Embed Size (px)
DESCRIPTION
Cloud computing: opportunità di business e problematiche legali
Citation preview
CLOUD COMPUTING: OPPORTUNITA’ DI BUSINESS E
PROBLEMATICHE LEGALI
Avv. Juri Monducci
CLOUD COMPUTING: OPPORTUNITA’ DI BUSINESS E
PROBLEMATICHE LEGALI
Avv. Juri Monducci
CHI SONO
CHI È MPS
CHI SONO
CHI È MPS
Socio fondatore dello studio legale Monducci Perri Spedicato & Partners.Dottore di ricerca in Informatica giuridica e diritto dell’informatica.Ricercatore in Informatica giuridica presso l’Università degli Studi di Milano.Professore aggregato di Informatica giuridica avanzata presso l’Università degli Studi di Milano.Membro del comitato scientifico di AIPSI e IISFA.
Lo Studio legale associato Monducci Perri Spedicato & Partners è una law boutique specializzata in proprietà intellettuale, diritto delle nuove tecnologie e diritto dell’innovazione. Affianca chi fa dell’innovazione il proprio lavoro e il proprio impegno quotidiani, supportandolo nell’attività day by day e assistendolo nelle operazioni più complesse.
Socio fondatore dello studio legale Monducci Perri Spedicato & Partners.Dottore di ricerca in Informatica giuridica e diritto dell’informatica.Ricercatore in Informatica giuridica presso l’Università degli Studi di Milano.Professore aggregato di Informatica giuridica avanzata presso l’Università degli Studi di Milano.Membro del comitato scientifico di AIPSI e IISFA.
Lo Studio legale associato Monducci Perri Spedicato & Partners è una law boutique specializzata in proprietà intellettuale, diritto delle nuove tecnologie e diritto dell’innovazione. Affianca chi fa dell’innovazione il proprio lavoro e il proprio impegno quotidiani, supportandolo nell’attività day by day e assistendolo nelle operazioni più complesse.
Perché diventare “cloud”?Perché diventare “cloud”?
• Lato utente, non devono essere rispettati particolari requisiti per l’installazione di software;
• Il cliente utilizza software del cloud provider su server del cloud provider;
• Il cliente può corrispondere importi correlati all’effettivo utilizzo;• Si scarica sul cloud provider la responsabilità di mantenere il
software aggiornato per evitare malfunzionamenti;• Si scarica (parzialmente) sul cloud provider la responsabilità giuridica
di tenere i dati in sicurezza;• Si scarica sul cloud provider la responsabilità di gestire l’hardware e
la business continuity;• Si incentiva il c.d. green computing.
• Lato utente, non devono essere rispettati particolari requisiti per l’installazione di software;
• Il cliente utilizza software del cloud provider su server del cloud provider;
• Il cliente può corrispondere importi correlati all’effettivo utilizzo;• Si scarica sul cloud provider la responsabilità di mantenere il
software aggiornato per evitare malfunzionamenti;• Si scarica (parzialmente) sul cloud provider la responsabilità giuridica
di tenere i dati in sicurezza;• Si scarica sul cloud provider la responsabilità di gestire l’hardware e
la business continuity;• Si incentiva il c.d. green computing.
Ma soprattutto…Ma soprattutto…
The Centre for Economics and Business Research predicts that Europe's five largest economies could save €177bn each year for the next five years if all their businesses were to switch over at the expected rate.
The Centre for Economics and Business Research predicts that Europe's five largest economies could save €177bn each year for the next five years if all their businesses were to switch over at the expected rate.
Siamo già tutti più o meno “cloud”?Siamo già tutti più o meno “cloud”?
E il diritto?E il diritto?
Le “nuvole” da un punto di vista giuridicoLe “nuvole” da un punto di vista giuridico
• Per il giurista, il cloud computing si traduce nella condivisione o conservazione, da parte degli utenti, di dati o applicazioni su server di proprietà o gestiti da terzi, ai quali si accede tramite Internet.
• Quello che noi vediamo con preoccupazione, quindi, al di là degli indubbi vantaggi in termini di costi, efficienza, outsourcing della gestione del patrimonio informativo, è questo flusso di dati che viaggia verso “nuvole”.
• Trattandosi di offerte rivolte tanto al privato quanto all’azienda e alla PA, è evidente che molta attenzione deve essere posta agli aspetti di riservatezza dei dati e sicurezza delle informazioni.
• Per il giurista, il cloud computing si traduce nella condivisione o conservazione, da parte degli utenti, di dati o applicazioni su server di proprietà o gestiti da terzi, ai quali si accede tramite Internet.
• Quello che noi vediamo con preoccupazione, quindi, al di là degli indubbi vantaggi in termini di costi, efficienza, outsourcing della gestione del patrimonio informativo, è questo flusso di dati che viaggia verso “nuvole”.
• Trattandosi di offerte rivolte tanto al privato quanto all’azienda e alla PA, è evidente che molta attenzione deve essere posta agli aspetti di riservatezza dei dati e sicurezza delle informazioni.
I problemi “WWW”I problemi “WWW”
• Chi può accedere ai dati? (Who)
• Cosa viene fatto con i miei dati (What)
• Dove sono i miei dati? (Where)
• Chi può accedere ai dati? (Who)
• Cosa viene fatto con i miei dati (What)
• Dove sono i miei dati? (Where)
O meglio…O meglio…
• Quale legge è applicabile al contratto?• Qual è il foro competente?• Come garantire la titolarità dei dati?• Come garantire la salvaguardia dei segreti aziendali? • Come garantire la possibilità di acquisizione forense di prove
digitali? • Come garantire la legal compliance in relazione al trattamento
dei dati personali?• Come garantire la massima sicurezza nel trattamento dei dati? • Ecc…
• Quale legge è applicabile al contratto?• Qual è il foro competente?• Come garantire la titolarità dei dati?• Come garantire la salvaguardia dei segreti aziendali? • Come garantire la possibilità di acquisizione forense di prove
digitali? • Come garantire la legal compliance in relazione al trattamento
dei dati personali?• Come garantire la massima sicurezza nel trattamento dei dati? • Ecc…
I profili (al momento) più rilevanti del cloudI profili (al momento) più rilevanti del cloud
• Profili contrattuali
• Profili legati al trattamento dei dati personali
• Profili contrattuali
• Profili legati al trattamento dei dati personali
Legge applicabile…“obscured by clouds”?Legge applicabile…“obscured by clouds”?
• In uno scenario tipico, potremmo trovare almeno quattro diversi ordinamenti giuridici da tenere in considerazione:
• 1) la legge del cliente/utente del servizio; • 2) la legge del Paese del cloud provider; • 3) la legge del Paese dove sono conservati i dati; • 4) la legge del Paese del soggetto cui si riferiscono i dati.
• In uno scenario tipico, potremmo trovare almeno quattro diversi ordinamenti giuridici da tenere in considerazione:
• 1) la legge del cliente/utente del servizio; • 2) la legge del Paese del cloud provider; • 3) la legge del Paese dove sono conservati i dati; • 4) la legge del Paese del soggetto cui si riferiscono i dati.
Lessons learnedLessons learned
• Yahoo! in Belgio– Alcuni truffatori si scambiavano informazioni mediante
Yahoo! Mail– La polizia chiede collaborazione a Yahoo!– Yahoo! rifiuta sostenendo che è una compagnia
statunitense e non è soggetta alle leggi del Belgio, quindi li esorta a seguire la strada della rogatoria internazionale
– Le autorità belghe argomentano che, offrendo Yahoo! i propri servizi in Belgio, deve intendersi soggetta alle leggi belghe, e multano Yahoo!
– Yahoo! vince in appello
• Yahoo! in Belgio– Alcuni truffatori si scambiavano informazioni mediante
Yahoo! Mail– La polizia chiede collaborazione a Yahoo!– Yahoo! rifiuta sostenendo che è una compagnia
statunitense e non è soggetta alle leggi del Belgio, quindi li esorta a seguire la strada della rogatoria internazionale
– Le autorità belghe argomentano che, offrendo Yahoo! i propri servizi in Belgio, deve intendersi soggetta alle leggi belghe, e multano Yahoo!
– Yahoo! vince in appello
Lessons learned /2Lessons learned /2
• Google Brazil– Nell’agosto del 2006, una Corte brasiliana ordina a Google
di fornire immediatamente informazioni utili a identificare alcuni utenti su Orkut, comminando una sanzione di $23.000 per ogni giorno di ritardo;
– Come nel caso di Yahoo!, Google argomenta che la strada da seguire è quella delle rogatorie internazionali;
– Nel luglio 2008 Google e le autorità brasiliane raggiungono un accordo volto alla apposizione di filtri per i contenuti e alla fornitura di informazioni senza necessità di attivare gli strumenti ordinari.
• Google Brazil– Nell’agosto del 2006, una Corte brasiliana ordina a Google
di fornire immediatamente informazioni utili a identificare alcuni utenti su Orkut, comminando una sanzione di $23.000 per ogni giorno di ritardo;
– Come nel caso di Yahoo!, Google argomenta che la strada da seguire è quella delle rogatorie internazionali;
– Nel luglio 2008 Google e le autorità brasiliane raggiungono un accordo volto alla apposizione di filtri per i contenuti e alla fornitura di informazioni senza necessità di attivare gli strumenti ordinari.
Contratti e legge applicabileContratti e legge applicabile
• In ambito europeo, potrebbero soccorrere all’esigenza di individuare la legge applicabile due testi normativi– Council Regulation (EC) No. 593/2008 of the European
Parliament and of the Council of 17 June 2008 on the law applicable to contractual obligations (Rome I), OJ 2008 No. L177/6, 04 July 2008.
– Council Regulation (EC) No 864/2007 of the European Parliament and of the Council of 11 July 2007 on the law applicable to non-contractual obligations (Rome II), OJ 2007 No. L199/40, 31 July 2007.
• In ambito europeo, potrebbero soccorrere all’esigenza di individuare la legge applicabile due testi normativi– Council Regulation (EC) No. 593/2008 of the European
Parliament and of the Council of 17 June 2008 on the law applicable to contractual obligations (Rome I), OJ 2008 No. L177/6, 04 July 2008.
– Council Regulation (EC) No 864/2007 of the European Parliament and of the Council of 11 July 2007 on the law applicable to non-contractual obligations (Rome II), OJ 2007 No. L199/40, 31 July 2007.
La “Country of origin” ruleLa “Country of origin” rule
• Sempre in ambito europeo, la Direttiva c.d. “e-commerce” del 2000 stabilisce che il fornitore di un servizio della società dell’informazione non deve preoccuparsi di essere a norma con la legge di tutti gli Stati membri, ma solo con quella del Paese d’origine;
• Analogamente, la sede del cloud provider verrà collocata dove viene esercitata l’attività economica, quindi dove ha sede il provider e non dove risiedono i dati.
• Sempre in ambito europeo, la Direttiva c.d. “e-commerce” del 2000 stabilisce che il fornitore di un servizio della società dell’informazione non deve preoccuparsi di essere a norma con la legge di tutti gli Stati membri, ma solo con quella del Paese d’origine;
• Analogamente, la sede del cloud provider verrà collocata dove viene esercitata l’attività economica, quindi dove ha sede il provider e non dove risiedono i dati.
Riassumendo…Riassumendo…
• La transnazionalità dei servizi cloud pone molti problemi relativamente a quale legge regolamenta il servizio;
• Il cloud provider e l’utente hanno gli strumenti giuridici per definire contrattualmente il regime giuridico applicabile;
• Vi sono, tuttavia, altri aspetti che non possono essere coperti dal diritto privato, quindi la scelta della sede, da parte del cloud provider, è un fattore strategico sia per il provider sia per l’utente;
• A seconda dei dati che si vorranno collocare sulla nuvola, bisognerà analizzare i poteri d’accesso che la legge dello Stato ove ha sede il provider consente alle forze dell’ordine (ad es. Patriot Act per gli USA come nel casp PbD vs. SWIFT).
• La transnazionalità dei servizi cloud pone molti problemi relativamente a quale legge regolamenta il servizio;
• Il cloud provider e l’utente hanno gli strumenti giuridici per definire contrattualmente il regime giuridico applicabile;
• Vi sono, tuttavia, altri aspetti che non possono essere coperti dal diritto privato, quindi la scelta della sede, da parte del cloud provider, è un fattore strategico sia per il provider sia per l’utente;
• A seconda dei dati che si vorranno collocare sulla nuvola, bisognerà analizzare i poteri d’accesso che la legge dello Stato ove ha sede il provider consente alle forze dell’ordine (ad es. Patriot Act per gli USA come nel casp PbD vs. SWIFT).
I rischi da evitareI rischi da evitare
• Lock-in verso uno specifico fornitore;• Perdita del proprio patrimonio informativo a seguito di vicende
societarie del provider;• Difficoltà nel determinare il luogo dell’obbligazione e la legge
applicabile;• Difficoltà nella costituzione di elementi di prova per far valere
una propria pretesa in giudizio;• Tutto ciò che riguarda la sicurezza dei dati;• Tutto ciò che riguarda la business continuity.
• Lock-in verso uno specifico fornitore;• Perdita del proprio patrimonio informativo a seguito di vicende
societarie del provider;• Difficoltà nel determinare il luogo dell’obbligazione e la legge
applicabile;• Difficoltà nella costituzione di elementi di prova per far valere
una propria pretesa in giudizio;• Tutto ciò che riguarda la sicurezza dei dati;• Tutto ciò che riguarda la business continuity.
In una parola: clausole contrattualiIn una parola: clausole contrattuali
• Bisogna predisporre delle clausole contrattuali molto precise, concentrandosi sui seguenti punti (la lista è integrabile dal pubblico presente):– Legge applicabile e foro competente;– Service Level Agreement (ovvero garanzie e responsabilità);– Prezzo del servizio e scalabilità dello stesso;– Misure di sicurezza adottate (backup, disaster recovery,
ecc.);– Supporto;– Formati di esportazione dei dati.
• Bisogna predisporre delle clausole contrattuali molto precise, concentrandosi sui seguenti punti (la lista è integrabile dal pubblico presente):– Legge applicabile e foro competente;– Service Level Agreement (ovvero garanzie e responsabilità);– Prezzo del servizio e scalabilità dello stesso;– Misure di sicurezza adottate (backup, disaster recovery,
ecc.);– Supporto;– Formati di esportazione dei dati.
Cosa sta accadendo, in pratica?Cosa sta accadendo, in pratica?
• Diversi cloud provider stanno optando per la collocazione di una sede e di un datacenter all’interno dell’UE;
• Siamo in trepidante attesa delle modifiche alla Direttiva 95/46/EC;
• E questo ci porta a parlare dei profili di privacy e di sicurezza :-)
• Diversi cloud provider stanno optando per la collocazione di una sede e di un datacenter all’interno dell’UE;
• Siamo in trepidante attesa delle modifiche alla Direttiva 95/46/EC;
• E questo ci porta a parlare dei profili di privacy e di sicurezza :-)
Some quotes…Some quotes…
• «The processing of sensitive data generally should not be allowed in cloud computing systems, or only if the relevant servers are located in the EU»
(Mr. Axel Voss)
• «EU law should apply when EU data are processed anywhere in the world»
(Mrs. Viviane Reding)
• «The processing of sensitive data generally should not be allowed in cloud computing systems, or only if the relevant servers are located in the EU»
(Mr. Axel Voss)
• «EU law should apply when EU data are processed anywhere in the world»
(Mrs. Viviane Reding)
Other quotes…Other quotes…
• «One reason you should not use web applications to do your computing is that you lose control. It’s just as bad as using a proprietary program. Do your own computing on your own computer with your copy of a freedom-respecting program. If you use a proprietary program or somebody else’s web server, you’re defenseless. You’re putty in the hands of whoever developed that software»
(Richard Stallman)
• «Occorre riflettere anche sui rischi che pone la nuova tecnologia del “cloud computing”, con la quale i dati verranno sempre più sottratti alla disponibilità materiale di chi li produce e usa, e gestiti da enormi server collocati in ogni parte del pianeta»
(Francesco Pizzetti)
• «One reason you should not use web applications to do your computing is that you lose control. It’s just as bad as using a proprietary program. Do your own computing on your own computer with your copy of a freedom-respecting program. If you use a proprietary program or somebody else’s web server, you’re defenseless. You’re putty in the hands of whoever developed that software»
(Richard Stallman)
• «Occorre riflettere anche sui rischi che pone la nuova tecnologia del “cloud computing”, con la quale i dati verranno sempre più sottratti alla disponibilità materiale di chi li produce e usa, e gestiti da enormi server collocati in ogni parte del pianeta»
(Francesco Pizzetti)
In particolare in ItaliaIn particolare in Italia
• Secondo il Garante italiano, «la nuova tecnologia del “cloud computing”, con la quale i dati verranno sempre più sottratti alla disponibilità materiale di chi li produce e usa e gestiti da enormi server collocati in ogni parte del pianeta» costituirà «un fenomeno che moltiplicherà i servizi di “remote hard disk” e renderà sempre più ampio il ricorso all'outsourcing e all'hosting dei sistemi, moltiplicando i servizi forniti da terzi secondo modalità che favoriscono sempre di più la delocalizzazione dei dati conservati».
• Per questi motivi, invoca la creazione di «un elenco esaustivo delle banche dati di interesse nazionale e della loro dislocazione, comprese quelle gestite da privati».
• Secondo il Garante italiano, «la nuova tecnologia del “cloud computing”, con la quale i dati verranno sempre più sottratti alla disponibilità materiale di chi li produce e usa e gestiti da enormi server collocati in ogni parte del pianeta» costituirà «un fenomeno che moltiplicherà i servizi di “remote hard disk” e renderà sempre più ampio il ricorso all'outsourcing e all'hosting dei sistemi, moltiplicando i servizi forniti da terzi secondo modalità che favoriscono sempre di più la delocalizzazione dei dati conservati».
• Per questi motivi, invoca la creazione di «un elenco esaustivo delle banche dati di interesse nazionale e della loro dislocazione, comprese quelle gestite da privati».
Punti criticiPunti critici
• Applicabilità del d.lgs. 196/2003 al cloud provider
• Ruolo del cloud provider nel trattamento dei dati
• Trasferimento dei dati all’estero
• Applicabilità del d.lgs. 196/2003 al cloud provider
• Ruolo del cloud provider nel trattamento dei dati
• Trasferimento dei dati all’estero
ApplicabilitàApplicabilità
• È possibile applicare il Codice al cloud provider quanto quest’ultimo:– è stabilito in Italia (art. 5, co. 1);– è stabilito nel territorio di un Paese non appartenente all’Unione
europea e impiega, per il trattamento, strumenti situati in Italia anche diversi da quelli elettronici, salvo che essi siano utilizzati solo ai fini di transito nel territorio dell’Unione europea (art. 5, co. 2).
• Se il cloud provider ha la propria sede e le proprie infrastrutture al di fuori del territorio dello Stato non potrà essere assoggettato al Codice
• È possibile applicare il Codice al cloud provider quanto quest’ultimo:– è stabilito in Italia (art. 5, co. 1);– è stabilito nel territorio di un Paese non appartenente all’Unione
europea e impiega, per il trattamento, strumenti situati in Italia anche diversi da quelli elettronici, salvo che essi siano utilizzati solo ai fini di transito nel territorio dell’Unione europea (art. 5, co. 2).
• Se il cloud provider ha la propria sede e le proprie infrastrutture al di fuori del territorio dello Stato non potrà essere assoggettato al Codice
Contitolare o responsabile?Contitolare o responsabile?
• Il TITOLARE del trattamento è la «persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza» (art. 4, co. 1, lett. f).
• Il RESPONSABILE del trattamento è la «persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali» (art. 4, co. 1, lett. g).
• Il TITOLARE del trattamento è la «persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza» (art. 4, co. 1, lett. f).
• Il RESPONSABILE del trattamento è la «persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali» (art. 4, co. 1, lett. g).
Problemi applicativiProblemi applicativi
• L’art. 29, d.lgs. 196/2003, pone qualche problema applicativo…
– «Il responsabile è designato dal titolare facoltativamente.– Se designato, il responsabile è individuato tra soggetti che per esperienza,
capacità ed affidabilità forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza.
– Ove necessario per esigenze organizzative, possono essere designati responsabili più soggetti, anche mediante suddivisione di compiti.
– I compiti affidati al responsabile sono analiticamente specificati per iscritto dal titolare.
– Il responsabile effettua il trattamento attenendosi alle istruzioni impartite dal titolare il quale, anche tramite verifiche periodiche, vigila sulla puntuale osservanza delle disposizioni di cui al comma 2 e delle proprie istruzioni».
• L’art. 29, d.lgs. 196/2003, pone qualche problema applicativo…
– «Il responsabile è designato dal titolare facoltativamente.– Se designato, il responsabile è individuato tra soggetti che per esperienza,
capacità ed affidabilità forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza.
– Ove necessario per esigenze organizzative, possono essere designati responsabili più soggetti, anche mediante suddivisione di compiti.
– I compiti affidati al responsabile sono analiticamente specificati per iscritto dal titolare.
– Il responsabile effettua il trattamento attenendosi alle istruzioni impartite dal titolare il quale, anche tramite verifiche periodiche, vigila sulla puntuale osservanza delle disposizioni di cui al comma 2 e delle proprie istruzioni».
Trasferimento dei dati all’esteroTrasferimento dei dati all’estero
• Art. 43, d.lgs. 196/2003
– 1. Il trasferimento anche temporaneo fuori del territorio dello Stato, con qualsiasi forma o mezzo, di dati personali oggetto di trattamento, se diretto verso un Paese non appartenente all’Unione europea è consentito quando:• a) l’interessato ha manifestato il proprio consenso espresso o, se si tratta di
dati sensibili, in forma scritta;• b) è necessario per l'esecuzione di obblighi derivanti da un contratto del
quale e' parte l'interessato o per adempiere, prima della conclusione del contratto, a specifiche richieste dell'interessato, ovvero per la conclusione o per l'esecuzione di un contratto stipulato a favore dell'interessato;
• (…)• h) il trattamento concerne dati riguardanti persone giuridiche, enti o
associazioni.
• Art. 43, d.lgs. 196/2003
– 1. Il trasferimento anche temporaneo fuori del territorio dello Stato, con qualsiasi forma o mezzo, di dati personali oggetto di trattamento, se diretto verso un Paese non appartenente all’Unione europea è consentito quando:• a) l’interessato ha manifestato il proprio consenso espresso o, se si tratta di
dati sensibili, in forma scritta;• b) è necessario per l'esecuzione di obblighi derivanti da un contratto del
quale e' parte l'interessato o per adempiere, prima della conclusione del contratto, a specifiche richieste dell'interessato, ovvero per la conclusione o per l'esecuzione di un contratto stipulato a favore dell'interessato;
• (…)• h) il trattamento concerne dati riguardanti persone giuridiche, enti o
associazioni.
Trasferimento dei dati all’estero /2Trasferimento dei dati all’estero /2
• Art. 44, d.lgs. 196/2003– «Il trasferimento di dati personali oggetto di trattamento, diretto verso un
Paese non appartenente all'Unione europea, è altresì consentito quando è autorizzato dal Garante sulla base di adeguate garanzie per i diritti dell’interessato:• a) individuate dal Garante anche in relazione a garanzie prestate con un
contratto;• b) individuate con le decisioni previste dagli articoli 25, paragrafo 6, e 26,
paragrafo 4, della direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, con le quali la Commissione europea constata che
– un Paese non appartenente all'Unione europea garantisce un livello di protezione adeguato o
– che alcune clausole contrattuali offrono garanzie sufficienti.
• Art. 44, d.lgs. 196/2003– «Il trasferimento di dati personali oggetto di trattamento, diretto verso un
Paese non appartenente all'Unione europea, è altresì consentito quando è autorizzato dal Garante sulla base di adeguate garanzie per i diritti dell’interessato:• a) individuate dal Garante anche in relazione a garanzie prestate con un
contratto;• b) individuate con le decisioni previste dagli articoli 25, paragrafo 6, e 26,
paragrafo 4, della direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, con le quali la Commissione europea constata che
– un Paese non appartenente all'Unione europea garantisce un livello di protezione adeguato o
– che alcune clausole contrattuali offrono garanzie sufficienti.
Trasferimento di dati all’estero /3Trasferimento di dati all’estero /3
• Art. 45, d.lgs. 196/2003
• «Fuori dei casi di cui agli articoli 43 e 44, il trasferimento anche temporaneo fuori del territorio dello Stato, con qualsiasi forma o mezzo, di dati personali oggetto di trattamento, diretto verso un Paese non appartenente all’Unione europea, è vietato quando l’ordinamento del Paese di destinazione o di transito dei dati non assicura un livello di tutela delle persone adeguato. Sono valutate anche le modalità del trasferimento e dei trattamenti previsti, le relative finalità, la natura dei dati e le misure di sicurezza».
• Art. 45, d.lgs. 196/2003
• «Fuori dei casi di cui agli articoli 43 e 44, il trasferimento anche temporaneo fuori del territorio dello Stato, con qualsiasi forma o mezzo, di dati personali oggetto di trattamento, diretto verso un Paese non appartenente all’Unione europea, è vietato quando l’ordinamento del Paese di destinazione o di transito dei dati non assicura un livello di tutela delle persone adeguato. Sono valutate anche le modalità del trasferimento e dei trattamenti previsti, le relative finalità, la natura dei dati e le misure di sicurezza».
RiassumendoRiassumendo
In conclusione, per effettuare un trasferimento di dati all’estero conforme al Codice Privacy, è possibile seguire una delle seguenti strade:
Trasferimento di dati verso i soli Paesi che offrono garanzie adeguate: ad oggi si tratta di (Svizzera, Canada, Argentina, Isola di Guernsey, Isola di Man, Isola di Jersey, Isole Far Oer, Andorra, USA limitatamente alle imprese che aderiscono al c.d. Safe Harbor)
Inserimento nel contratto delle clausole contrattuali standard approvate dalla Commissione europea (cfr. da ultimo le decisioni della Commissione europea 2004/915/CE e 2010/87/UE)
Previsione di binding corporate rules (applicabili tuttavia solo ai trasferimenti di dati all’interno di gruppi di società)
Consenso espresso dell’interessato ex art. 43 del Codice
In conclusione, per effettuare un trasferimento di dati all’estero conforme al Codice Privacy, è possibile seguire una delle seguenti strade:
Trasferimento di dati verso i soli Paesi che offrono garanzie adeguate: ad oggi si tratta di (Svizzera, Canada, Argentina, Isola di Guernsey, Isola di Man, Isola di Jersey, Isole Far Oer, Andorra, USA limitatamente alle imprese che aderiscono al c.d. Safe Harbor)
Inserimento nel contratto delle clausole contrattuali standard approvate dalla Commissione europea (cfr. da ultimo le decisioni della Commissione europea 2004/915/CE e 2010/87/UE)
Previsione di binding corporate rules (applicabili tuttavia solo ai trasferimenti di dati all’interno di gruppi di società)
Consenso espresso dell’interessato ex art. 43 del Codice
Cloud e sicurezza dei datiCloud e sicurezza dei dati
• I RISCHI CONNESSI ALL’ACCESSO AI DATI«Before, the bad guys usually needed to get their hands on
people’s computers to see their secrets; in today’s cloud all you need is a password»
(Jonathan Zittrain)• da parte di criminali informatici• da parte di concorrenti• da parte di autorità pubbliche• da parte dello stesso provider o di suoi dipendenti infedeli
• I RISCHI CONNESSI ALL’ACCESSO AI DATI«Before, the bad guys usually needed to get their hands on
people’s computers to see their secrets; in today’s cloud all you need is a password»
(Jonathan Zittrain)• da parte di criminali informatici• da parte di concorrenti• da parte di autorità pubbliche• da parte dello stesso provider o di suoi dipendenti infedeli
Cloud e sicurezza dei dati /2Cloud e sicurezza dei dati /2
• I RISCHI CONNESSI ALLA CONSERVAZIONE DEI DATI– come garantirsi che i dati siano sempre recuperabili e che essi
non vengano corrotti?– come garantirsi in caso di fallimento del cloud provider?
• I RISCHI CONNESSI ALLA CANCELLAZIONE DEI DATI– alcune norme prevedono la cancellazione di determinate
categorie di dati decorso un certo periodo di tempo dalla loro raccolta;
– in altri casi il titolare potrebbe avere interesse a cancellare in modo definitivo, per svariate ragioni, alcuni dati
– come accertarsi che i dati che il titolare deve/vuole cancellare non siano più recuperabili?
• I RISCHI CONNESSI ALLA CONSERVAZIONE DEI DATI– come garantirsi che i dati siano sempre recuperabili e che essi
non vengano corrotti?– come garantirsi in caso di fallimento del cloud provider?
• I RISCHI CONNESSI ALLA CANCELLAZIONE DEI DATI– alcune norme prevedono la cancellazione di determinate
categorie di dati decorso un certo periodo di tempo dalla loro raccolta;
– in altri casi il titolare potrebbe avere interesse a cancellare in modo definitivo, per svariate ragioni, alcuni dati
– come accertarsi che i dati che il titolare deve/vuole cancellare non siano più recuperabili?
Cloud e sicurezza dei dati: i casiCloud e sicurezza dei dati: i casi
• Sidekick (ottobre 2009). Diversi utenti “perdono” i dati conservati sul cloud operato da T-Mobile e Microsoft.
• Gmail (febbraio 2009) va offline per 2 ore e mezzo per via di una procedura di manutenzione presso un datacenter che comporta un overflow verso un altro datacenter e il conseguente blocco del servizio.
• Google docs (marzo 2009) contiene un bug (ora risolto) che rendeva possibile la condivisione dei file senza che l’utente ne fosse a conoscenza.
• Twitter (2009) vengono recuperati tramite un’e-mail secondaria di un dipendente dell’azienda (scaduta e nuovamente registrata) i dati di accesso a diverse informazioni sensibili dell’azienda, tra cui le credenziali per la gestione di alcuni nomi di dominio ad essa intestati.
• Sidekick (ottobre 2009). Diversi utenti “perdono” i dati conservati sul cloud operato da T-Mobile e Microsoft.
• Gmail (febbraio 2009) va offline per 2 ore e mezzo per via di una procedura di manutenzione presso un datacenter che comporta un overflow verso un altro datacenter e il conseguente blocco del servizio.
• Google docs (marzo 2009) contiene un bug (ora risolto) che rendeva possibile la condivisione dei file senza che l’utente ne fosse a conoscenza.
• Twitter (2009) vengono recuperati tramite un’e-mail secondaria di un dipendente dell’azienda (scaduta e nuovamente registrata) i dati di accesso a diverse informazioni sensibili dell’azienda, tra cui le credenziali per la gestione di alcuni nomi di dominio ad essa intestati.
Cloud provider e privacy: a cosa prestare attenzione
Cloud provider e privacy: a cosa prestare attenzione
• Livello minimo del servizio in relazione alla protezione dei dati e alla continuità;
• Trasparenza in merito alla logica applicata al trattamento;
• Personalizzazione della sicurezza lato utente;
• Controllo del servizio per tutta la durata del rapporto.
• Livello minimo del servizio in relazione alla protezione dei dati e alla continuità;
• Trasparenza in merito alla logica applicata al trattamento;
• Personalizzazione della sicurezza lato utente;
• Controllo del servizio per tutta la durata del rapporto.
Controllo del servizio?Controllo del servizio?
• Tale attività, potrà consistere in:
• - Verifica della rispondenza di quanto desumibile dal contratto con il servizio concretamente offerto;
• - Identificazione e immediata segnalazione delle eventuali problematiche;
• - In ragione dei dati trattati, richiesta di reportistica utile a illustrare il pieno rispetto dei parametri inseriti negli SLAs;
• - Verifica, in capo al fornitore, di eventuali certificazioni sulla sicurezza informatica.
• Tale attività, potrà consistere in:
• - Verifica della rispondenza di quanto desumibile dal contratto con il servizio concretamente offerto;
• - Identificazione e immediata segnalazione delle eventuali problematiche;
• - In ragione dei dati trattati, richiesta di reportistica utile a illustrare il pieno rispetto dei parametri inseriti negli SLAs;
• - Verifica, in capo al fornitore, di eventuali certificazioni sulla sicurezza informatica.
Il (probabile) futuro…Il (probabile) futuro…
• Da più parti, si invoca la firma di una Convenzione universale che disciplini il trattamento dei dati da parte di soggetti che offrono servizi tali per cui i dati sono “ubiqui”;
• Il raggiungimento di tale obiettivo può sicuramente essere agevolato da una visione comune di privacy policy adottata dai vari cloud provider;
• Alcuni contatti sono già in essere, quali quelli dell’EU-US High Level Contact Group (cfr. U.S., EU Issue Statement on Common Data Privacy and Protection Principles).
• Da più parti, si invoca la firma di una Convenzione universale che disciplini il trattamento dei dati da parte di soggetti che offrono servizi tali per cui i dati sono “ubiqui”;
• Il raggiungimento di tale obiettivo può sicuramente essere agevolato da una visione comune di privacy policy adottata dai vari cloud provider;
• Alcuni contatti sono già in essere, quali quelli dell’EU-US High Level Contact Group (cfr. U.S., EU Issue Statement on Common Data Privacy and Protection Principles).
STUDIO LEGALE ASSOCIATO
MILANOVia Larga, 6 20122 MilanoTel. 02.89926248Email: [email protected] BOLOGNAVia dell’Indipendenza, 36 40121 BolognaTel. 051.7878043Email: [email protected]
IMOLAVia Garibaldi, 40 40026 Imola (Bo)Tel. 0542.30702Email: [email protected]
STUDIO LEGALE ASSOCIATO
MILANOVia Larga, 6 20122 MilanoTel. 02.89926248Email: [email protected] BOLOGNAVia dell’Indipendenza, 36 40121 BolognaTel. 051.7878043Email: [email protected]
IMOLAVia Garibaldi, 40 40026 Imola (Bo)Tel. 0542.30702Email: [email protected]
GRAZIE DELL’ATTENZIONE!
Avv. Juri Monducci
email: [email protected]
GRAZIE DELL’ATTENZIONE!
Avv. Juri Monducci
email: [email protected]
