza del pregiudizio per uno o più interessati, da cinquemila euro a trentamila euro. La somma può essere aumentata sino al triplo quando risulta inefficace in ragione delle condizioni economiche del contravventore.

Non sono certamente casi stravaganti e difficili da ripetere, potendo certamente rientrarvi anche il medico privato che utilizzi un servizio Cloud per tenere la versione digitale delle cartelle cliniche dei pazienti.

La proprietà industriale ed intellettuale. Tutela della segretezza ed accesso da parte del fornitore dei servizi ai dati.

Inoltre va considerato il delicatissimo punto della tutela della proprietà intellettuale ed industriale. Vanno infatti lette molto attentamente le Condizioni Generali relative alla fornitura dei Servizi, onde evitare di incorrere in involontarie cessioni dei diritti di sfruttamento economico delle proprie opere intellettuali.

Oltre a ciò va considerato il grado di segretezza dei dati, nonché al modo con cui il fornitore può accedere agli stessi, ad esempio potendo indicizzarli al fine di offrire pubblicità mirata, o anche per offrire servizi di ricerca e interoperatività dei dati. Se da un lato i dati immessi sono nostri, dovremo fare attenzione a che questi non vengano divulgati e/o comunicati a terzi, se invece sono di diversi interessati (i nostri clienti), dovremo informarli del trattamento da parte di terzi, ma anche fare attenzione a che questi non vengano divulgati.

Non sono rari i casi in cui le aziende impediscono ai propri dipendenti di utilizzare determinati servizi per evitare ogni fuga di informazioni.

Elementi da considerare

Per tutte le ragioni sopra esposte risulta certamente opportuno, al momento della sottoscrizione di un contratto SaaS, valutare non solo la bontà del software, ma anche, sopratutto laddove questo venga utilizzato per scopi lavorativi, valutare ulteriori previsioni in fatto di:

  • garanzia per i bug software;
  • garanzia di aggiornamenti continui;
  • rispetto delle misure tecniche di sicurezza;
  • rispetto degli obblighi di cui all’allegato B del Codice della Privacy;
  • tempistiche di risoluzione delle falle di sicurezza riscontrate;
  • Uptime e tempi globali di operatività del Servizio;

Non solo, un ruolo fondamentale vi è anche nella valutazione della territorialità del servizio, potendosi applicare normative diverse laddove i server su cui risiede il software sia situato fuori dal territorio dello stato, ma anche fuori dal territorio comunitario.

Info sull'Autore

Andrea Rinaldo

Laureato in Giurisprudenza ed appassionato di informatica. Mi occupo di proprietà intellettuale, industriale, privacy ed ICT.

Leggi articolo precedente:
Imbarazzo AGCOM
Newsletter 2015/1
L’inefficacia dei provvedimenti italiani in materia di tutela del diritto d’autore
Chiudi