Guasto al provider di servizi cloud: aspetti legali della vicenda dei data center OVH

Tra il 10 e l’11 marzo 2021 e poi di nuovo il 19 marzo, un incendio ha colpito i data center di OVH, l’azienda francese tra i leader europei nei servizi web hosting e cloud computing .
Le ripercussioni hanno riguardato circa 3,6 milioni di siti internet in Europa, mentre le imprese in qualche modo colpite dalla interruzione del servizio di cloud fornito da OVH si stima siano quasi 15.000.
In questo articolo affrontiamo gli aspetti legali rilevanti in caso di guasto a data center, prendendo spunto dalla vicenda OVH.

In conseguenza dell'incendio, il provider cloud OVH ha dovuto rallentare le operazioni di ripresa attività, ordinare la consegna di 15.000 nuovi server, ed effettuare operazioni di migrazioni servizi e dati anche sugli altri suoi 31 data center in Francia.
Per quanto siano in corso accertamenti sulle cause dell’incendio, sembrerebbe che i data center di OVH a Strasburgo fossero di vecchia concezione e l’impianto anti-incendio non del tutto adeguato e funzionante.

Privacy: incendio del data center e distruzione dei dati personali

Nel frattempo, il 22 Marzo 2021, la CNIL, l’Autorità per la Privacy Francese ha ricordato sul proprio sito web gli obblighi previsti in caso di distruzione e perdita di dati personali.

Obblighi dei titolari e responsabili del trattamento dei dati in caso di incendio del data center e perdita dei dati personali

OVH ospita dati personali nei propri data center incendiati, e, in quanto responsabile del trattamento, deve:

  1. documentare la violazione costituita dalla perdita temporanea o definitiva dei dati personali nel proprio registro dei trattamenti;
  2. informare i suoi clienti.

Se anche i clienti a loro volta sono responsabili del trattamento per conto di terzi (ad esempio, Web e Seo Agency, provider di servizi, piattaforme e-commerce), devono a loro volta informare i loro clienti, titolari dei dati personali andati distrutti, affinchè possano anch’essi documentare la suddetta violazione nei loro registri di trattamento.

Obblighi di notifica al Garante

L’autorità per la Privacy Francese ha altresì chiarito che una notifica al Garante della Privacy non è necessaria se:

  • L’adozione di un piano di ripresa attività (PRA) o di un piano di continuità (PCA) ha permesso di assicurare la continuità del servizio;
  • Se a seguito delle attività di recupero dei dati personali, le conseguenze hanno avuto un impatto limitato sulle persone, come nel caso, della mera impossibilità di eseguire un ordine online, per alcune ore.

La notifica al Garante è invece necessaria se i dati personali sono andati perduti o se l’indisponibilità degli stessi per un tempo sufficientemente lungo ha causato un rischio elevato per le persone.

Ai sensi dell’articolo 56 del GDPR, le imprese con sede in Italia possono effettuare la notifica eventualmente necessaria presso il Garante per la Privacy Italiano.

Il quadro delle responsabilità: profili risarcitori ed assicurativi

OVH, che prima dell’incendio al data center aveva annunciato la quotazione in Borsa, è uno dei più importanti player europei nel mercato dei servizi cloud, settore dominato dalle multinazionali americane (in primis, Microsoft, Google e Amazon).

OVH si è affermata sul mercato da una parte grazie al vantaggio di avere i propri data center in Europa, e, dall’altro, attraverso una politica piuttosto aggressiva sui prezzi.

L’Abbonamento base cloud storage

L’abbonamento base ai servizi di cloud storage, senza la specifica opzione contrattuale della gestione della continuità delle attività del cliente e, in particolare, delle operazioni di salvaguardia, non comporta alcuna responsabilità di OVH per la perdita, alterazione o distruzione dei dati salvati nel cloud.

Regole particolari valgono per i contratti conclusi dai consumatori, oltre che per i contratti sottoscritti con le singole aziende, che prevedano opzioni di backup e continuità aggiuntive con OVH.

In ogni caso, le condizioni generali di OVH prevedono un limite di indennizzo pari al valore dell’abbonamento per 6 mesi, da richiedere entro 2 anni dalla data di conoscenza del danno.

Nei prossimi mesi, una volta accertate le cause dell’incendio, si potrà verificare la tenuta delle limitazioni di responsabilità alla luce della legge applicabile. Le condizioni generali di servizio OVH fanno riferimento alla legge francese e alla competenza del Tribunal de Commerce di Lille.

Pertanto, chi ha perso i propri dati, ma non ha sottoscritto alcuna opzione aggiuntiva di backup e non aveva già previsto un proprio piano di ripristino, ben difficilmente potrà ottenere un risarcimento.

Sembra però che OVH stia cominciando ad offrire dei mesi gratuiti aggiuntivi e/o degli importi simbolici a tutti i suoi clienti, anche a quelli che non avevano sottoscritto opzioni di backup. Ciononostante, associazioni FrenchTech pare stiano valutando un’azione collettiva.

L’abbonamento con servizi aggiuntivi di backup e continuità operativa

Nei casi in cui l’incendio abbia riguardato i dati dei clienti OVH con opzioni backup aggiuntive, la situazione dovrà essere più attentamente valutata: OVH ha assicurato che è possibile per tali clienti recuperare tutti i dati e migrarli sugli altri 31 data center OVH in Francia.

OVH era comunque impegnata contrattualmente a mantenere i dati dei clienti disponibili. Pertanto, i disservizi associati alle operazioni di ripristino, ai controlli e all’indisponibilità almeno temporanea dei dati possono aver causato comunque un danno significativo ai clienti.

La denuncia ad OVH e agli altri responsabili del trattamento

Ai clienti di OVH coinvolti nel disservizio è consigliabile:

  1. verificare i contratti;
  2. inviare denunce di sinistro a OVH o ai propri responsabili del trattamento, secondo le modalità stabilite nei contratti e, parallelamente,
  3. verificare se ci sono gli estremi per una denuncia assicurativa a titolo cautelativo.

Profili assicurativi e polizze Cyber Risk: considerazioni generali

In questa sede non ci è possibile entrare nel merito delle varie situazioni assicurative prospettabili, ma in via generale occorre considerare:

  1. I danni da perdita di dati in genere non sono coperti dalle polizze assicurative;
  2. Le polizze Cyber Risk che prevedono un risarcimento per perdita di dati potrebbero giocare in questo caso un ruolo residuale, dal momento che tali polizze coprono il rischio conseguente a perdite di dati che siano frutto di attacchi informatici: non coprono necessariamente perdite dovute a cause accidentali e potrebbero non risarcire il valore dei dati perduti, in assenza di mancata adozione di misure di sicurezza quali backup o piani di ripristino da parte dell’assicurato.
  3. La quantificazione di questo genere di danni non è sempre agevole: mentre un e-commerce potrà dimostrare la perdita di fatturato durante la mancata operatività dei servizi online, più difficile risulta la valorizzazione della perdita definitiva o temporanea dei dati per una società di servizi o di consulenza software.


Conclusioni

La vicenda OVH evidenzia, tra le altre cose, la fragilità e la complessità dell’infrastruttura ed economia digitale. Delegare un servizio PAAS o IAAS a terzi fornitori non dispensa dall’adozione di un piano di backup e ripresa dell’attività: è’ infatti fuorviante credere che migrare i dati sul cloud sia sufficiente a proteggerli.


Lo Studio Legale LexIbc opera in lingua francese e può fornire assistenza ai clienti italiani che devono interfacciarsi con OVH e le assicurazioni e/o avviare azioni risarcitorie.


Contatta l'avvocato per una consulenza

Consulenza legale aziende a Bologna Avvocato Balestra

Mariangela Balestra

Consulenza legale alle aziende

Avvocato a Bologna, mi occupo di Diritto Commerciale Internazionale e Diritto di Impresa; docente in corsi dedicati alle imprese, lavoro correntemente anche in lingua inglese e francese e partecipo a progetti internazionali in materia di legislazione su nuove tecnologie e intelligenza artificiale.

LexIbc.com

Mariangela Balestra, 2024 - ALL RIGHTS RESERVED


il logo di avvocloud

Promuoviamo le competenze legali degli avvocati online e aiutiamo gli utenti ad orientarsi tra i meandri del Diritto.