Assicurazioni cyber e gestione dei dati personali, come cambia il mercato

By | News | No Comments

Valutazione del rischio, premio, diritti e doveri in mano al titolare: il mondo della tech insurance sta registrando un profondo riassestamento con l’esplosione della raccolta dati. E anche l’adesione al Gdpr non sempre è sufficiente a tutelare le parti in gioco. Ecco le possibilità e gli ostacoli in campo.
Gestione dei dati personali: lo scenario in rapidissima trasformazione e espansione sta determinando una nuova geografia del mercato assicurativo cyber (informatico). Quello delle assicurazioni che servono per schermare il patrimonio aziendale dalle possibili conseguenze dannose di un attacco informatico o di un’omissione umana.
Come si prefigura l’assicurazione per la responsabilità civile dei soggetti coinvolti nel trattamento dati verso terzi interessati agli stessi dati? Proviamo a fare chiarezza.
La sempre maggiore diffusione della raccolta di dati personali per i motivi più disparati, anche per semplice comodità e miglior accessibilità all’interno dell’azienda, e la sempre maggiore facilità di registrazione dei dati stessi utilizzando supporti e sistemi informatici ad oggi facilmente disponibili a basso costo, oltreché di relativamente facile apprendimento, comporta il continuo allargamento delle aree a rischio di danneggiamento, perdita, diffusione involontaria o sottrazione di grandi quantità di tali dati. La esposizione ad azioni risarcitorie da parte dei soggetti interessati alla segretezza degli stessi dati a qualsiasi titolo aumenta in corrispondenza ed impone la adozione di misure tendenti alla protezione in questo settore, mediante la stipulazione di polizze assicurative che, pur rientrano nella generica categoria della responsabilità civile verso terzi, presentano aspetti e peculiarità che meritano una considerazione specifica.

Così cambia il mercato assicurativo informatico
Da parecchi anni ormai il mercato assicurativo cosiddetto “cyber” o “informatico” costituisce un importante segmento in espansione molto rapida, ma sicuramente non corrispondente alla rapidità di diffusione, ad oggi in pratica quasi universale, anche se in diversa misura a seconda dei soggetti, dei sistemi informatici per la gestione di dati.
Quanto sopra per il buon motivo che la consapevolezza di essere tenuti ad osservare regole anche molto particolareggiate circa le modalità di registrazione, consultazione, elaborazione e conservazione di tali dati come stabilite per legge, fino a poco tempo fa il Codice della Privacy e di recente il Regolamento europeo noto come GDPR, non esaurisce affatto gli obblighi e le responsabilità dell’operatore e dei suoi dipendenti o dirigenti.
Deve essere tenuto ben presente infatti che, nel caso del verificarsi di uno qualsiasi dei possibili eventi dannosi che le norme contenute nel citato GDPR prevedono, l’osservanza delle regole imposte dalla normativa in vigore non comporta di per sé esenzione di responsabilità per i danni conseguenti all’evento e ciò non solo all’interno dell’azienda ma e soprattutto nei confronti dei soggetti terzi aventi interesse ai dati ed alla segretezza degli stessi.
La copertura assicurativa intesa al risarcimento dei danni diretti per riparazioni, ripristini, interruzione forzata della attività, trova quindi il suo naturale completamento nella copertura della esposizione a richieste di risarcimento, anche collettive, da parte di terzi che lamentino danni subiti a seguito del disservizio occorso nella gestione dei dati.

Non sempre è sufficiente la compliance al Gdpr
Il GDPR sopra richiamato pone espressamente a carico dei titolari del trattamento di dati la scelta delle tutele da essi considerate adeguate al fine di evitare possibili danni, in considerazione dei tipi e dei modi di trattamento in effetti adottati nel caso specifico, oltre all’obbligo di segnalazione immediata o al più entro 72 ore dalla scoperta, delle violazioni alla sicurezza riscontrate.
Ferma naturalmente restando la prova dell’esistenza del danno a carico di chi ne chiede il risarcimento, una eventuale richiesta di danni da parte dei soggetti interessati alla riservatezza dei dati non viene quindi esclusa dalla avvenuta tempestiva segnalazione e dall’accertata osservanza della normativa, ma soltanto dalla dimostrazione della adeguatezza dei mezzi di tutela adottati a priori.
Per questo motivo la copertura assicurativa della responsabilità in questi casi non può prescindere da una valutazione da parte dell’assicuratore, e molto spesso congiuntamente da assicuratore e assicurato, del rischio dipendente dalle scelte dei sistemi di tutela operate dal Titolare e imposte al Responsabile del trattamento.
Va aggiunto che per i sinistri in campo informatico non esistono statistiche affidabili in base alle quali determinare probabilità e entità valutabili ai fini della determinazione dei premi e che inoltre le potenziali minacce alla integrità dei sistemi informatici sono in continuo sviluppo con corrispondente adeguamento dei sistemi di difesa, e ciò implica una variabilità notevole dei rischi.
Questi due aspetti, costituendo un elemento essenziale del rapporto assicurativo, devono essere esplicitamente considerati e valutati in sede contrattuale al fine di evitare possibili cause di nullità o di adeguamento in sede risarcitoria, conseguenza di vere o presunte non esatte specificazioni del rischio assicurato invocabili da parte dell’assicuratore ex articolo 1892 del codice civile.

Data controller e data processor
Quanto alla identificazione dei soggetti coinvolti nel rapporto assicurativo a copertura della esposizione conseguente alla responsabilità civile in campo informatico, pur tenendo conto della infinita casistica che può riscontrarsi nel singolo caso, alcuni principi generali possono essere comunque accennati.
Va premesso peraltro che la terminologia adottata nella normativa italiana, essendo la stessa rimasta invariata rispetto a quella precedente, può risolversi in una certa confusione rispetto al nuovo significato attribuito agli stessi termini nella recente normativa contenuta nel citato GDPR.
Il soggetto in principio responsabile nei confronti dei terzi interessati è infatti il Titolare del trattamento (data controller) cioè il soggetto avente la materiale disponibilità dei dati, il quale sia in grado di decidere autonomamente come utilizzarli e come raggrupparli ai fini e per gli effetti che intende raggiungere.
La diversa figura del Responsabile del trattamento (data processor), contrariamente alla denominazione in italiano (che va riferita alla funzione soltanto e non comporta di per sé alcuna assunzione di responsabilità dal punto di vista giuridico) si riferisce in realtà ad un soggetto che può essere tenuto responsabile nei confronti dei terzi solo nei casi in cui siano state disattese le istruzioni provenienti dal Titolare ovvero siano state effettuate operazioni sui dati non autorizzate dallo stesso Titolare, il quale mantiene pertanto in ogni caso la responsabilità per il trattamento dei dati e per le possibili conseguenze negative che derivino.
In tali ipotesi è prevista addirittura la responsabilità solidale tra Titolare e Responsabile del trattamento, e potrà quindi ben accadere che anche il Responsabile provveda a dotarsi di idonea copertura assicurativa limitatamente a tale aspetto.
Resta ovviamente escluso che quest’ultima copertura possa essere riferita a casi di dolo o colpa grave, ma in presenza di entità organizzate la necessità può riguardare le colpe dei dipendenti o in genere i comportamenti colposi dell’assicurato nel gestire i dati affidati dal Titolare.

Cosa può fare il titolare dei dati
Sempre allo stesso Titolare sono attribuiti in via esclusiva gli obblighi di notifica al Garante delle violazioni riscontrate nei casi e nei tempi previsti; la adozione delle misure tecniche e organizzative adeguate per garantire la sicurezza dei dati, la elencazione specifica dei trattamenti nel registro apposito, la documentazione delle violazioni eventualmente verificatesi nonché, appunto, la nomina del Responsabile del Trattamento (Data Processor).
Sono stati sollevati dubbi circa la possibilità di nominare il c.d. Responsabile tra i dipendenti del Titolare ovvero di non nominarlo affatto, ciò che appare peraltro poco plausibile, ma ciò non influirebbe in ogni caso sulla sfera di responsabilità globale verso terzi del Titolare stesso.
Il rapporto contrattuale tra Titolare e Responsabile del trattamento comporta comunque una rilevanza notevole a fini assicurativi, sia sotto il profilo della eventuale chiamata in garanzia del Responsabile, ove ne ricorrano i presupposti, sia per la limitazione dei rischi rispetto alla responsabilità del Titolare.
Il relativo documento contrattuale dovrà necessariamente costituire un presupposto del contratto assicurativo in quanto determinante ai fini della valutazione del rischio assicurato in capo al Titolare.

Chi sono i soggetti interessati ai dati?
Ulteriore elemento da considerare a fini assicurativi è il tipo di soggetti interessati ai dati (data subject) potenzialmente portatori di diritti al risarcimento in caso di violazione dei dati stessi, tenendo conto che tali possono essere le persone fisiche a cui si riferiscono i dati personali e quindi abbastanza facilmente desumibili dal tipo di dati trattati. La estensione della protezione ad enti e persone giuridiche riveste carattere eccezionale ed estremamente specifico soltanto ad esempio in caso di utilizzo di materiale proveniente da banche dati per inoltro di comunicazioni indesiderate.
Va tenuto conto sotto questo aspetto che il concetto di interessato è molto cambiato negli anni recenti ed è suscettibile di ulteriori cambiamenti ed estensioni, solo se si consideri che le occasioni di raccolta di dati personali stanno aumentando in maniera esponenziale. Basta pensare al proliferare delle telecamere di sorveglianza, delle tessere, documenti o congegni portatili registrati all’interno di banche dati e simili.
Anche tale circostanza, oltre alla possibilità di azioni collettive in materia, in vista del numero considerevole dei potenziali interessati, deve indurre particolare attenzione nell’ambito assicurativo, sempre ai fini della definizione delle aree di rischio, dei massimali e delle franchigie, se previsti, oltre alla adozione degli opportuni aggiornamenti e adeguamenti per garantire la corrispondenza alle attività di volta in volta svolte in concreto e alle ragioni per l’adozione di tutele specifiche di contrasto alla violazione dei dati.
Concludendo, in pochi settori come quello considerato si rende necessaria la massima duttilità delle coperture assicurative in corrispondenza della evoluzione dei trattamenti e dei loro scopi, della analoga evoluzione degli strumenti di disturbo e intrusione e dello sviluppo equivalente dei mezzi di contrasto e protezione, nei tempi molto ristretti di tali dinamiche.

Articolo pubblicato su:
https://www.agendadigitale.eu/sicurezza/assicurazioni-cyber-e-gestione-dei-dati-personali-come-cambia-il-mercato/

Convegno 14.01.2019

By | News | No Comments

In data 14 Gennaio 2019 a Genova al Centro Culturale, Formazione e Attività Forensi Aula Convegni del Consiglio dell’Ordine degli Avvocati, CAMMINO – Camera Nazionale Avvocati per le persone, le relazioni familiari e i minorenni – della sede di Genova ha tenuto un convegno sull’argomento “Tavola Rotonda: Affido Condiviso, Mantenimento Diretto, Garanzia Bigenitorialità: decreto Pillon, un’illusione di parità?”.

GDPR, la difficoltà di raccordo tra vecchie e nuove norme

By | News | No Comments

Il cambio di paradigma introdotto dal GDPR nella protezione delle informazioni in rete e le difficoltà di raccordo tra le nuove norme e quelle preesistenti: il punto della situazione
Nel nostro Paese, nonostante le importanti novità introdotte dal GDPR in tema protezione della riservatezza dei dati in rete, si è preferito non abrogare e sostituire completamente il previgente Codice della Privacy del 2013 ma piuttosto modificarlo, adeguarlo e in parte eliminarlo, con il risultato di generare una certa difficoltà di raccordo tra le norme preesistenti e le nuove del GDPR.
Le difficoltà della protezione delle informazioni
Il contesto in cui queste novità si inseriscono è caratterizzato da due fattori incontrovertibili: la rapidità e l’invadenza delle recenti evoluzioni nel settore e la sempre maggiore facilità e velocità di trasferimento e distribuzione delle informazioni, anche in forma complessa e in quantità rilevanti, per il tramite di reti interne, private o pubbliche come Internet e il Web.
D’altra parte, l’accumulo e la concentrazione di un grande volume di informazioni nella disponibilità di soggetti che li raccolgono amplificano i rischi di accesso alle stesse da parte di chi non è autorizzato a disporne e perciò impone l’adozione di opportuni sistemi di protezione talvolta estremamente complessi e costosi.
Non va dimenticato che le reti informatiche sono per la loro stessa natura concepite allo scopo di condividere informazioni tra tutti i soggetti aventi accesso alla rete e che la esclusione dell’accesso da parte di taluni soltanto tra di essi comporta la creazione di sovrastrutture estremamente sofisticate e complesse, atteso che lo scopo è quello di evitare intrusioni dirette ad accedere ai dati che si vuole proteggere ma che sono e devono comunque essere presenti all’interno della stessa rete a disposizione degli utenti autorizzati a disporne.
La protezione della riservatezza dei dati messi in rete costituisce quindi da parecchio tempo una delle aree più delicate della legislazione nei singoli paesi e delle normative comunitarie europee, dalle quali però si può rilevare un recentissimo importante cambiamento di rotta, che corrisponde alla acquisita consapevolezza della impossibilità di adeguare le regole a tempo con gli sviluppi tecnici sempre più innovativi e pressanti.
L’entrata in vigore anche in Italia lo scorso 25 maggio 2018 del Regolamento (UE) 2016/679, noto come GDPR (ovvero General Data Protection Regulation), a due anni dalla sua approvazione da parte del Parlamento e del Consiglio Europeo, non ha avuto grande eco tra gli operatori, forse a motivo dei diversi temi politici in evidenza a quell’epoca nonché nella errata convinzione che solo con l’adozione della legislazione applicativa interna tramite decreto del governo gli effetti reali si sarebbero fatti sentire nel nostro paese.
Neppure la successiva emanazione del decreto di recepimento della nuova disciplina il 10 agosto scorso, pubblicato in Gazzetta Ufficiale il 4 settembre e quindi entrato in vigore 15 giorni dopo, il 19 settembre 2018, ha provocato grandi reazioni, se non tra gli addetti ai lavori, e questo anche perché un termine di grazia di otto mesi è stato esplicitamente previsto nel decreto stesso, nel corso del quale la applicazione delle sanzioni da parte del Garante dovrebbe “tenere in conto” la fase di prima applicazione delle nuove norme, in altre parole tenere la mano leggera in tema di sanzioni.
Sta di fatto però che sotto il regime del nuovo GDPR si è addossata ai singoli operatori, in qualità di titolari del trattamento ovvero in persona del Responsabile del trattamento, la piena responsabilità in merito al giudizio di adeguatezza delle misure di sicurezza adottate in concreto, avuto riguardo al tipo ed al livello di rischio che soltanto il particolare operatore è in grado di valutare e decidere.
Ciò non di meno, e nonostante le rilevantissime novità contenute nel soprammenzionato GDPR sia in tema di adempimenti che di regime sanzionatorio (hanno una portata senza precedenti e possono raggiungere nel massimo fino a 20 milioni di euro o fino al 4% del fatturato annuale di un’azienda), si è preferito non abrogare e sostituire completamente il previgente Codice della Privacy del 2013 ma piuttosto modificarlo, adeguarlo e in parte eliminarlo, con risultati non certo affidabilissimi sotto l’aspetto interpretativo.
Lo stesso Garante della protezione dei dati personali, nel pubblicare il testo coordinato del Codice della Privacy come risultante dopo le modifiche di adeguamento al GDPR europeo ha ritenuto di dover avvertire espressamente che “il presente testo coordinato è reso disponibile al solo scopo informativo e non ha valore ufficiale”, evidentemente a motivo delle numerose possibili contraddizioni e incongruenze riscontrabili.
La difficoltà di raccordo tra le norme preesistenti e le nuove contenute nel GDPR discende fondamentalmente appunto dalla differenza di impostazione generale cui si è fatto cenno sopra del criterio in base al quale viene riconosciuta la responsabilità, e quindi la applicazione delle eventuali sanzioni, in capo al soggetto che è in possesso di dati personali di terzi, e dei quali faccia uso in qualsiasi modo: archiviazione, organizzazione, elaborazione, gestione in genere.
Viene quindi lasciata all’operatore in possesso dei dati la valutazione dell’adeguatezza delle misure adottate in considerazione delle particolari condizioni in cui opera e delle modalità operative da lui scelte, e delle quali dovrà eventualmente dare conto nel caso un evento dannoso si verifichi.
Tale principio, denominato di ‘accountability’, con termine anglosassone non facilmente traducibile, ma reso dal legislatore italiano con la parola ‘responsabilizzazione’, riferita al titolare e al responsabile del trattamento (quest’ultimo divenuto non a caso di nomina obbligatoria e non più facoltativa come sotto la precedente disciplina) viene espresso chiaramente all’articolo 24 del Regolamento europeo in questi termini:
“Tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento. Dette misure sono riesaminate e aggiornate qualora necessario.”
Viene quindi precisato nello stesso articolo che la eventuale adozione di codici di condotta ovvero di meccanismi di certificazione anche se debitamente riconosciuti e approvati non vale di per se ad escludere la responsabilità ma soltanto come uno degli elementi da valutare ai fini di escluderla.
E ancora, al successivo articolo 32 si dispone:
“Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio … “
e si aggiunge quindi una precisazione analoga a quanto esposto sopra riguardo a codici di condotta ovvero di meccanismi di certificazione eventualmente adottati.
Le obbligazioni imposte vengono quindi a sostituire i requisiti più spiccatamente formali previsti in precedenza, aggiungendo una responsabilità più estesa derivante dalle necessità valutate caso per caso e una giustificabilità delle scelte di sicurezza effettuate.
A completamento di quanto sopra, sono state introdotte altre prescrizioni assolute in ogni caso, quali l’obbligo di raccogliere e mantenere i dati in formato crittografato oltre ad ottenere il consenso ai trattamenti singolarmente per ciascuno di essi, con indicazione precisa delle finalità di raccolta e conservazione e con indicazione del Responsabile del trattamento.
Vengono prescritte inoltre modalità più esplicite quanto alla acquisizione dei consensi, escludendo accettazioni implicite o automatiche, e viene imposta l’archiviazione dei dati relativi con possibilità di accesso a tali dati da parte degli interessati.
Va infine sottolineato che la obbligatorietà del registro dei trattamenti previsto per le aziende con più di 250 dipendenti non esaurisce certamente le obbligazioni di responsabilizzazione per tale categoria di aziende, ma neppure esime le aziende più piccole, pur non tenute alla tenuta di tale Registro (a meno che non operino trattando dati c.d. cosiddetti sensibili), ad adeguare le misure di protezione in atto ai parametri di cui al nuovo GDPR.
Lo stesso Garante della Privacy propone un modello di registro semplificato ad uso PMI decisamente elementare e non molto complicato o impegnativo quanto alla regolare tenuta.
Sotto questo profilo è stato rilevato da parte della ICO, l’autorità che presiede alla protezione dei dati nel Regno Unito, che la tenuta di tale Registro, se ritenuta opportuna ed anche se non obbligatoria, può costituire in ogni caso un concreto sussidio per qualsiasi operatore nel campo di attività della gestione di dati al fine della valutazione della correttezza dei trattamenti effettuati in azienda e ciò in vista della dimostrazione della adeguatezza delle misure di protezione a norma del GDPR.

Articolo pubblicato su:

www.agendadigitale.eu/sicurezza/gdpr-la-difficolta-di-raccordo-tra-vecchie-e-nuove-norme

Software, le forme di cessione dei diritti: rischi e tutele contrattuali

By | News | No Comments

Tranne che nei casi in cui le soluzioni software vengano utilizzate da parte dello stesso soggetto che le ha sviluppate, la maggioranza delle modalità digitali per la soluzione di problemi operativi vengono in qualche modo messe a disposizione di altri soggetti che le sfruttano al fine del raggiungimento di determinati risultati specificamente voluti. Bisogna quindi essere ben consapevoli degli strumenti contrattuali utili alla tutela dei diritti e dei rischi connessi.
I soggetti utilizzatori instaurano quindi un necessario rapporto con lo sviluppatore, sia esso una persona fisica o una organizzazione imprenditoriale, avente carattere di esclusività fin dall’origine oppure di semplice facoltà condivisa con altri soggetti, anche se per usi diversi per ognuno di essi.
Nel primo caso l’intero diritto di proprietà della soluzione elaborata viene ceduto senza riserve, in maniera simile a quanto avviene per tutte le forme di vendita di un bene o di altra utilità nella sua interezza.
Nel secondo, invece, la proprietà rimane al cedente, essendo la cessione limitata all’uso del bene o dell’utilità, come avviene nei casi di qualunque locazione, salvo che, trattandosi di modalità operative digitali, la utilizzazione può essere anche contemporanea o congiunta da parte di un numero rilevante di soggetti.
Il legislatore Italiano nel 1992 con il D. Lgs. 29 Dicembre 1992 n. 518, in attuazione della Direttiva n. 91/250/CEE, ha equiparato alle opere dell’ingegno di carattere creativo che appartengono alla letteratura i programmi per elaboratori, ovvero il software, con la conseguenza che le problematiche connesse alla vendita dei software sono, pertanto, quelle relative alla cessione dei diritti di utilizzazione dell’opera di un autore, nei limiti e per gli effetti disciplinati dall’art. 2581 c.c., nonché dalla Legge 22 Aprile 1941 n. 633 sul diritto di autore come più volte modificata.
Ne consegue altresì che nella trattazione della cessione delle facoltà di utilizzazione delle modalità digitali innovative ed in genere di tutti i contratti di fornitura ad esse relative non può quindi prescindersi dall’analisi del contenuto di tali particolari opere dell’ingegno, perché attraverso tale analisi sarà più semplice comprendere il contenuto degli accordi che si vogliono stipulare nonché valutare i rapporti di forza tra le parti.
Trattandosi di cessioni aventi ad oggetto utilità o beni non materiali (salvo il supporto fisico eventuale, di valore solitamente trascurabile) non viene richiesta per legge alcuna formalità particolare, quindi un accordo verbale sarebbe sufficiente salvo la ovvia opportunità della conclusione di un contratto scritto.
Un caso particolare di acquisizione della proprietà è riferito a quanto elaborato da parte di un dipendente su incarico del proprio datore di lavoro, perché in tale ipotesi la proprietà di quest’ultimo è automatica per legge, a meno che ciò non sia stato espressamente escluso, senza necessità di una cessione formale (vedasi articolo 12 bis, introdotto nel 2017, della legge sul diritto d’autore).
E’ doveroso far notare che il termine “dipendente” va inteso in senso specifico e che pertanto quanto elaborato a seguito di incarico o commissione ma senza vincolo di subordinazione resta in proprietà del soggetto che lo ha elaborato, con libertà assoluta delle parti di attribuirne i diritti di proprietà e di sfruttamento nei modi e nei termini che credono, senza alcuna presunzione.
In ogni caso, ove la proprietà venga ceduta per intero, l’autore si spoglierà di ogni suo diritto, normalmente contro pagamento di un adeguato corrispettivo, restando così escluso da ogni successiva possibilità di controllo o di gestione della soluzione da lui elaborata.
L’unico diritto non cedibile, ma puramente morale e privo di valore economico, resta quello della paternità su quanto elaborato, in forza dell’articolo 20 della legge sopra citata, ossia il diritto ad esserne considerato e riconosciuto autore, oltre che, teoricamente, ad opporsi a deformazioni, mutilazioni o modifiche, anche se questo ultimo aspetto difficilmente potrebbe assumere rilevanza nel settore informatico, per ovvie ragioni di evoluzione e continuo adattamento.
Le cessioni limitate alla utilizzazione soltanto costituiscono la maggioranza dei casi, e la varietà delle possibili modalità è praticamente infinita oltre che liberamente negoziabile tra le parti.
Normalmente, le modalità digitali sviluppate ed elaborate da un soggetto vengono concesse in licenza d’uso a favore di altri soggetti che, appunto, le utilizzano, ed i limiti a tale uso possono essere temporali, spaziali, di ambito operativo, talvolta anche di piattaforma di sistema (si veda il caso Apple che non consente l’utilizzo dei propri sistemi operativi su macchine che non siano di propria fabbricazione).
In altri casi la licenza d’uso è implicita nell’acquisto della macchina, in quanto il fabbricante della stessa si è assicurato una licenza dallo sviluppatore con facoltà di cedere detta licenza agli acquirenti delle macchine vendute con il proprio marchio, con acquisizione automatica della licenza all’atto dell’acquisto, spesso senza neppure saperlo (cosiddette licenze OEM).
Si è detto che in questo ambito viene lasciata alle parti la più ampia libertà, e questa viene spesso abusata da parte degli sviluppatori ogniqualvolta la loro posizione predominante lo permetta, entro i limiti dettati in materia di clausole vessatorie.
Una delle poche facoltà che non possono in nessun caso essere negate all’utilizzatore-licenziatario sono la riproduzione di una copia di sicurezza per il caso di perdita o distruzione del supporto originariamente fornito, oltre alla “decompilazione” (spesso riferita come “reverse engineering”) al fine di risalire al codice sorgente dell’elaborato oggetto di licenza.
Tale ultima attività, normalmente vietata in quanto comportante accesso al codice sorgente e quindi al vero cuore dell’elaborato, è consentita soltanto per ottenere la interoperatività della soluzione informatica con altri strumenti software utilizzati dal licenziatario, il che tuttavia si verifica di solito soltanto nel caso che quest’ultimo abbia ampie risorse e necessità al riguardo, il che non si verifica con i normali utilizzatori finali. L’aspetto è comunque molto rilevante e le opportune cautele dovranno essere predisposte contrattualmente per disciplinarlo.
Esistono circostanze nelle quali il codice sorgente viene rivelato all’utilizzatore, o del tutto gratuitamente e senza vincoli di alcun genere (licenze di pubblico dominio) oppure con facoltà limitate e ben definite quanto alla modificabilità, integrazione in altre soluzioni di diversa provenienza, usi specifici e altro (licenza open source) nel qual caso si rientra nell’ambito della normale licenza, gratuita o a pagamento che sia.
Un ulteriore aspetto da non trascurare è la eventuale inclusione, nella soluzione elaborata e destinata alla cessione, di parti accessorie elaborate da terzi. Il classico esempio è costituito da librerie di dati, routines di conversione o di datazione o di localizzazione geografica.
Se le stesse sono di dominio pubblico ovvero di libero utilizzo generale il problema naturalmente non si pone, ma se la gratuità è prevista soltanto per utilizzi non commerciali oppure sussistono limitazioni o addirittura divieti, la cessione del pacchetto che li contiene può avere conseguenze estremamente negative.
Il recente caso del sistema di rilevazione delle velocità medie che ha coinvolto le autostrade italiane ne è un esempio (anche se nel caso esistevano aspetti di tutela brevettuale, di solito non presenti nel settore dell’informatica). A prescindere dalle circostanze materiali fisiche, il sistema di rilevazione ed elaborazione dei dati era stato considerato sia da parte degli utilizzatori che da parte di chi aveva loro concesso in licenza il sistema, come perfettamente legittimo, essendo per la maggior parte originale e specifico per l’uso particolare.
Ma la contestazione da parte di chi il sistema lo aveva elaborato per primo ha avuto come conseguenza il divieto di utilizzarlo per intero, con notevoli danni conseguenti, anche se la parte riconosciuta come protetta e non usabile costituiva una porzione quasi marginale dell’intero sistema.
Sono infine da menzionare le ipotesi in cui la soluzione informatica venga elaborata su istruzioni specifiche dell’utilizzatore, per cui, salvo non venga riservato al cedente il diritto di commercializzare in proprio e verso terzi la soluzione da lui sviluppata, ipotesi piuttosto rara, il committente del lavoro diviene proprietario del lavoro in via esclusiva.
A prescindere dalla qualificazione del rapporto (a grandi linee: appalto se lo sviluppatore è un’impresa o contratto d’opera se è un professionista) cambiano in tale caso le rispettive responsabilità, garanzie e diritti, ragione per cui la disciplina contrattuale adatta alla specificità della soluzione ceduta assume una importanza determinante.
E’ da notare che, mentre tali ipotesi di soluzioni personalizzate erano più comuni in tempi passati, sono oggi divenute più rare a causa della miriade di soluzioni informatiche disponibili sul mercato studiate e mirate a venire incontro alle esigenze più disparate.
Ma restano ancora piuttosto diffusi gli adattamenti di soluzioni commerciali comuni, che il cliente utilizzatore, specie se di dimensioni medio-grandi, come banche, società di assicurazione o industrie, vuole in qualche modo personalizzare per meglio adeguarlo alle proprie necessità o per facilitarne l’uso da parte dei dipendenti.
In tali casi, lo sviluppatore cedente dovrà assicurarsi la concessione della relativa licenza da parte dell’avente diritto, con facoltà di modifica e adattamento, ovvero l’acquisto di tale licenza da parte del cliente utilizzatore finale.
Si può osservare insomma che in generale il migliore sfruttamento commerciale delle soluzioni informatiche innovative non può prescindere da una adeguata tutela all’atto della sua cessione a terzi, tutela che può essere assicurata solo con una accurata scelta e formulazione dello strumento contrattuale più adatto, anche al fine di evitare esposizione a rischi operativi derivanti dall’utilizzo da parte del cessionario.

Articolo pubblicato su:
https://www.agendadigitale.eu/sicurezza/software-le-forme-di-cessione-dei-diritti-rischi-e-tutele-contrattuali/