Upload
massimo-farina
View
137
Download
1
Embed Size (px)
Citation preview
Cloud ComputingConcetti, mercato e opportunità
Cagliari 30 Gennaio 2015
Ordine degli
Ingegneri
della
Provincia
di Cagliari
Cloud ComputingConcetti, mercato e opportunità
Ordine degli
Ingegneri
della
Provincia di
Cagliari
Massimo Farina Founder del Network
http://www.diricto.it/
Aspetti giuridici nel settore pubblico e privato.
Impatto normativo, trattamento dei dati personali e contrattualistica MASSIMO FARINA
http://www.massimofarina.it/ - [email protected]
INQUADRAMENTO DEL FENOMENO
(la fattispecie)
PRIVATE CLOUD PUBLIC CLOUDHYBRID CLOUD
IAAS SAAS PAAS
Aspetti giuridici nel settore pubblico e privato.
Impatto normativo, trattamento dei dati personali e contrattualistica MASSIMO FARINA
http://www.massimofarina.it/ - [email protected]
Solo dopo il corretto inquadramento della fattispecie è possibile individuare la relativa disciplina
IAAS SAAS PAAS
�Sistematizzazione delle infrastrutture
�Riorganizzazione dei flussi informativi e migliorefruibilità dei dati
�Razionalizzazione dei costi (servizi più moderni, piùefficienti e più funzionali)
Aspetti giuridici nel settore pubblico e privato.
Impatto normativo, trattamento dei dati personali e contrattualistica MASSIMO FARINA
http://www.massimofarina.it/ - [email protected]
�Circolazione ultronea (sproporzionata?) dei dati personali
�Esternalizzazione e Delocalizzazione dei sistemi e dei servizi: perdita del controllo diretto ed esclusivo dei dati
�Conservazione dei dati in luoghi geografici differenti
Aspetti giuridici nel settore pubblico e privato.
Impatto normativo, trattamento dei dati personali e contrattualistica MASSIMO FARINA
http://www.massimofarina.it/ - [email protected]
I PRINCIPALI ASPETTI GIURIDICI DI INTERESSE
TUTELA DEI DATI PERSONALI
CHI TRATTA I DATI?
COME LI TRATTA?
DOVE LI TRATTA?
TUTELA DEI DATI PERSONALI
Aspetti giuridici nel settore pubblico e privato.
Impatto normativo, trattamento dei dati personali e contrattualistica MASSIMO FARINA
http://www.massimofarina.it/ - [email protected]
INQUADRAMENTO NEGOZIALE
CHE TIPO DI CONTRATTI SONO?
CHE DISCIPLINA SI APPLICA?
Assenza di norme giuridiche dedicate al cloud computing
la normativa europea sullaprotezione dei dati personali risale al1995
In arrivoapprovazione del nuovo RegolamentoEuropeo sulla protezione dei dati chesostituirà il Codice della Privacy
ISO 27018 (agosto 2014). Si tratta di un set
Aspetti giuridici nel settore pubblico e privato.
Impatto normativo, trattamento dei dati personali e contrattualistica MASSIMO FARINA
http://www.massimofarina.it/ - [email protected]
ISO 27018 (agosto 2014). Si tratta di un setdi regole riferito alla disciplina privacy dettatadalla Direttiva Europea 95/46.È realizzato sugli standard ISO 27001 (per lagestione dei rischi dei sistemi IT) e ISO 27002(per stabilire controlli di sicurezza e linee guida)
Recente introduzione di norme tecniche ISO dedicate al cloud computing
Cloud Computing:INDICAZIONI PER L’USO
CONSAPEVOLE DEI SERVIZI
Cloud Computing:IL VADEMECUM DEL GARANTE
16 novembre 2011 24 maggio 2012
Il trasferimento dei dati all’interno della UE e dei paesi dello“Spazio Economico Europeo” è disciplinato dalle medesime regolepreviste per il trattamento in ambito nazionale
Nel caso di diverso paese di destinazione??
È necessario verificare che il livello diprotezione dei dati personali siaadeguato a quello vigente in ambito UE
Nel caso non vi sia giudizio diadeguatezza, affinché iltrasferimento sia consentitooccorre invece fare riferimento
TRASFERIMENTO IN AMBITO EXTRA UE
DIVIETO GENERALE DI TRASFERIMENTO DI DATI ALL’ESTERO
(artt. 42-45 d.lgs. 196/03)
Aspetti giuridici nel settore pubblico e privato.
Impatto normativo, trattamento dei dati personali e contrattualistica MASSIMO FARINA
http://www.massimofarina.it/ - [email protected]
Attualmente risultano in questacondizione: Andorra, Argentina,Australia, Canada, Guernsey, Isola diMan, Isole Faroe, Israele, Jersey, NuovaZelanda, Principato di Monaco, Svizzera,Uruguay.Per gli stati uniti si applica l’accordo SafeHarbor (art.44, co. 1, lett. b, CdP)
adeguato a quello vigente in ambito UE occorre invece fare riferimentoa particolari cautele/strumenti
Ottenere il consenso dall’interessato,salvo
i casi di esonero, espressamente
disciplinati
Adottare modelli contrattuali che vincolano il soggetto ricevente i dati al
rispetto del livello adeguato di tutela dei dati personali
TITOLARETITOLARE
Fruitore del servizio
RESPONSABILE RESPONSABILE (ESTERNO)(ESTERNO)
Cloud Provider
OSSERVAZIONE: pesso la filiera è più complessa. Tra il fruitore del servizio e il cloud
Aspetti giuridici nel settore pubblico e privato.
Impatto normativo, trattamento dei dati personali e contrattualistica MASSIMO FARINA
http://www.massimofarina.it/ - [email protected]
OSSERVAZIONE: pesso la filiera è più complessa. Tra il fruitore del servizio e il cloud provider ci sono, uno o più, intermediari � Come inquadrare tutti i soggetti coinvolti?
LE FIGURE SOGGETTIVE PREVISTE DALLA DISCIPLINA ATTUALMENT E IN VIGORE SONO INADEGUATEPER FENOMENI COMPLESSI COME IL CLOUD
L’attuale disciplina contempla soltanto il titolare, il co ntitolare e il responsabile deltrattamento ���� ma questo è insufficiente per il cloud
Può capitare che i Cloud Provider (o gliintermediari) abbiano una forza(contrattuale/commerciale) che li sottrae alcontrollo del fruitore (titolare)
NON SEMPRE IL FRUITORE DEL SERVIZIO CLOUD HA UN RUOLO
PREMINENTE
CONSIDERANDO 47 DELLA DIRETTIVA 95/46/CE: TITOLARI (controllers) SUPPLEMENTARI PER LA FORNITURA DEL SERVIZIO DI COMUNICAZIONI ELETTRONICH E
IN TAL CASO ?????
(47) considerando che, laddove un messaggio contenente dati personali sia trasmesso tramite un servizio di
Aspetti giuridici nel settore pubblico e privato.
Impatto normativo, trattamento dei dati personali e contrattualistica MASSIMO FARINA
http://www.massimofarina.it/ - [email protected]
(47) considerando che, laddove un messaggio contenente dati personali sia trasmesso tramite un servizio ditelecomunicazioni o di posta elettronica, finalizzato unicamente alla trasmissione di siffatti messaggi, si considera,di norma, responsabile del trattamento dei dati personali contenuti del messaggio la persona che lo ha emanato enon la persona che presta il servizio di trasmissione; che tuttavia le persone che prestano tali servizi sono dinorma considerate responsabili del trattamento dei dati personali supplemen tari necessari per ilfunzionamento del servizio
(47) Whereas where a message containing personal data is transmitted by means of a telecommunications or electronic mail service,the sole purpose of which is the transmission of such messages, the controller in respect of the personal data contained in themessage will normally be considered to be the person from whom the message originates, rather than the person offering thetransmission services; whereas, nevertheless, those offering such services will normally be considered controllers in respect ofthe processing of the additional personal data necessary for the operation of the service;
(d) 'controller' shall mean the natural orlegal person, public authority, agency orany other body which alone or jointly withothers determines the purposes andmeans of the processing of personal data;where the purposes and means ofprocessing are determined by national orCommunity laws or regulations, the
d) "responsabile del trattamento": la personafisica o giuridica, l'autorità pubblica, il servizioo qualsiasi altro organismo che, da solo oinsieme ad altri, determina le finalità e glistrumenti del trattamento di dati personali.Quando le finalità e i mezzi del trattamentosono determinati da disposizioni legislative oregolamentari nazionali o comunitarie, ilresponsabile del trattamento o i criteri
Articolo 2 – Definizioni (Direttiva 95/46/CE)
È il Titolare codificato È il Titolare codificato nella disciplina italiananella disciplina italiana
Aspetti giuridici nel settore pubblico e privato.
Impatto normativo, trattamento dei dati personali e contrattualistica MASSIMO FARINA
http://www.massimofarina.it/ - [email protected]
Community laws or regulations, thecontroller or the specific criteria for hisnomination may be designated by nationalor Community law;
(e) 'processor' shall mean a natural or legalperson, public authority, agency or anyother body which processes personal dataon behalf of the controller;
responsabile del trattamento o i criterispecifici per al sua designazione possonoessere fissati dal diritto nazionale ocomunitario;
e) "incaricato del trattamento": la personafisica o giuridica, l'autorità pubblica, il servizioo qualsiasi altro organismo che elabora datipersonali per conto del responsabile deltrattamento;
MISURE
MINIME DI
SICUREZZA
�Il Titolare (Fruitore del servizio cloud) dei dati deveassicurarsi che:siano adottate misure tecniche e organizzative volte a ridurreal minimo i rischi di distruzione o perdita anche accidentaledei dati, di accesso non autorizzato, di trattamento nonconsentito o non conforme alle finalità della raccolta, dimodifica dei dati in conseguenza di interventi non autorizzatio non conformi alle regole.
MISURE Per i trattamenti eseguiti in cloud, le misure devono essere
Aspetti giuridici nel settore pubblico e privato.
Impatto normativo, trattamento dei dati personali e contrattualistica MASSIMO FARINA
http://www.massimofarina.it/ - [email protected]
•Il cliente (cd. interessato) dovrebbe,ad esempio, accertarsi che i dati siano sempre “disponibili”(che si possa cioè sempre accedere ai dati) e “riservati” (chel’accesso cioè sia consentito solo a chi ne ha diritto).
MISURE
IDONEE DI
SICUREZZA
Per i trattamenti eseguiti in cloud, le misure devono essereadottate dal Cloud Provider (Responsabile esterno deltrattamento – art. 29 D.lgs. 196/03)
Art. 13 L'interessato o la persona presso la quale sono raccoltii dati personali sono previamente informati oralmente o periscritto circa:a) le finalità e le modalità del trattamento cui sono destinati idati;b) la natura obbligatoria o facoltativa del conferimento deidati;c) le conseguenze di un eventuale rifiuto di rispondere;d) i soggetti o le categorie di soggetti ai quali i dati personalipossono essere comunicati o che possono venirne aconoscenza in qualità di responsabili o incaricati, e l'ambito
INFORMATIVA
Aspetti giuridici nel settore pubblico e privato.
Impatto normativo, trattamento dei dati personali e contrattualistica MASSIMO FARINA
http://www.massimofarina.it/ - [email protected]
conoscenza in qualità di responsabili o incaricati, e l'ambitodi diffusione dei dati medesimi;e) i diritti di cui all'articolo 7;
Art. 161: La violazione delle disposizioni di cui all'articolo 13 èpunita con la sanzione amministrativa del pagamento di unasomma da seimila euro a trentaseimila euro.
Quale schema negoziale adottano le parti del Cloud ?
I contratti più ricorrenti
Contratto di licenza Software
Contratto di sviluppo Software
Contratto di fornitura Hardware
Hosting Housing
Aspetti giuridici nel settore pubblico e privato.
Impatto normativo, trattamento dei dati personali e contrattualistica MASSIMO FARINA
http://www.massimofarina.it/ - [email protected]
più ricorrenti sviluppo Software
Contratto di assistenza e
manutenzione
Hardware
I contratti più ricorrenti
LOCAZIONE(art. 1571 s.s. c.c.)
APPALTO(ART. 1655 ss c.c.)
VENDITA
(art. 1470 s.s. c.c.)
Quale schema negoziale adottano le parti del Cloud?
Aspetti giuridici nel settore pubblico e privato.
Impatto normativo, trattamento dei dati personali e contrattualistica MASSIMO FARINA
http://www.massimofarina.it/ - [email protected]
più ricorrenti (ART. 1655 ss c.c.)
CONTRATTOD’OPERA
(ART. 2222 ss c.c.)
(art. 1470 s.s. c.c.)
Rievoca il fenomeno della“esternalizzazione”, ossia quel processo invirtù del quale alcune attività produttive diuna impresa sono affidate a terzi ed in talmodo portate al di fuori dell’azienda stessa(= esternalizzate)
È un modello possibile?
Aspetti giuridici nel settore pubblico e privato.
Impatto normativo, trattamento dei dati personali e contrattualistica MASSIMO FARINA
http://www.massimofarina.it/ - [email protected]
(= esternalizzate)
…..perché l’outsourcing non è un modello contrattuale tipico ma formato da una pluralità di fattispecie eterogenee, tra le quali l’appalto di servizi
Ma questo non risolve il problema
Cloud Computing vs Outsourcing
Il contratto di outsourcing realizzanon solamente un’esternalizzazionedelle risorse strutturali ma anche dellec.d. risorse umane;
Il contratto di Pubblic cloudcomputing è connotato da unoschema di erogazione “uno a molti” ,dove i contratti sono per lo piùstandardizzati e destinate adun’ampia platea di soggetti;
Aspetti giuridici nel settore pubblico e privato.
Impatto normativo, trattamento dei dati personali e contrattualistica MASSIMO FARINA
http://www.massimofarina.it/ - [email protected]
un’ampia platea di soggetti;
Esternalizzazione delle risorse umane
non è così per il contratto di cloudcomputing , che realizzaesclusivamente un’esternalizzazionedelle risorse strutturali
non è così per i contratti dioutsourcing nei quali il rapporto èfiduciario e “uno a uno”.
Intuitu personae (rapporto fiduciario)
1. Inquadramento delle singole fattispecie al fine di identificare la disciplina
applicabile;
2. Più discipline concorrenti (necessità di coordinamento)
3. Complessità soggettiva (più soggetti coinvolti su differenti contratti
collegati)
PRINCIPALI PROBELMATICHEper i contratti del Cloud
Aspetti giuridici nel settore pubblico e privato.
Impatto normativo, trattamento dei dati personali e contrattualistica MASSIMO FARINA
http://www.massimofarina.it/ - [email protected]
Art. 1322, II comma, c.c. - Autonomiacontrattuale“[…] Le parti possono anche concluderecontratti che non appartengano ai tipiaventi una disciplina particolare, purchésiano diretti a realizzare interessimeritevoli di tutela secondol’ordinamento giuridico ”
Art. 1372 c.c. - Efficacia del contratto
“ Il contratto ha forza di legge tra leparti […] ”
Che tipo di contratto è? TIPICO O ATIPICO?
Quale disciplina si applica???
È sempre bene che le parti prevedano ogni minimo de ttaglio nel contratto
�Luogo in cui si trova il cloud providerIndagine
preliminare su
Aspetti giuridici nel settore pubblico e privato.
Impatto normativo, trattamento dei dati personali e contrattualistica MASSIMO FARINA
http://www.massimofarina.it/ - [email protected]
�Luogo in cui si trova l’infrastruttura
�Presenza di altri soggetti (intermediari) tra cloud provider e cliente eluogo di ubicazione degli intermediari e delle loro infrast rutture
�Luogo in cui risiedono fisicamente i dati
�Metodo di raccolta e trattamento dei dati del clienti e dei su oi
�Sorte dei dati dopo la cessazione del rapporto contrattuale
preliminare su
�Soggetto che tratta i dati?
�Luogo di trattamento dei dati?
Soggetto del Cloud e Luogo del Cloud
Con il Cloud Computing non è
sempre chiaro chi sono i soggetti
che trattano i dati e dove.
Tuttavia, tramite il contratto è
possibile delimitare il perimetro
con apposite clausole contrattuali
CORRETTIVI
Aspetti giuridici nel settore pubblico e privato.
Impatto normativo, trattamento dei dati personali e contrattualistica MASSIMO FARINA
http://www.massimofarina.it/ - [email protected]
�divieto esplicito di subappato / subfornitura / subcontratto; (art.1656 c.c)
�divieto esplicito di cessione
�indicazione geografica dei server
�legge applicabile, foro competente
CORRETTIVI
Sicurezza InformaticaAnche nel cloud computing è necessario
assicurare l'integrità, la riservatezza e la disponibilità del dato trattato
CORRETTIVI
Soggetto del Cloud e Luogo del Cloud
Aspetti giuridici nel settore pubblico e privato.
Impatto normativo, trattamento dei dati personali e contrattualistica MASSIMO FARINA
http://www.massimofarina.it/ - [email protected]
�Disciplinare l'adozione di misure di sicurezze idonee mediante allegati,prevedendo l'utilizzo di canali crittografati;
�Risoluzione per inadempimento in caso di mancato rispetto di standard disicurezza;
�Eventuali penali (art. 1382 c.c.).
Interoperabilità;Cancellazione/distruzione dei dati;Restituzione su determinato supporto/formato;
VINCOLI SOGGETTIVI (Lock-in) E
CLAUSOLE WAY-OUT
Aspetti giuridici nel settore pubblico e privato.
Impatto normativo, trattamento dei dati personali e contrattualistica MASSIMO FARINA
http://www.massimofarina.it/ - [email protected]
Clausole Way-Out
CORRETTIVO
Divieto di cessione
Localizzazione dei Server
Divieto di subappalto
Legge applicabile
Aspetti giuridici nel settore pubblico e privato.
Impatto normativo, trattamento dei dati personali e contrattualistica MASSIMO FARINA
http://www.massimofarina.it/ - [email protected]
Legge applicabile
Foro Competente
Misure di sicurezza (risoluzione e penali per il ma ncato adeguamento)
Lock-in e way out (garanzia d’uscita e di distruzio ne del dato)
“Il Fornitore dichiara espressamente di trattare i dati personali di soggetti terzi che le verranno
comunicati nell'adempimento del Contratto come previsto dalla attuale normativa in materia di
Privacy.
Il Fornitore dichiara inoltre di adottare misure di sicurezza idonee in relazione alle
conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche
caratteristiche del trattamento, in modo da ridurre al minimo i rischi di distruzione o perdita,
anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o
non conforme alle finalità della raccolta.
Aspetti giuridici nel settore pubblico e privato.
Impatto normativo, trattamento dei dati personali e contrattualistica MASSIMO FARINA
http://www.massimofarina.it/ - [email protected]
Il Fornitore, in qualsivoglia momento, farà sottoporre gli elaboratori utilizzati per il
trattamento dei dati personali, su richiesta del Titolare, a verifiche da parte di quest'ultima e/o
da soggetti dalla stessa delegati e/o di un organismo ispettivo composto da soggetti
indipendenti, in possesso delle necessarie qualificazioni professionali, vincolati da obbligo di
riservatezza e selezionati dall’esportatore, eventualmente di concerto con l’autorità di controllo,
al fine di verificare l'effettiva l'adozione delle misure di sicurezza di cui all'articolo precedente”.
Aspetti principali dello standard ISO 27018 (1/2)
• l’interessato deve avere la possibilità di esercitare i propri diritti nei confronti del Titolare,anche se i suoi dati sono trattati da un responsabile esterno (cloud provider) e in unanuvola informatica. Lo standard obbliga il fornitore ad offrire al Titolare del trattamento,suo cliente, dei tools appropriati che assicurino l’esercizio dei diritti da parte dei soggetti cui idati si riferiscono.
• il trattamento è esattamente rispondente a quanto indicato nella policy (informativa) resanota all’acquirente dei servizi fin dall’inizio, con esplicita previsione che, nel caso un
Aspetti giuridici nel settore pubblico e privato.
Impatto normativo, trattamento dei dati personali e contrattualistica MASSIMO FARINA
http://www.massimofarina.it/ - [email protected]
nota all’acquirente dei servizi fin dall’inizio, con esplicita previsione che, nel caso unmutamento di mezzi si rendesse necessario per ragioni tecniche, il cliente ne siaprontamente informato e abbia la facoltà di opporsi oppure uscire dal contratto.
• i dati personali in cloud non sono trattati per ragioni di marketing diretto o pubblicitarie, ameno che non vi sia l’esplicito consenso dell’interessato, ma in ogni caso ciò non può maicostituire una precondizione posta dal fornitore al cliente per la fornitura del servizio.
Aspetti principali dello standard ISO 27018
• i clienti hanno il diritto, fin da subito di conoscere i nomi degli eventuali sub-processors(intermediari del cloud provider), e il luogo di stabilimento degli stessi, con diritto di opporsiad eventuali modifiche nella catena dei subfornitori, ovvero dei paesi di loro stabilimento.Può anche essere prevista l’opzione di risolvere il contratto a fronte di tali mutamenti.
• i clienti hanno diritto di ricevere notizia tempestiva delle violazioni di dati personali (databreaches), al fine di poter a loro volta darne notizia alle autorità di controllo (e agliinteressati) nei tempi previsti dalla legge.
Aspetti giuridici nel settore pubblico e privato.
Impatto normativo, trattamento dei dati personali e contrattualistica MASSIMO FARINA
http://www.massimofarina.it/ - [email protected]
• siano disciplinate le modalità di restituzione dei dati personali al cliente una voltaterminato il contratto (cd. transfer back).
• i suoi servizi siano soggetti a verifiche periodiche di conformità agli standard di sicurezza, dicui sia fornita evidenza ai clienti.
• tutto il suo personale addetto al trattamento di dati personali sia vincolato da patti diriservatezza (non disclosure agreements) e riceva adeguata formazione.
Grazie per l’attenzioneGrazie per l’attenzioneGrazie per l’attenzioneGrazie per l’attenzioneMassimo Farina
http://www.massimofarina.ithttp://www.diricto.it/
http://ict4forensics.diee.unica.it/
Aspetti giuridici nel settore pubblico e privato.
Impatto normativo, trattamento dei dati personali e contrattualistica MASSIMO FARINA
http://www.massimofarina.it/ - [email protected]
MUOVERSI NELLA JUNGLA DEI CONTRATTI DEL SOFTWAREMUOVERSI NELLA JUNGLA DEI CONTRATTI DEL SOFTWAREMUOVERSI NELLA JUNGLA DEI CONTRATTI DEL SOFTWAREMUOVERSI NELLA JUNGLA DEI CONTRATTI DEL SOFTWARE
di Massimo Farina
http://www.diricto.it/ http://ict4forensics.diee.unica.it/ [email protected]
Attribuzione - Non Commerciale - Condividi allo stesso modo 3.0
o Tu sei libero:
• di riprodurre, distribuire, comunicare al pubblico, esporre in pubblico, rappresentare, eseguire orecitare l'opera;
• di modificare quest’opera;
• Alle seguenti condizioni:� Attribuzione. Devi attribuire la paternità dell’opera nei modi indicati dall’autore o da chi
ti ha dato l’opera in licenza e in modo tale da non suggerire che essi avallino te o il modo in
Licenza
Aspetti giuridici nel settore pubblico e privato.
Impatto normativo, trattamento dei dati personali e contrattualistica MASSIMO FARINA
http://www.massimofarina.it/ - [email protected]
ti ha dato l’opera in licenza e in modo tale da non suggerire che essi avallino te o il modo incui tu usi l’opera.
� Non commerciale. Non puoi usare quest’opera per fini commerciali.� Condividi allo stesso modo. Se alteri, trasformi quest’opera, o se la usi per crearne
un’altra, puoi distribuire l’opera risultante solo con una licenza identica o equivalente aquesta.
o In occasione di ogni atto di riutilizzazione o distribuzione, devi chiarire agli altri i termini della licenzadi quest’opera.
o Se ottieni il permesso dal titolare del diritto d'autore, è possibile rinunciare ad ognuna di questecondizioni.
o Le tue utilizzazioni libere e gli altri diritti non sono in nessun modo limitati da quanto sopra