Diritto && Tecnologia

Approfondimenti ed aggiornamenti su diritto e tecnologia.
Domenica, 20 Giugno 2021 21:44

Cosa fare in caso di guasto al cloud provider: aspetti legali della vicenda dei data center OVH

Scritto da

Tra il 10 e l’11 marzo 2021 e poi di nuovo il 19 marzo, un incendio ha colpito i data center di OVH, l’azienda francese tra i leader europei nei servizi web hosting e cloud computing .

Le ripercussioni hanno riguardato circa 3,6 milioni di siti internet in Europa, mentre le imprese in qualche modo colpite dalla interruzione del servizio di cloud fornito da OVH si stima siano quasi 15.000.

In questo articolo affrontiamo gli aspetti legali rilevanti in caso di guasto a data center, prendendo spunto dalla vicenda OVH.

In conseguenza dell'incendio, il provider cloud OVH ha dovuto rallentare le operazioni di ripresa attività, ordinare la consegna di 15.000 nuovi server, ed effettuare operazioni di migrazioni servizi e dati anche sugli altri suoi 31 data center in Francia.

Per quanto siano in corso accertamenti sulle cause dell’incendio, sembrerebbe che i data center di OVH a Strasburgo fossero di vecchia concezione e l’impianto anti-incendio non del tutto adeguato e funzionante.

1- Privacy: incendio del data center e distruzione dei dati personali

Nel frattempo, il 22 Marzo 2021, la CNIL, l’Autorità per la Privacy Francese ha ricordato sul proprio sito web gli obblighi previsti in caso di distruzione e perdita di dati personali.

Obblighi dei titolari e responsabili del trattamento dei dati in caso di incendio del data center e perdita dei dati personali

OVH ospita dati personali nei propri data center incendiati, e, in quanto responsabile del trattamento, deve:

  1. documentare la violazione costituita dalla perdita temporanea o definitiva dei dati personali nel proprio registro dei trattamenti;
  2. informare i suoi clienti.

Se anche i clienti a loro volta sono responsabili del trattamento per conto di terzi (ad esempio, Web e Seo Agency, provider di servizi, piattaforme e-commerce), devono a loro volta informare i loro clienti, titolari dei dati personali andati distrutti, affinchè possano anch’essi documentare la suddetta violazione nei loro registri di trattamento.

Obblighi di notifica al Garante

L’autorità per la Privacy Francese ha altresì chiarito che una notifica al Garante della Privacy non è necessaria se:

  • L’adozione di un piano di ripresa attività (PRA) o di un piano di continuità (PCA) ha permesso di assicurare la continuità del servizio;
  • Se a seguito delle attività di recupero dei dati personali, le conseguenze hanno avuto un impatto limitato sulle persone, come nel caso, della mera impossibilità di eseguire un ordine online, per alcune ore.

La notifica al Garante è invece necessaria se i dati personali sono andati perduti o se l’indisponibilità degli stessi per un tempo sufficientemente lungo ha causato un rischio elevato per le persone.

Ai sensi dell’articolo 56 del GDPR, le imprese con sede in Italia possono effettuare la notifica eventualmente necessaria presso il Garante per la Privacy Italiano.

2 - Il quadro delle responsabilità, profili risarcitori ed assicurativi

OVH, che prima dell’incendio aveva annunciato la quotazione in Borsa, è uno dei più importanti player europei nel mercato dei servizi cloud, settore dominato dalle multinazionali americane (in primis, Microsoft, Google e Amazon).

OVH si è affermata sul mercato da una parte grazie al vantaggio di avere i propri data center in Europa, e, dall’altro, attraverso una politica piuttosto aggressiva sui prezzi.

L’Abbonamento base cloud storage

L’abbonamento base ai servizi di cloud storage, senza la specifica opzione contrattuale della gestione della continuità delle attività del cliente e, in particolare, delle operazioni di salvaguardia, non comporta alcuna responsabilità di OVH per la perdita, alterazione o distruzione dei dati salvati nel cloud.

Regole particolari valgono per i contratti conclusi dai consumatori, oltre che per i contratti sottoscritti con le singole aziende, che prevedano opzioni di backup e continuità aggiuntive con OVH.

In ogni caso, le condizioni generali di OVH prevedono un limite di indennizzo pari al valore dell’abbonamento per 6 mesi, da richiedere entro 2 anni dalla data di conoscenza del danno.

Nei prossimi mesi, una volta accertate le cause dell’incendio, si potrà verificare la tenuta delle limitazioni di responsabilità alla luce della legge applicabile. Le condizioni generali di servizio OVH fanno riferimento alla legge francese e alla competenza del Tribunal de Commerce di Lille.

Pertanto, chi ha perso i propri dati, ma non ha sottoscritto alcuna opzione aggiuntiva di backup e non aveva già previsto un proprio piano di ripristino, ben difficilmente potrà ottenere un risarcimento.

Sembra però che OVH stia cominciando ad offrire dei mesi gratuiti aggiuntivi e/o degli importi simbolici a tutti i suoi clienti, anche a quelli che non avevano sottoscritto opzioni di backup. Ciononostante, associazioni FrenchTech pare stiano valutando un’azione collettiva.

L’abbonamento con servizi aggiuntivi di backup e continuità operativa

Nei casi in cui l’incendio abbia riguardato i dati dei clienti OVH con opzioni backup aggiuntive, la situazione dovrà essere più attentamente valutata: OVH ha assicurato che è possibile per tali clienti recuperare tutti i dati e migrarli sugli altri 31 data center OVH in Francia.

OVH era comunque impegnata contrattualmente a mantenere i dati dei clienti disponibili. Pertanto, i disservizi associati alle operazioni di ripristino, ai controlli e all’indisponibilità almeno temporanea dei dati possono aver causato comunque un danno significativo ai clienti.

La denuncia ad OVH e agli altri responsabili del trattamento

Ai clienti di OVH coinvolti nel disservizio è consigliabile:

  1. verificare i contratti;
  2. inviare denunce di sinistro a OVH o ai propri responsabili del trattamento, secondo le modalità stabilite nei contratti e, parallelamente,
  3. verificare se ci sono gli estremi per una denuncia assicurativa a titolo cautelativo.

Profili assicurativi e polizze Cyber Risk: considerazioni generali

In questa sede non ci è possibile entrare nel merito delle varie situazioni assicurative prospettabili, ma in via generale occorre considerare:

  1. I danni da perdita di dati in genere non sono coperti dalle polizze assicurative;
  2. Le polizze Cyber Risk che prevedono un risarcimento per perdita di dati potrebbero giocare in questo caso un ruolo residuale, dal momento che tali polizze coprono il rischio conseguente a perdite di dati che siano frutto di attacchi informatici: non coprono necessariamente perdite dovute a cause accidentali e potrebbero non risarcire il valore dei dati perduti, in assenza di mancata adozione di misure di sicurezza quali backup o piani di ripristino da parte dell’assicurato.
  3. La quantificazione di questo genere di danni non è sempre agevole: mentre un e-commerce potrà dimostrare la perdita di fatturato durante la mancata operatività dei servizi online, più difficile risulta la valorizzazione della perdita definitiva o temporanea dei dati per una società di servizi o di consulenza software.

Conclusioni

La vicenda OVH evidenzia, tra le altre cose, la fragilità e la complessità dell’infrastruttura ed economia digitale. Delegare un servizio PAAS o IAAS a terzi fornitori non dispensa dall’adozione di un piano di backup e ripresa dell’attività:

è’ infatti fuorviante credere che migrare i dati sul cloud sia sufficiente a proteggerli.


Lo Studio Legale LexIbc opera in lingua francese e può fornire assistenza ai clienti italiani che devono interfacciarsi con OVH e le assicurazioni e/o avviare azioni risarcitorie. Per contatti, visita il profilo di LexIbc su Avvocloud o il sito internet di LexIbc.


Creative Commons License
Mariangela Balestra


Avvocato esperto in Diritto Commerciale Internazionale a Bologna.
Il mio profilo su Avvocloud
I miei articoli sul blog
Contatto email

Admitted at the Bar Association since 2005, mediator and speaker in seminars organized by Italian chambers of commerce and trade associations on issues of international trade, international payments. She is also indicated in the list of attorneys, published by the French Embassy in Italy.

Ultimi articoli

Cerca Avvocato



Cerca l'avvocato: tramite lo strumento di ricerca avvocato trovi rapidamente l'avvocato adatto al tuo caso legale.


Chiedi ad un Avvocato



Chiedi ad un Avvocato: gli avvocati rispondono alle domande degli utenti nella apposita sezione. Pubblica la tua domanda.

Vedi Domande su COVID-19


Domande recenti

Ordine di esecuzione (0 risposte)
2 settimane fa
Allo scadere dei termini per l'impugnazione, il PM che deve emettere ordine di esecuzione (senza sospensione) ha un termine entro il quale farlo?Poniamo ad esempio che una...

Richiesta certificato carichi pendenti per rapporto di lavoro (0 risposte)
3 settimane fa
Buonasera, l'azienda con cui sto per iniziare un rapporto di lavoro come agente di commercio con partita iva ha richiesto, all'interno dei documenti necessari per la stipula del...

Omissione di soccorso e messa alla prova (0 risposte)
4 settimane fa
Buonasera, avrei un quesito da porvi. Il 22/12/2017 ho commesso un'omissione di soccorso a seguito di un tamponamento, con traumi lievi a spalla e ginocchio della persona...

Successione e cessione quote di proprietà di un appartamento a fratelli (1 risposta)
1 mese fa
Buongiorno, siamo tre fratelli proprietari di un appartamento; mia sorella ha rinunciato alla sua quota ed è subentrata la figlia.Io che non ho figli e voglio rinunciare alla...

Compenso avvocato per transazione bancaria (0 risposte)
3 mesi fa
Buongiorno, vorrei sapere se è possibile che esista un tabellario dal quale si evince il compenso per un avvocato specializzato in materia bancaria e finanziaria che si sta...
Ordine di esecuzione (0 risposte)
2 settimane fa
Allo scadere dei termini per l'impugnazione, il PM che deve emettere ordine di esecuzione (senza sospensione) ha un termine entro il quale farlo?Poniamo ad esempio che una...

Richiesta certificato carichi pendenti per rapporto di lavoro (0 risposte)
3 settimane fa
Buonasera, l'azienda con cui sto per iniziare un rapporto di lavoro come agente di commercio con partita iva ha richiesto, all'interno dei documenti necessari per la stipula del...

Omissione di soccorso e messa alla prova (0 risposte)
4 settimane fa
Buonasera, avrei un quesito da porvi. Il 22/12/2017 ho commesso un'omissione di soccorso a seguito di un tamponamento, con traumi lievi a spalla e ginocchio della persona...

Successione e cessione quote di proprietà di un appartamento a fratelli (1 risposta)
1 mese fa
Buongiorno, siamo tre fratelli proprietari di un appartamento; mia sorella ha rinunciato alla sua quota ed è subentrata la figlia.Io che non ho figli e voglio rinunciare alla...

Compenso avvocato per transazione bancaria (0 risposte)
3 mesi fa
Buongiorno, vorrei sapere se è possibile che esista un tabellario dal quale si evince il compenso per un avvocato specializzato in materia bancaria e finanziaria che si sta...
Questo sito utilizza cookies necessari al suo funzionamento come descritto nella COOKIE POLICY.
Chiudendo il banner o continuando la navigazione accetti l'uso dei cookies.