CONTRATTUALISTICA PER MSP COMPRESO IL CLOUD
GESTIONE DI TUTTO IL PROCESSO NEGOZIALE
PER IL MANAGED SERVICE PROVIDER (MSP)
Contratto MSP e CLOUD
Il contratto per il MSP rappresenta uno strumento indispensabile per chiarire i rispettivi diritti e doveri con il cliente. Lavorare senza un adeguato contratto, espone l'MSP e il cliente a diverse problematiche legali, non solo in termini di compliance privacy, ma anche di gestione di una eventuale vertenza.
Vendita prodotti
Spesso accade che l'MSP non si limiti solo alla fornitura di servizi, ma che venda prodotti come licenze o strumenti informatici. Queste transazioni sono spesso regolate solo in fattura, senza un contratto che precisi i termini di vendita, lasciando l'MSP senza tutela in caso di vertenza.
DPA
Il DPA (Data Processing Agreement) è l'accordo con il cliente sulla modalità di trattamento dei dati personali dell'MSP, quale responsabile del trattamento. E' un obbligo previsto dall'art. 28 del regolamento GDPR, la cui violazione comporta pesanti sanzioni da parte del Garante Privacy, come già avvenuto.
Firme elettroniche
L'avvocato deve essere in grado di sfruttare le nuove tecnologie per facilitare la gestione dei contratti da parte dell'MSP. Il nostro studio ha elaborato un particolare flusso negoziale da implementare tramite firma elettronica (non digitale), che rende particolarmente efficiente la gestione dei contratti e molto apprezzata dagli MSP.
DISCIPLINA DEGLI ASPETTI NEGOZIALI
L’MSP (Managed Service Provider) si trova oggi di fronte alla scelta se essere uno dei principali collaboratori delle aziende e studi professionali, garantendo la qualità del proprio lavoro, non solo da punto di vista tecnico, ma anche per la compliance privacy.
Il primo elemento che il cliente strutturato valuterà sarà, oltre all’affidabilità tecnica dell’MSP, il contratto in tutte le sue varie parti, che sono tutte essenziali per regolamentare in modo ragionevole il rapporto tra cliente e MSP.
L’MSP infatti ha letteralmente in mano tutti i dati del cliente e deve dare delle idonee garanzie contrattuali, non solo sotto l’aspetto tecnico, ma anche di compliance al regolamento GDPR. In particolare deve esserci la sottoscrizione di un accordo ex art. 28 GDPR, che l’MSP fornisce al cliente e non viceversa, altrimenti diventa una situazione ingestibile per l’MSP.
L’avv. Gianluca Dalla Riva ha elaborato nel corso degli anni, un modello contrattuale flessibile predisposto proprio per gli MSP che tiene conto di tutte le loro esigenze, che emergono nel corso delle sessioni di elaborazione del contratto.
Non solo vengono gestiti contrattualmente i servizi MSP, ma anche la fornitura di servizi CLOUD tramite piattaforme esterne qualificate oppure direttamente organizzate in proprio.
L’MSP spesso fornisce anche licenze software o anche strumenti informatici di vari tipo o ancora gestisce per il cliente i nomi a dominio e altri servizi, che sono debitamente regolati.
Nel contratto viene disciplinato anche il DPA (Data Processing Agreement), in modo da garantire al cliente il rispetto dell’art. 28 regolamento GDPR.
Ci sono poi molte clausole studiate proprio per tutelare l’MSP in varie situazioni, come i pagamenti, condivisione dei rischi, sospensione o revoca del servizio, cancellazione dei dati e altre ipotesi.
La preparazione di un contratto così ben strutturato richiede necessariamente la collaborazione tra MSP e avvocato per ragionare assieme sulle proprie particolari esigenze, per poi arrivare, tramite diverse videocall, ad una versione definitiva, quale base ragionevole su cui costruire il proprio business.
MODALITA' DI PREPARAZIONE DEL CONTRATTO
- Primo contatto e invio preventivo contratto MSP
- Accettazione preventivo contratto MSP
- Spiegazione struttura contrattuale e raccolta esigenze
- Specificazione dei servizi proposti dall'MSP
- Redazione di una prima bozza del contratto e allegati
- Verifica con l'MSP delle varie clausole e spiegazioni
- Spiegazione flusso firma elettronica con esempi pratici
- Controllo finale del contratto con firma elettronica
ASPETTI PRIVACY
DPA (DATA PROCESSING AGREEMENT)
Con l’applicazione del regolamento GDPR, l’MSP si è trovato subissato di richieste dal proprio cliente, di sottoscrizione di accordi ex art. 28, redatti quasi sempre in modo che per ogni problema risponde solo l’MSP, liberando il cliente da ogni responsabilità.
Un consiglio ragionevole è quello che l’MSP abbia il suo DPA (Data Processing Agreement), in modo da poter gestire i propri clienti in modo uniforme e sulla base del principio di responsabilità condivisa, in cui anche il cliente deve collaborare nell’ambito per esempio della gestione della sicurezza e compliance privacy (se i dipendenti creano password come “pippo” o cliccano su qualsiasi email arrivi loro, è ben difficile garantire la sicurezza).
Il Garante Privacy ha chiarito come l’MSP sia senza dubbio responsabile del trattamento con quindi tutti gli obblighi dell’art. 28 GDPR.
Il DPA allora deve disciplinare i molteplici obblighi di cui all’art. 28 GDPR, quali ad esempio la tipologia di trattamenti svolti e per quali dati personali, le misure tecniche ed organizzative implementate per garantire la sicurezza dei propri sistemi, nonché altri ambiti come l’assistenza nella gestione dei diritti degli interessati o in caso di data breach.
La nostra esperienza ha dimostrato quanto sia fondamentale la corretta redazione di questo documento, non solo perché in caso di mancanza o errata redazione si rischiano pensati sanzioni da parte del Garante, ma anche perché viene valutato molto attentamente da parte dei clienti, anche con il supporto del loro legale.
Se questo non è considerato adeguato, il rischio è di perdere non solo potenziali clienti, ma anche quelli attuali, proprio perché il loro consulente privacy ha dato parere negativo al DPA fornito.
SINTESI DEL CONTENUTO DEL DPA
- MSP responsabile del trattamento
- Dati personali trattati
- Trattamenti eseguiti
- Modalità cancellazione dei dati
- Le istruzioni date dal cliente
- Assistenza diritti degli interessati
- Casi di nomina sub-responsabili
- Assistenza DPIA
- Assistenza data breach
- Misure tecniche ed organizzative
- Riservatezza degli autorizzati
- Manleva cliente e altre clausole
SOTTOSCRIZIONE TRAMITE FIRME ELETTRONICHE
FIRMARE I CONTRATTI
CON CELLULARE O PC
La gestione del contratto tramite firma elettronica, rende particolarmente efficiente la gestione dei contratti con i propri clienti sia per la comodità di firmare tramite cellulare o pc, sia in fase di conservazione della documentazione che avviene in modo automatico. Questa soluzione viene di solito accolta dagli MSP, perché i clienti apprezzano soluzioni così innovative e questo aumenta la fiducia verso l’MSP.
GESTIONE APPROPRIATA DEL FLUSSO DI FIRMA ELETTRONICA
Il nostro studio ha elaborato un flusso di firma elettronica, affinato nel tempo, che permette di gestire questo strumento in modo da essere compliance alla normativa vigente in termini ragionevoli. Si tratta di applicare tecnologie innovative in ambito negoziale, in cui oltre agli aspetti tecnici, si devono gestire anche quelli negoziali e privacy, al fine di poter poi difendersi in giudizio in caso di vertenza.
L’avv. Gianluca Dalla Riva si occupa dello studio della firma digitale ed elettronica da molti anni e proprio per diffondere queste conoscenze, ha realizzato un corso nella piattaforma di Udemy molto approfondito (17,5 ore), che riguarda non solo la firma digitale e altre firme elettroniche, ma anche molti vari strumenti collegati ad essa. Per altre informazioni e poter usufruire di condizioni particolari, clicca qui.
CONTENUTI IN AMBITO PRIVACY
ULTIME SANZIONI DEL GARANTE, COMPLIANCE PRIVACY E SERVIZI DIGITALI: ALCUNE RIFLESSIONI STRATEGICHE
Gli ultimi provvedimenti sanzionatori del Garante per la Protezione dei Dati personali, coinvolgenti società sia acquirenti sia fornitrici di servizi informatici, stanno assumendo dimensioni tali
RISCHI LEGALI COLLATERALI AD UN ATTACCO INFORMATICO
RISCHI LEGALI COLLATERALI AD UN ATTACCO INFORMATICO Tanti anni fa, arrivò da me un artigiano bravissimo nel suo lavoro, che aveva un’azienda, insieme con il
E’ POSSIBILE OGGI PER L’MSP (MANAGED SERVICE PROVIDER) LAVORARE SENZA CONTRATTO?
Aziende e studi professionali funzionano grazie all’informatica, parola che racchiude una infinità molteplicità di servizi. E’ difficile però per piccole imprese e studi professionali gestire
COMPLIANCE PRIVACY: ELEMENTI IDENTIFICATIVI DI UN TRATTAMENTO
PER UNA VISIONE DINAMICA CLICCA QUI
APPROCCI RAGIONEVOLI PER LA COMPLIANCE PRIVACY PER L’MSP
WEBINAR In data 22.06.2021 ore 15:30 IN COLLABORAZIONE CON CORETECH Abstract: Come noto la tematica relativa alla protezione dei dati personali sarà la sfida continua
