Quali regole per il cloud computing? L’importanza del diritto civile per l’efficienza del mercato

Le piattaforme cloud offrono indiscutibili vantaggi per i consumatori e per le imprese.

Queste ultime possono esternalizzare determinati processi, avvalendosi in modo continuativo di una pluralità di servizi nell’archiviazione e gestione dei dati. Ciò comporta un significativo risparmio rispetto ai maggiori costi necessari non solo per l’acquisto di software e hardware ma più in generale per lo svolgimento di determinate funzioni aziendali.

L’offerta di tali servizi risponde del resto a una esigenza di divisione del lavoro e di specializzazione delle competenze e costituisce un importante strumento di miglioramento dell’efficienza del mercato.

Le imprese medio piccole possono infatti superare quelle barriere di ingresso che impediscono o ostacolano il loro accesso ad un ampio pubblico di potenziali clienti, mentre le imprese più grandi possono ottimizzare i costi di attività che non riuscirebbero a internalizzare con la medesima efficienza delle piattaforme specializzate. Tutto ciò si traduce in una maggiore competitività nell’offerta di beni e servizi, in grado di soddisfare i bisogni dei consumatori a prezzi più convenienti.

Anche il mercato come istituzione ne trae vantaggio in termini di miglioramento della sua efficacia allocativa e della capacità di promuovere innovazione.

Il ricorso alle piattaforme cloud potrebbe però tradursi paradossalmente in imperfezioni del mercato, in mancanza di regole adeguate in grado di evitare abusi di potere o difetti di trasparenza nei rapporti contrattuali tra gli utenti e i providers.

Le nuove tecnologie hanno infatti creato una nuova forma di disparità tra i soggetti, in ragione non più soltanto del potere economico esercitato, ma anche della superiorità tecnologica acquisita da alcune imprese.

È allora essenziale individuare le tutele che l’ordinamento appresta e verificare se e in che misura esse conservino la loro efficacia negli ambiti in cui la dimensione digitale assume carattere pervasivo.

Da questo punto di vista, la diffusione delle nuove tecnologie digitali ha rivitalizzato la vecchia questione del rapporto tra diritto e tecnica stimolando nuove riflessioni.

Di fronte alle trasformazioni in atto c’è chi esprime preoccupazione per la mancanza di regole e teme che uno sviluppo tecnologico incontrollato possa ledere diritti fondamentali della persona e valori essenziali per la vita sociale ed economica. Per altro verso, all’estremo opposto, c’è chi invece teme che una disciplina troppo stringente possa ostacolare il progresso.

Queste due posizioni antitetiche possono però ricomporsi in una sintesi unitaria, riconoscendo la necessità di regole efficienti, oltre che giuste.

A tal fine anche il diritto privato può svolgere un ruolo fondamentale nell’individuare soluzioni equilibrate dei conflitti che sorgono nella c.d. economia digitale.

Di fronte alla rapidità con la quale si susseguono le innovazioni tecnologiche è diffusa la sensazione che il diritto faccia fatica a stare al passo con i tempi. Questo dato di fatto non assume però una connotazione necessariamente negativa.

È giusto che il diritto si occupi di ciò che accade e non si (pre)occupi troppo di ciò che potrebbe accadere. Solo nelle loro manifestazioni concrete le attività umane mostrano infatti gli interessi da proteggere e da bilanciare nelle situazioni in cui entrano in conflitto. Per questo, i tentativi di regolare anticipatamente fenomeni non ancora ben definiti hanno talvolta prodotto discipline artificiose e velleitarie.

In realtà lo sviluppo e l’utilizzo di nuove tecnologie non cade in un vuoto normativo. Accanto alla disciplina settoriale, spesso caratterizzata dall’intervento delle Autorità indipendenti, un contributo essenziale alla soluzione dei conflitti può essere offerta anche dalle regole generali del diritto privato.

Queste possono offrire una importante tutela alle imprese, che si avvalgono dei servizi di cloud sulla base di contratti predisposti unilateralmente dai fornitori a condizioni molto spesso sbilanciate a proprio favore.

Un esempio in tal senso è offerto dalla diffusa previsione di uno ius variandi a favore del provider, che gli consente di modificare unilateralmente, in ogni momento e a propria discrezione, il contenuto delle condizioni di erogazione del servizio.

Pattuizioni di questo tipo sono ammesse in contesti di mercato dinamici, nei quali vi è una evidente e oggettiva esigenza di adeguare le condizioni contrattuali alle continue variazioni di determinati fattori macroeconomici, quali tassi di interesse, inflazione, politiche monetarie, ecc. In questi casi la possibilità di modificare le condizioni economiche consente di evitare squilibri nel valore delle prestazioni derivanti dai mutamenti economici. In tal modo si evitano allocazioni rigidamente predeterminate e perciò potenzialmente inefficienti dei rischi, che finirebbero per ostacolare il funzionamento concorrenziale del mercato. Le modifiche unilaterali sono infatti ammissibili nella misura in cui sono motivate da cause che giustificano l’adeguamento del regolamento contrattuale in base a parametri oggettivi e certi.

Viceversa, una clausola che consentisse al provider di modificare gli aspetti tecnici, qualitativi e quantitativi, dei servizi prestati in considerazione di valutazioni meramente soggettive si tradurrebbe in un difetto di determinatezza e determinabilità dell’oggetto contrattuale e solleverebbe rilevanti dubbi di invalidità sotto il profilo della mancanza di un interesse meritevole di tutela secondo l’ordinamento giuridico.

Un importante contributo ad orientare l’erogazione di servizi di cloud computing secondo criteri di correttezza ed efficienza è inoltre offerto dalla disciplina della responsabilità per i danni derivanti dall’inadempimento del contratto o dalla lesione di diritti degli utenti o di terzi soggetti.

In questi casi la responsabilità civile costituisce un importante strumento di governo dei rischi, che concorre a realizzare l’obiettivo dell’ordinamento di prevenire dei danni, in modo da non arrestare lo sviluppo tecnologico, ma da orientarlo in senso rispettoso dei diritti delle singole persone e degli interessi della società nel suo complesso.

I criteri di imputazione della responsabilità, infatti, costituiscono al tempo stesso disincentivi rispetto allo svolgimento di attività reputate eccessivamente rischiose e incentivi ad adottare misure di contenimento del rischio e, come tali, vengono adottati tra i criteri di valutazione nelle decisioni aziendali.

Questa funzione preventiva si realizza, peraltro, in modo efficiente nella misura in cui il costo del danno viene posto in capo al soggetto che è in grado di prevenirlo sostenendo il minor costo. In tal modo, la perdita complessiva di risorse sarà ridotta al minimo, in quanto l’imprenditore, attraverso una analisi costi-benefici, sceglierà la soluzione più conveniente tra prevenire il danno e risarcirlo. Per altro verso, vi sarà una maggiore probabilità che le misure di prevenzione, proprio in ragione del loro minore costo, vengano effettivamente adottate, con correlativa diminuzione del rischio che il danno si verifichi.

Ma l’ordinamento mette in atto anche altre strategie di prevenzione, avvalendosi di strumenti diversi dalla responsabilità civile.

Una modalità diversa di intervento consiste nell’imporre determinate procedure e sistemi di risk management, che incidono in via preventiva sulla struttura organizzativa dell’impresa, attraverso doveri di comportamento, la cui violazione è sanzionata indipendentemente dall’effettivo verificarsi di un danno.

In questa logica, ad esempio, il GDPR stabilisce che il provider, in quanto incaricato di trattare i dati per conto del titolare del trattamento, deve possedere requisiti che garantiscano l’adozione di misure tecniche e organizzative adeguate a tutelare i diritti degli interessati.

La medesima impostazione è seguita dall’AI Act, che classifica le attività che prevedono l’utilizzo dell’Intelligenza artificiale in base al livello di rischio, stabilendo, a seconda dei casi, diverse misure tecniche e organizzative che le imprese devono adottare per gestire e mitigare i rischi.

L’imposizione di modelli organizzativi e di procedure predeterminate di risk assessment e risk management si giustifica tuttavia solo quando sono in gioco diritti e valori fondamentali, che non possono essere oggetto di bilanciamento da parte di soggetti privati in base a un calcolo meramente economico.

Solo a queste condizioni è accettabile che i costi delle misure preventive possano in ipotesi superare a quelli dei possibili danni.

Vi è infatti rischio di regole economicamente inefficienti, che impongano scelte organizzative, non decise dall’impresa caso per caso, ma da autorità centrali, talvolta non dotate di sufficiente capacità cognitiva dei problemi. In questi casi, l’impresa non può auto-determinare la propria organizzazione, che è invece etero-determinata sulla base di una valutazione astratta dei rischi.

Diversamente, la responsabilità civile svolge in modo più efficiente la sua funzione preventiva, nella misura in cui dei danni risponde il soggetto che si trova nella condizione migliore per fare una analisi comparativa dei costi (anche di assicurazione) da sostenere per prevenirli o alternativamente per risarcirli. Tali costi vengono così allocati in termini coerenti con la logica del mercato, in quanto si riflettono sul prezzo dei prodotti e dei servizi offerti ai clienti, premiando le imprese più efficienti nella gestione dei relativi rischi.

______

*Antonio Albanese, professore ordinario di diritto civile nell’Università cattolica del Sacro Cuore – Avvocato del foro di Milano