Il contratto che nessuno legge
Hai firmato un contratto che regola la tua email, i tuoi file, i tuoi contatti. Non lo hai letto. Non lo ha letto nessuno. Ecco cosa c'è scritto — e perché un professionista dovrebbe preoccuparsi.
Hai firmato un contratto che regola la tua email, i tuoi file, i tuoi contatti. Non lo hai letto. Non lo ha letto nessuno. Ecco cosa c'è scritto.
La scena
Lunedì mattina. Marco apre il portatile, lancia Gmail, e trova un banner: "Abbiamo aggiornato i nostri Termini di Servizio. Accetta per continuare." Marco ha tre urgenze in coda, il telefono che squilla e un caffè che si raffredda. Fa quello che facciamo tutti.
Clicca "Accetto".
Non legge. Non ha mai letto. In compenso, ha appena rinnovato un contratto che regola dove vivono i dati dei suoi clienti, chi può accedervi, e a quali condizioni tutto può cambiare. Un contratto che, se fosse cartaceo e glielo portasse un fornitore qualsiasi, Marco, che di contratti se ne intende, non firmerebbe mai senza leggerlo.
Ma è digitale. È Google. E "tanto lo accettano tutti".
Cosa c'è scritto (davvero)
Ho passato un pomeriggio intero sui Terms of Service di Google Workspace e sui Microsoft Online Services Terms. Non per masochismo: perché un cliente mi ha chiesto "ma che rischio corro, concretamente?" e ho scoperto che non avevo una risposta precisa. Dovevo andare a leggere.
Quello che ho trovato.
Google: i tuoi dati, le loro regole
Nei termini di Google Workspace c'è una clausola che la maggior parte degli utenti non nota. Google si riserva il diritto di sospendere o terminare l'accesso al servizio in caso di violazione dei termini... e la definizione di "violazione" è sufficientemente ampia da includere scenari che non immagineresti. Condivisione di contenuti che Google ritiene inappropriati? Violazione. Uso del servizio in modo "che interferisce con il servizio stesso"? Violazione. La vaghezza è il punto.
C'è di più. I Data Processing Terms di Google specificano che i dati possono essere trasferiti e processati in qualsiasi paese dove Google o i suoi sub-processori hanno strutture. In pratica: i contratti del tuo studio commercialista di Brescia possono essere processati in Virginia, in Irlanda, o in qualsiasi altro luogo Google ritenga opportuno.
Fermiamoci un secondo. Quando un commercialista archivia documenti fiscali dei suoi clienti su Google Drive, sta affidando dati coperti da segreto professionale a un soggetto che risponde primariamente alla legge americana. Lo sa?
Microsoft: il canone che cambia
Microsoft è più esplicita su un punto che Google lascia sfumato: il diritto di modificare unilateralmente prezzi e condizioni. Nei Microsoft Online Services Terms, Microsoft si riserva il diritto di cambiare i termini del servizio con un preavviso. Il preavviso varia: per i prezzi, sono 30 giorni per i rinnovi mensili. Per le modifiche ai termini, può bastare la pubblicazione sul sito.
Tradotto: stai usando un servizio le cui regole possono cambiare mentre lo usi, e la tua unica opzione è accettare o andartene. Andartene come? Con quale exit strategy? Con i dati in quale formato?
La risposta, in molti casi, è: nessun formato facilmente portabile. Il che ci porta al punto successivo.
La clausola che non c'è
Sai cosa manca in entrambi i contratti? Una clausola chiara sulla portabilità dei dati in uscita. Sì, il GDPR garantisce il diritto alla portabilità. Ma c'è una differenza tra il diritto teorico e la possibilità pratica. Prova a esportare dieci anni di email, calendari condivisi, permessi di Drive, workflow di Teams e automazioni di Power Automate in un formato che puoi importare altrove. Buona fortuna.
Non è un bug. È il design. In economia comportamentale, Thaler e Sunstein lo chiamano nudge: un'architettura delle scelte che ti spinge verso un'opzione senza costringerti esplicitamente. Entrare è facile, gratuito, immediato. Uscire è complesso, costoso, scoraggiato. La porta girevole gira solo in una direzione.
Il CLOUD Act: l'elefante nella stanza
C'è un elemento che rende tutto questo più concreto. Si chiama CLOUD Act (Clarifying Lawful Overseas Use of Data Act), una legge americana del 2018. Dice una cosa semplice: le autorità statunitensi possono richiedere l'accesso ai dati gestiti da aziende americane indipendentemente da dove quei dati siano fisicamente archiviati.
Il tuo server Microsoft può stare a Milano. I tuoi dati, legalmente, rispondono a Washington.
Questo non è un segreto. È scritto nella legge. Ma quanti professionisti italiani lo sanno quando scelgono Microsoft 365 per gestire lo studio?
"Ma tanto non ho niente da nascondere"
La sento spesso, questa frase. È il riflesso condizionato di chi non ha ancora capito che la questione non è nascondere qualcosa. La questione è: chi decide cosa succede ai tuoi dati?
Se sei un professionista, quei dati non sono solo tuoi. Sono dei tuoi clienti. Dei loro dipendenti. Delle loro famiglie, a volte. Hai un dovere di custodia che non puoi delegare a un soggetto che risponde a una giurisdizione diversa dalla tua, con regole che può cambiare quando vuole.
Non è paranoia. È responsabilità professionale.
Il reframing
Non ti sto dicendo di cancellare Gmail domani. Non ti sto dicendo che Google e Microsoft sono il male. Sono strumenti potenti, funzionano bene, e in molti casi hanno senso.
Ti sto dicendo una cosa diversa: leggi il contratto. Quello vero, non il riassuntino con le icone colorate. E dopo averlo letto, chiediti: se questo contratto me lo portasse un fornitore qualsiasi, il tipo che ti gestisce il server, il consulente che ti segue la contabilità: lo firmeresti così com'è?
Se la risposta è no, forse è il momento di capire quali alternative esistono. Non necessariamente migliori. Non necessariamente più economiche. Ma trasparenti.
La prossima settimana parliamo degli aumenti di prezzo di Microsoft. Ma il problema non è il prezzo.
