Cosa fare se il cloud provider va in panne: primi aggiornamenti sulla vicenda OVH

Data center

Nella notte tra il 10 e l’11 marzo 2021 e poi, ancora il 19 marzo 2021, un incendio ha colpito i datacenter della sede di OVH, l’azienda francese tra i leader europei nei servizi storage cloud di siti internet, con ripercussioni su circa 3,6 milioni di siti internet in Europa. Si stima che le imprese in qualche modo colpite siano quasi 15.000.

OVH ha dovuto rallentare le operazioni di ripresa attività, ordinare la consegna di 15.000 nuovi server, da completare in più mesi ed effettuare operazioni di migrazioni servizi e dati anche sugli altri suoi 31 datacenter in Francia. Anche se sono in corso accertamenti sulle cause dell’incendio, sembrerebbe che i datacenter di OVH a Strasburgo fossero di vecchia concezione e l’impianto anti-incendio non del tutto adeguato e funzionante.

L’intervento del Garante della Privacy francese

Nel frattempo, il 22.03.2021, la CNIL, l’autorità per la privacy francese ha ricordato sul proprio sito web gli obblighi previsti in caso di distruzione e perdita di dati personali.

Obblighi dei titolari e responsabili del trattamento dei dati in caso di incendio e perdita dati

In particolare, OVH che ospita dati personali nei datacenter incendiati, in quanto responsabile del trattamento deve documentare la violazione costituita dalla perdita temporanea o definitiva dei dati personali nel registro dei trattamenti tenuto al proprio interno e deve informare i suoi clienti.

Questi ultimi, se a loro volta sono anch’essi responsabili del trattamento per conto di terzi (ad esempio, Web e Seo Agency, provider di servizi, provider e piattaforme di servizi ecommerce), devono a loro volta informare i loro clienti, titolari, affinchè possano anch’essi documentare la suddetta violazione nei loro registri di trattamento.

Obblighi di notifica al Garante

L’autorità francese ha altresì chiarito che una notifica al Garante della privacy non è necessaria se:

  • L’adozione di un piano di ripresa attività (PRA) o di un piano di continuità (PCA) ha permesso di assicurare la continuità del servizio;
  • Se a seguito delle attività di recupero dei dati personali, le conseguenze hanno avuto un impatto limitato sulle persone, come nel caso, della mera impossibilità di eseguire un ordine online, per alcune ore.

La notifica è invece necessaria se i dati personali sono stati perduti o se l’indisponibilità degli stessi per un tempo sufficientemente lungo ha causato un rischio elevato per le persone.

Ai sensi dell’art. 56 del GDPR, le imprese con sede in Italia possono effettuare la notifica eventualmente necessaria presso il garante privacy italiano.

Prime riflessioni: il quadro delle responsabilità, profili risarcitori ed assicurativi

OVH, che prima dell’incendio aveva annunciato la quotazione in Borsa, è uno dei più importanti player europei nel mercato dei servizi cloud, peraltro dominato dalle multinazionali americane (in primis, Microsoft, Google e Amazon).

Si è affermato, da una parte, grazie al vantaggio di avere i suoi datacenter in Europa e, dall’altro per una politica di prezzo piuttosto aggressiva.

L’Abbonamento base cloud storage

L’abbonamento base ai servizi di cloud storage, senza la specifica opzione contrattuale della gestione della continuità delle attività del cliente e, in particolare, delle operazioni di salvaguardia, non comporta alcuna responsabilità di OVH per la perdita, alterazione o distruzione dei dati in cloud.

Regole particolari valgono per i contratti conclusi dai consumatori, oltre che evidentemente, per i contratti sottoscritti con le singole aziende che abbiano sottoscritto opzioni di backup e continuità aggiuntive con OVH. In ogni caso, le condizioni generali di OVH prevedono un limite di indennizzo pari al valore dell’abbonamento per 6 mesi, da richiedere entro 2 anni dalla data di conoscenza del danno.

Nei prossimi mesi, una volta accertate le cause dell’incendio, si potrà verificare la tenuta delle limitazioni di responsabilità alla luce della legge applicabile. Le condizioni generali di servizio OVH fanno riferimento alla legge francese e alla competenza del Tribunale di Commerce di Lille.

In ogni caso, chi ha perso i propri dati, ma non ha sottoscritto alcuna opzione aggiuntiva di backup e non aveva già previsto un proprio piano di ripristino, ben difficilmente potrà ottenere un risarcimento. Sembra, in ogni caso, che OVH stia cominciando ad offrire dei mesi gratuiti aggiuntivi e/o degli importi simbolici a tutti i suoi clienti, anche a quelli che non avevano sottoscritto opzioni di backup. Tuttavia, associazioni Frenchtech starebbero valutando un’azione collettiva.

L’abbonamento con servizi aggiuntivi di backup e continuità operativa

Nei casi in cui l’incendio abbia colpito clienti OVH con opzioni backup aggiuntive, la situazione dovrà essere più attentamente valutata. Infatti, OVH ha assicurato che è possibile per tali clienti recuperare tutti i dati e migrarli sugli altri 31 datacenter OVH in Francia.

Tuttavia OVH si era impegnato contrattualmente a mantenere i dati disponibili. Pertanto, i disservizi associati alle operazioni di ripristino, ai controlli e all’indisponibilità almeno temporanea dei dati possono aver causato comunque un danno significativo ai clienti.

La denuncia ad OVH e agli altri responsabili del trattamento

In ogni caso, è consigliabile, se non è stato già fatto, verificare i contratti, inviare denunce di sinistro a OVH o ai propri responsabili del trattamento, secondo le modalità stabilite nei contratti e, parallelamente, verificare se ci sono gli estremi per una denuncia assicurativa a titolo cautelativo.

Profili assicurativi e polizze Cyber Risk: considerazioni generali

Non è possibile entrare nel merito delle varie situazioni assicurative, ma occorre considerare in generale che:

  1. I danni da perdita di dati sono in genere esclusi nelle polizze assicurative;
  2. Le polizze Cyber Risk che prevedono un risarcimento per perdita di dati potrebbero giocare in questo caso un ruolo residuale, dal momento che tali polizze coprono il rischio conseguente a perdite di dati che siano frutto di attacchi esterni: non coprono necessariamente perdite dovute a cause accidentali e potrebbero non risarcire il valore dei dati perduti, in assenza di mancata adozione di misure di sicurezza quali backup o piani di ripristino da parte dell’assicurato.
  3. La quantificazione di questo genere di danni non è sempre agevole: mentre un e-commerce potrà dimostrare la perdita di fatturato durante la mancata operatività dei servizi online, più difficile risulta la valorizzazione della perdita definitiva o temporanea dei dati per una società di servizi o di consulenza software.

Considerazioni finali

La vicenda OVH, in evoluzione, mostra anche la fragilità e complessità dell’infrastruttura ed economia digitale. Delegare un servizio PAAS o IAAS a terzi fornitori non dispensa dall’adozione di un piano di ripresa dell’attività. E’ infatti fuorviante credere che migrare i dati sul cloud sia sufficiente a proteggerli.

***

Lo Studio opera in lingua francese e può fornire sia informazioni sia assistenza ai clienti italiani che devono interfacciarsi con OVH e le assicurazioni e/o avviare azioni risarcitorie (Tel. +39. 051.269190 / Email: [email protected])

Post Correlati