COSA DIRE ANCORA DEL CLOUD? ASPETTI LEGALI E CONTRATTUALI

Transcript

1 COSA DIRE ANCORA DEL CLOUD? ASPETTI LEGALI E CONTRATTUALI Gabriele Faggioli, Clusit 1

2 Gruppo di Lavoro Articolo 29 Parere 05/ Cloud Computing a) Private cloud è un infrastruttura informatica che può essere scelta in caso di una singola organizzazione, ubicata nei suoi locali o affidata in gestione ad un terzo (nella tradizionale forma dell hosting dei server), nei confronti del quale il responsabile del trattamento esercita un controllo puntuale. Il private cloud si può paragonare a un tradizionale centro di trattamento dati (data center). b) Public cloud è, invece, l infrastruttura di proprietà di un fornitore specializzato nell erogazione di servizi che mette a disposizione di utenti, aziende o pubbliche amministrazioni - e quindi condivide tra di essi - i propri sistemi c) I cd. cloud intermedi o ibridi, sono infrastruttire che prevedono la coesistenza di servizi privati con servizi acquisiti da cloud pubblici. Rispetto a tale categoria si segnala anche il cd. community cloud (o cloud di comunità) in cui l infrastruttura informatica è condivisa da diverse organizzazioni a beneficio di una specifica comunità di utenti.

3 Alcune clausole fondamentali Trattamento dati e legge applicabile Livelli di servizio Penali Downtime Recupero dati alla cessazione degli effetti del contratto E le risposte? Formulazioni generiche rispetto alla legge applicabile Ampie documentazioni e dichiarazioni sulla tutela delle informazioni Difficile imporre obblighi di segnalazione di data breach Solo presa in carico Difficilmente SLA su risoluzione delle problematiche Difficile ottenere anche solo un impegno su dichiarazione dei tempi di soluzione del problema Quasi mai (occorre chiedere, e insistere ) Difficilmente non esaustive del danno Spesso viene considerato tale solo il blocco totale del servizio o, al più, le severity di primo livello Previsione del diritto di accesso per un numero di giorni compreso fra 0 e 60 Assenza di meccanismi disincentivanti in caso di mancata messa a disposizione dei dati

4 Alcune clausole fondamentali Responsabilità Diritto di audit Subappalto Diritto di modifica unilaterale del contratto Preavviso per cessazione effetti contratto Presenza di richiami di documenti tramite URL o rinvii Sovrastruttura contrattuale E le risposte? Limitazione responsabilità sulla colpa lieve Limitazione di responsabilità su danni indiretti Assenza di responsabilità per perdita di dati (!) anche in presenza di servizio di back-up Assente o molto limitato. Spesso rinvio a relazioni di audit di terze parti Incontrollato Presente su aspetti tecnici, economici, contrattuali Talvolta normato diritto di recesso In genere è previsto un termine di 30 / 60 giorni Spesso Rilevante

5 : i primi problemi I primi problemi Data Center in cloud e applicazioni del cliente Gestione applicazione in cloud con raccolta di informazioni potenzialmente riconducibili all operato dei lavoratori Recupero dati al termine del rapporto contrattuale Richiesta di audit su un fornitore.. Richieste del vendor software in relazione alla potenza della infrastruttura tecnologica del fornitore Applicazione art. 4 comma II Statuto dei Lavoratori Impedito dal fornitore Possibile in modo inefficace

6 I consigli operativi del Garante Quali sono le misure di sicurezza adottate dal fornitore per proteggere i dati? Chi è il reale fornitore del servizio che si sta acquisendo? Si tratta di una singola società o di un consorzio di imprese? In caso di problemi al collegamento Internet, è comunque possibile continuare a usufruire dei servizi senza l accesso al cloud? In quanto tempo può essere ripristinato il sistema? Esistono piani di emergenza per i servizi essenziali? È possibile che i dati sul cloud possano essere persi o distrutti? Esistono garanzie di riservatezza per i nostri dati nel caso in cui un concorrente condivida gli stessi servizi cloud? In quale Stato sono conservati i dati caricati sulla nuvola? È possibile scegliere di usufruire di server collocati solo in territorio nazionale o in Paesi dell Unione europea? La tecnologia utilizzata dal fornitore di cloud è di tipo proprietario? I dati possono essere esportati facilmente? Nel caso in cui si accerti una violazione o la perdita dei dati, il fornitore garantisce un pronto risarcimento del danno?

7 Il decalogo del Garante Effettuare una verifica sull affidabilità del fornitore. Gli utenti dovrebbero accertare: - l esperienza, la capacità e l affidabilità del fornitore; - la struttura societaria del fornitore, le referenze, le garanzie di legge offerte in ordine alla confidenzialità dei dati e alle misure adottate per assicurare la continuità operativa a fronte di eventuali e imprevisti malfunzionamenti; - Gli utenti dovrebbero valutare, inoltre, le caratteristiche qualitative dei servizi di connettività di cui si avvale il fornitore in termini di capacità e affidabilità; - Il cliente deve valutare l impiego da parte del fornitore di personale qualificato, l adeguatezza delle sue infrastrutture informatiche e di comunicazione, la disponibilità ad assumersi una responsabilità risarcitoria in caso di eventuali falle nel sistema di sicurezza o di interruzioni del servizio Privilegiare i servizi che favoriscono la portabilità dei dati. In particolare, è consigliabile ricorrere a servizi di cloud computing privilegiando quelli basati su formati e standard aperti, che facilitino la transizione da un sistema cloud ad un altro, anche se gestiti da fornitori diversi. Assicurarsi la disponibilità dei dati in caso di necessità. È opportuno chiedere che nel contratto con il fornitore siano ben specificate adeguate garanzie sulla disponibilità e sulle prestazioni dei servizi cloud.

8 Selezionare i dati da inserire nella nuvola Il decalogo del Garante Non perdere di vista i dati. È sempre opportuno che l utente valuti accuratamente il tipo di servizio offerto, anche verificando se i dati rimarranno nella disponibilità fisica dell operatore con cui è stato stipulato il contratto oppure se questi svolga un ruolo di intermediario, ovvero offra un servizio basato sulle tecnologie messe a disposizione da un operatore terzo Informarsi su dove risiederanno concretamente i dati. È importante per l utente sapere se i propri dati vengono trasferiti ed elaborati da server in Italia, in Europa o in un Paese extraeuropeo. Attenzione alle clausole contrattuali. È importante valutare l idoneità delle condizioni contrattuali per l erogazione del servizio di cloud con particolare riferimento agli obblighi e alle responsabilità in caso di perdita e di illecita diffusione dei dati custoditi nella nuvola, nonché alle eventuali modalità per il recesso dal servizio e il passaggio ad altro fornitore. Un elemento da privilegiare è senz altro la previsione di garanzie di qualità chiare, corredate da penali, che pongano a carico del fornitore le eventuali inadempienze o le conseguenze di determinati eventi. Verificare tempi e modalità di conservazione dei dati. In fase di acquisizione del servizio cloud è opportuno approfondire e prevedere nel contratto le politiche adottate dal fornitore riguardo ai tempi di conservazione dei dati.

9 Il decalogo del Garante Esigere adeguate misure di sicurezza. In generale si raccomanda di privilegiare i fornitori che utilizzino modalità di archiviazione e trasmissione sicure, mediante tecniche crittografiche (specialmente quando i dati trattati sono particolarmente delicati), accompagnate da robusti meccanismi di identificazione dei soggetti autorizzati all accesso. Informare adeguatamente il personale. Il personale, sia quello del cliente che quello del fornitore, incaricato del trattamento dei dati mediante servizi di cloud computing dovrebbe essere appositamente formato, al fine di limitare rischi di accesso illecito, di perdita di dati o, più in generale, di trattamento non consentito.

10 Article 29 data protection working party - IL CONTENUTO DEI CONTRATTI a) Dettagli sulle istruzioni del cliente (misura e modalità) da trasmettere al fornitore del servizio, con particolare riguardo per gli accordi sul livello del servizio (SLA) applicabili (che dovrebbero essere oggettivi e misurabili) e le sanzioni pertinenti (finanziarie o altro, ivi compresa la possibilità di citare in giudizio il fornitore in caso di inadempienza). b) Specificazione delle misure di sicurezza che il fornitore cloud sia tenuto a rispettare, a seconda dei rischi del trattamento e della natura dei dati da proteggere. È molto importante che siano specificate misure tecniche e organizzative concrete, come quelle delineate nella sezione che segue, ferma restando l applicazione di eventuali misure più rigorose previste dalla legislazione nazionale del cliente. c) Oggetto e orizzonte temporale del servizio cloud da fornire, nonché portata, modalità e finalità del trattamento di dati personali effettuato dal fornitore cloud e tipologia dei dati personali oggetto del trattamento.

11 Article 29 data protection working party - IL CONTENUTO DEI CONTRATTI d) Inserimento di una clausola di riservatezza vincolante per il fornitore cloud e per eventuali suoi dipendenti che abbiano accesso ai dati. Possono accedere ai dati esclusivamente persone autorizzate. e) Obbligo a carico del fornitore di sostenere il cliente nell agevolare l esercizio dei diritti degli interessati di accedere ai loro dati, nonché rettificarli o cancellarli. f) Chiarimento della responsabilità del fornitore cloud di comunicare al cliente cloud eventuali violazioni che influiscano sui suoi dati. g) Obbligo del fornitore cloud di fornire un elenco dei luoghi dove può avere luogo il trattamento dei dati. h) Diritto del responsabile del trattamento di controllare e corrispondente obbligo del fornitore cloud di cooperare. i) Il contratto dovrebbe prevedere che il fornitore cloud sia tenuto a informare il cliente in merito a cambiamenti rilevanti concernenti il servizio cloud, come l attuazione di funzioni aggiuntive.

12 Article 29 data protection working party - IL CONTENUTO DEI CONTRATTI j) Il contratto dovrebbe prevedere attività di logging e auditing delle operazioni di trattamento di dati personali svolte dal fornitore cloud o da subcontraenti. k) Notifica del cliente cloud in merito a eventuali richieste, legalmente vincolanti, di divulgare dati personali presentate da un autorità di contrasto, salvo che tale divulgazione sia comunque vietata, ad esempio ai sensi del diritto penale per preservare la riservatezza di un indagine giudiziaria. l) Obbligo generale a carico del fornitore del servizio di assicurare che la sua organizzazione interna e i suoi sistemi di trattamento dei dati (e quelli di eventuali subincaricati) siano conformi agli obblighi e alle norme di legge vigenti, nazionali e internazionali.

13 Article 29 data protection working party - IL CONTENUTO DEI CONTRATTI m) Il contratto dovrebbe stabilire espressamente che il fornitore cloud non può comunicare i dati a terzi, anche per motivi di conservazione, a meno che nel contratto non sia prevista la presenza di subcontraenti. Il contratto dovrebbe prevedere l obbligo del fornitore cloud di indicare tutti i subcontraenti autorizzati (ad es. in un registro digitale pubblico). Occorre garantire che i contratti stipulati tra fornitore cloud e subcontraenti rispecchino le disposizioni del contratto stipulato tra cliente e fornitore cloud (ossia che i subincaricati siano soggetti agli stessi obblighi contrattuali del fornitore cloud). Occorre garantire che il fornitore cloud e tutti i subcontraenti agiscano esclusivamente secondo le istruzioni del cliente cloud. il contratto dovrebbe definire la catena della responsabilità e prevedere l obbligo di strutturare i trasferimenti internazionali per l incaricato del trattamento, ad esempio firmando contratti con subincaricati sulla base delle clausole contrattuali tipo, contenute nella decisione 2010/87/UE.