La trattazione è incentrata sull’analisi del cloud computing in quanto operazione contrattuale che si sviluppa principalmente su due livelli.
Il primo attinente alla fornitura vera e propria del servizio cloud, nelle sue declinazioni SaaS, IaaS, PaaS, inteso in termini di disponibilità e accessibilità, per come emerge dall’analisi dei documenti denominati Service Level Agreements, con ricadute in termini di qualificazione che rimandano alla struttura dell’appalto e della somministrazione.
Il secondo aspetto attiene alla disamina delle pattuizioni che intercorrono fra utente e provider in merito all’elaborazione dei dati, personali e non.
La valutazione congiunta dei due profili fanno ipotizzare per l’individuazione di una disciplina c.d. trans tipica.
Per una corretta comprensione del contratto il confronto con la più consolidata fattispecie dell’outsourcing informatico è necessitato, evidenziando le inadeguatezze della normativa di derivazione comunitaria, la direttiva 95/46/CE, se applicata al paradigma tecnologico in esame.
Da un’attenta analisi dei soggetti coinvolti nel trattamento dei dati personali e dei rispettivi obblighi concernenti ad esempio la sicurezza del trattamento si evidenzia come la classica distinzione tra controller e processor risulta di difficile applicabilità alle parti del contratto cloud.
Con l’approvazione del nuovo regolamento in materia di dati personali si mira al superamento dell’inadeguatezza della normativa vigente rispetto alle complessità del cloud computing, riconoscendo nuovi obblighi in capo ai controller e, al tempo stesso, rendendo quasi del tutto autonoma la figura del processor, in questo modo emancipata dalle “istruzioni” del controller.
Il regolamento in corso di approvazione tenta di riportare equilibrio in un rapporto, quello del cloud, dominato da asimmetrie che impediscono all’utente di ricoprire effettivamente il ruolo di data controller e che rendono complicata la qualifica del cloud provider come processor, in base alla definizione contenuta nella direttiva 95/46/CE.
Questa rimodulazione che coinvolge gli obblighi e le responsabilità in capo alle due figure comporterà delle notevoli ricadute nelle determinazioni contrattuali la cui portata sarà da investigare in un momento successivo, incidendo presumibilmente sullo sviluppo di questo settore in forme ancora difficili da prevedere
