L’outsourcing e il Cloud dal punto di vista del giurista

Le tipologie contrattuali, le responsabilità in caso di disservizio, gli adempimenti sulla privacy. Giusella Finocchiaro, avvocato e docente di diritto di Internet dell’Università di Bologna, spiega in un’intervista come affrontare gli aspetti più rilevanti dell’esternalizzazione dei servizi informatici

L’outsourcing, e in particolare il Cloud, sono sempre utilizzati dalle imprese per migliorare le proprie performance e garantire la focalizzazione sulle attività più strategiche per il business. In uno scenario sempre più globale, tuttavia, gli aspetti giuridici non sono sempre chiari. Ne parliamo con Giusella Finocchiaro è Professore ordinario di diritto privato e di diritto di Internet dell’Università di Bologna, e Titolare dello Studio legale Finocchiaro.

Il trasferimento di funzioni ad un altro soggetto può comprendere diverse tipologie contrattuali. Qual è la disciplina dell’outsourcing?

Innanzitutto va specificato che, in via di prima approssimazione, con l’espressione “outsourcing” ci si riferisce all’affidamento ad un soggetto terzo dell’espletamento di tutte le attività che costituiscono, all’interno della propria organizzazione aziendale, una specifica funzione interna. Come affermato dalla giurisprudenza, “l’espressioneoutsourcing ricomprende in senso lato ogni ipotesi di decentramento produttivo”.

Per rispondere alla domanda occorre ricordare che numerose sono le varianti che possono connotare un’operazione di outsourcing. L’outsourcing può, infatti, attuarsi attraverso il conferimento di un incarico avente ad oggetto un fare o, nei casi più complessi, attraverso il trasferimento di un ramo d’azienda o di una scissione societaria. Pertanto, l’outsourcing non è una fattispecie contrattuale a sé stante, quanto una fattispecie contrattuale astrattamente riconducibile a diversi schemi negoziali, quali l’appalto, la somministrazione, la locazione, la vendita, ecc.

Oggi l’interesse per l’outsourcing è in parte motivato dalla prospettiva di delocalizzazione delle attività routinarie di ricerca documentale e contrattualistica nei paesi a basso costo di manodopera ed alta qualità del servizio. È quindi frequente che outsourcer e outsourcee appartengano a paesi differenti considerate le dimensioni transnazionali assunte dall’economia industriale. Diventa pertanto essenziale il ruolo del contratto quale strumento idoneo a disciplinare il rapporto nascente tra le parti coinvolte nel processo di esternalizzazione.

Cosa cambia nel caso in cui un contratto di outsourcing sia concluso on-line?

Occorre essere consapevoli delle problematiche inerenti alla legislazione applicabile e alla giurisdizione competente e dei vincoli formali inerenti alla manifestazione del consenso negoziale, nonché dell’eventuale necessaria specifica approvazione di clausole vessatorie.

La sospensione di un servizio può causare danni anche nei casi di esternalizzazione di attività di routine. Chi risponde in caso di interruzione del servizio?

Non c’è una risposta  univoca e valevole in ogni caso, considerate le varianti che possono connotare l’esternalizzazione. Anche ipotizzando che la fattispecie negoziale sia riconducibile allo schema dell’appalto e che l’utente subisca dei danni a seguito di disfunzioni del servizio fornito, occorrerebbe chiedersi se il committente nel contratto con l’utente finale lo abbia informato dell’esternalizzazione e se, in tal caso, abbia previsto una clausola di esonero della responsabilità.

Quali sono gli adempimenti in materia di privacy in caso di outsourcing?

Se l’esternalizzazione della funzione aziendale genera il trasferimento di dati personali, occorre valutare in concreto il ruolo del fornitore in termini di autonomia e di potere decisionale sulle operazioni di trattamento dei dati personali ed eventualmente, se applicabile la normativa vigente nell’ordinamento giuridico italiano, provvedere alla designazione di questi come responsabile esterno del trattamento. Occorre, inoltre, osservare i vincoli previsti a tutela del diritto all’autodeterminazione informativa dell’interessato e rispettare scrupolosamente gli obblighi di sicurezza.

Qual è il rapporto tra outsourcing e cloud computing?

Il cloud computing -che rappresenta una particolare modalità di fornitura di servizi informatici- è inquadrabile all’interno del più ampio fenomeno dell’outsourcing. Si potrebbe, utilizzando una formula cara ai giuristi, affermare che il rapporto tra outsourcing e cloud computing è “un rapporto di genere a specie”.

Nel caso di cloud computing, le parti coinvolte nel processo di esternalizzazione sono sottoposte ad ulteriori vincoli?

Sarebbe errato pensare che per il solo fatto che la fornitura dei servizi avvenga in cloud maggiori siano i vincoli in capo alle parti. È l’internazionalizzazione spesso tipica delle forniture in cloud che comporta la necessità di confrontarsi con le tematiche della legislazione applicabile e della giurisdizione competente, e che attribuisce all’eventuale trattamento di dati personali un carattere di problematicità relativo alla configurazione dei ruoli e all’adempimento degli ulteriori obblighi previsti a tutela dell’interessato.

Nel caso in cui il fornitore abbia sede in un paese non appartenente all’Unione Europea aumentano le difficoltà per adempiere agli obblighi normativi?

Che il fornitore abbia sede in un paese non appartenente all’Unione Europea è una circostanza che impatta sicuramente sull’eventuale trattamento dei dati personali, dati che a seguito dell’esternalizzazione sono oggetto di comunicazione. In questo caso, infatti, occorrerà tener conto del disposto di cui all’art. 25 della Direttiva 95/46/CE secondo cui il trasferimento di dati personali verso un paese non appartenente all’Unione Europea può aver luogo soltanto se il paese di destinazione garantisce un livello di protezione adeguato. L’adeguatezza del livello di protezione deve essere valutata con riguardo alla natura dei dati, alle finalità del trattamento previsto, al paese d’origine, alle norme di diritto, generali o settoriali, vigenti nel paese di destinazione, nonché alle regole professionali e alle misure di sicurezza ivi osservate.

Occorre, tuttavia, precisare che l’art. 26 della citata Direttiva prevede che, nel caso in cui via sia il consenso dell’interessato, si possa derogare alla necessità di verificare il livello di adeguatezza del paese di destinazione. In altri termini, si può effettuare il trasferimento dei dati anche verso un paese terzo che non garantisce una tutela adeguata qualora vi sia il consenso inequivocabile al trasferimento da parte dell’interessato. L’art. 26 elenca, inoltre, ulteriori casi di deroga a quanto previsto dal precedente art. 25. Si prevede, infatti, la liceità del trasferimento nel caso in cui il trasferimento sia necessario per la conclusione o l’esecuzione di un contratto nell’interesse dell’interessato, ovvero nel caso in cui il trasferimento sia necessario o prescritto dalla legge per la salvaguardia di un interesse pubblico.

In conclusione, ha senso ricorrere all’outsourcing?

Innegabili sono i vantaggi dell’outsourcing. Attraverso l’outsourcing si ottiene, infatti, una massimizzazione delle competenze e degli ambiti di specializzazione. Un ulteriore vantaggio è la razionalizzazione della struttura dei costi. Per queste ed altre ragioni, si ritiene che sempre più frequente sarà il ricorso all’outsourcing e che conseguentemente si assisterà alla diffusione di modelli contrattuali che, sia pur connotati da un necessario elevato livello di personalizzazione, costituiranno utili riferimenti per gli operatori.

FONTE: www.ict4executive.it