Profili legali e contrattuali nel Cloud. Gabriele Faggioli Adjunct Professor MIP, School of Management del Politecnico di Milano

Transcript

1 Gabriele Faggioli Adjunct Professor MIP, School of Management del Politecnico di Milano

2 COMMISSIONE EUROPEA - COMUNICATO STAMPA Bruxelles, 27 settembre 2012 Agenda digitale: una nuova strategia per stimolare la produttività delle imprese e della pubblica amministrazione europee attraverso la nuvola informatica (cloud computing) La nuova strategia della Commissione europea che si propone di sfruttare al meglio il potenziale della nuvola informatica in Europa prevede iniziative intese a realizzare entro il 2020 un guadagno netto pari a 2,5 milioni di nuovi posti di lavoro in Europa e un aumento annuo del PIL dell UE corrispondente a 160 miliardi di euro (circa l 1%). Per nuvola informatica si intende la memorizzazione di dati (come file di testo, immagini e video) e di software su elementi remoti ai quali gli utenti accedono via internet utilizzando il dispositivo che preferiscono. Si tratta di una modalità più rapida, economica, flessibile e potenzialmente più sicura rispetto al ricorso a soluzioni informatiche locali.

3 COMMISSIONE EUROPEA - COMUNICATO STAMPA Bruxelles, 27 settembre 2012 Agenda digitale: una nuova strategia per stimolare la produttività delle imprese e della pubblica amministrazione europee attraverso la nuvola informatica (cloud computing) La vicepresidente Neelie Kroes ha dichiarato: La nuvola informatica rappresenta una tecnologia rivoluzionaria per la nostra economia. Senza l intervento dell Unione i confini nazionali possono trasformarsi in fortezze invalicabili che ci impediranno di fruire di vantaggi economici dell ordine di miliardi di euro. Dobbiamo raggiungere una massa critica e definire un unico insieme di norme per tutta l Europa. Occorre inoltre affrontare senza indugio i presunti rischi associati alla nuvola informatica. La vicepresidente Viviane Reding ha affermato: L Europa deve pensare in grande. La strategia sulla nuvola informatica aumenterà il livello di fiducia nei confronti di soluzioni innovative e stimolerà un mercato digitale unico competitivo, dove i cittadini europei si sentano al sicuro. Per ottenere questi risultati è necessario adottare velocemente il nuovo quadro generale sulla protezione dei dati proposto quest anno dalla Commissione e definire clausole e condizioni contrattuali che siano sicure ed eque..

4 Evoluzione normativa Negli ultimi 21 anni si è assistito a una vera e propria rivoluzione nel settore del diritto delle nuove tecnologie L evoluzione tecnologica ha infatti determinato l introduzione nel nostro panorama giuridico di nuovi concetti giuridici, di nuovi beni tutelati, di nuove fattispecie incriminatrici, di nuove forme contrattuali Anche l evoluzione dell offerta di servizi informatici determina una evoluzione contrattuale che comporta una serie di potenziali problemi di natura normativa

5 La Privacy e i contratti nei servizi Cloud: fonti e spunti di interesse Mini Guida del Garante del giugno 2012 ARTICLE 29 DATA PROTECTION WORKING PARTY Opinion 05/2012 on Cloud Computing Adopted July 1st 2012

6 Cloud: due macro tematiche Profili contrattuali nel cloud: la differenza di impostazione delle relazioni di acquisto fra un modello tradizionale e un modello cloud Profili legali e regolatori: in particolare normative in materia di trattamento dati e normative settoriali (es. Banca d Italia) DOCUMENTO PER LA CONSULTAZIONE - DISPOSIZIONI DI VIGILANZA PRUDENZIALE PER LE BANCHE - SISTEMA DEI CONTROLLI INTERNI, SISTEMA INFORMATIVO E CONTINUITA OPERATIVA In considerazione della relativa novità del modello e della limitata esperienza maturata finora nel settore bancario in tale ambito, si sollecitano commenti su controllo dei sistemi in cloud computing Nel caso dell acquisizione di servizi in community o pubblici i maggiori rischi potenziali possono richiedere una più elevata complessità del sistema di controlli da predisporre. Va valutata nello specifico la capacità del fornitore di garantire il rispetto dei requisiti richiesti e di assicurare la piena ricostruzione degli accessi e delle modifiche effettuate sui dati, anche nel contesto di verifiche ispettive.

7 IL MODELLO CLASSICO La contrattualistica sottesa a un progetto di sviluppo di un sistema informativo tipicamente si compone di tutti o di alcuni dei seguenti contratti Contratto di licenza d uso software (contratto atipico) Contratto di manutenzione delle licenze (appalto?) Contratto di approvvigionamento hardware Contratto di implementazione (installazione, parametrizzazione, personalizzazione) (appalto?) Contratto di assistenza e manutenzione (appalto?) Eventuale successivo contratto di outsourcing (appalto?) Le singole prestazioni contrattuali sopra indicate possono essere assorbite in uno o più contratti (contratti misti o complessi) Le singole prestazioni contrattuali possono essere agganciate a obbligazioni di mezzi o obbligazioni di risultato

8 Alta contrapposizione di obiettivi fra cliente e fornitore Asimmetria informativa fra cliente e fornitore su molteplici aspetti della negoziazione Contratto di implementazione: Necessità di costruire una contrattualistica ricamata sulle caratteristiche specifiche del progetto (e quindi del cliente) Oggetto determinato nel corso della vita del progetto (tendenziale stipulazione di contratti ad oggetto parzialmente indeterminato sia in relazione all implementazione che in relazione all outsourcing in punto prestazioni e SLA) Molteplici sedi negoziali: pluralità di controparti, pluralità di tavoli di lavoro, pluralità di temi da affrontare Elemento Modello classico Cloud SI SI NO, o comunque meno conflittuale NO, o comunque meno rilevante Rischio del non accordo SI SI, ma gestibile in ottica di alternativa SI SI SI NO NO Dipende dalla tipologia di relazione

9 Elemento Modello classico Cloud Molteplici momenti negoziali SI NO, o comunque meno rilevante Tendenza Contratto a porre di in implementazione: essere negoziazioni di posizione e non negoziazioni di interesse Si Meno marcata Estremo lock-in sia sulla piattaforma che sul partner SI Meno marcato (on/off)

10 Contratto di implementazione: Elemento Modello classico Cloud Esistenza di licenze d uso SI, commerciali o OS NO Omnicomprensività della prestazione in un contratto unico Implementazione Limitata o assente NO, al limite start up NO, o molto difficile Standardizzazione della contrattualistica NO SI Rigidità in relazione a possibili personalizzazioni del servizio Contrattualistica (e servizio) modellato dal fornitore. Tendenziale obbligo del cliente a sposare il modello del fornitore Semplificazione complessiva delle relazioni NO SI NO NO SI SI SI

11 ARTICLE 29 DATA PROTECTION WORKING PARTY Opinion 05/2012 on Cloud Computing Al fine di garantire la certezza giuridica, il contratto deve prevedere anche i seguenti aspetti: Dettagli sulle istruzioni del cliente (misura e modalità) da trasmettere al fornitore del servizio, con particolare riguardo per gli accordi sul livello del servizio (SLA) applicabili (che dovrebbero essere oggettivi e misurabili) e le sanzioni pertinenti (finanziarie o altro, ivi compresa la possibilità di citare in giudizio il fornitore in caso di inadempienza). Specificazione delle misure di sicurezza che il fornitore cloud è tenuto a rispettare, a seconda dei rischi del trattamento e della natura dei dati da proteggere. È molto importante che siano specificate misure tecniche e organizzative concrete ferma restando l applicazione di eventuali misure più rigorose previste dalla legislazione nazionale del cliente Oggetto e orizzonte temporale del servizio cloud da fornire, nonché portata, modalità e finalità del trattamento di dati personali effettuato dal fornitore cloud e tipologia dei dati personali oggetto del trattamento

12 ARTICLE 29 DATA PROTECTION WORKING PARTY Opinion 05/2012 on Cloud Computing Al fine di garantire la certezza giuridica, il contratto deve prevedere anche i seguenti aspetti: Specificazione delle condizioni per la restituzione dei dati (personali) o per la loro distruzione una volta concluso il servizio. Inoltre, occorre garantire la cancellazione sicura dei dati personali su richiesta del cliente cloud Inserimento di una clausola di riservatezza vincolante per il fornitore cloud e per eventuali suoi dipendenti che abbiano accesso ai dati. Possono accedere ai dati esclusivamente persone autorizzate Obbligo a carico del fornitore di sostenere il cliente nell agevolare l esercizio dei diritti degli interessati di accedere ai loro dati, nonché rettificarli o cancellarli.

13 ARTICLE 29 DATA PROTECTION WORKING PARTY Opinion 05/2012 on Cloud Computing Al fine di garantire la certezza giuridica, il contratto deve prevedere anche i seguenti aspetti: Il contratto dovrebbe stabilire espressamente che il fornitore cloud non può comunicare i dati a terzi, anche per motivi di conservazione, a meno che nel contratto sia prevista la presenza di subcontraenti. Chiarimento della responsabilità del fornitore cloud di comunicare al cliente cloud eventuali violazioni che influiscano sui suoi dati. Obbligo del fornitore cloud di fornire un elenco dei luoghi dove può avere luogo il trattamento dei dati Diritto del responsabile del trattamento di controllare e corrispondente obbligo del fornitore cloud di cooperare

14 ARTICLE 29 DATA PROTECTION WORKING PARTY Opinion 05/2012 on Cloud Computing Al fine di garantire la certezza giuridica, il contratto deve prevedere anche i seguenti aspetti: Il contratto dovrebbe stabilire che il fornitore cloud è tenuto a informare il cliente in merito a cambiamenti rilevanti concernenti il servizio cloud, come l attuazione di funzioni aggiuntive Il contratto dovrebbe prevedere attività di logging e auditing delle operazioni di trattamento di dati personali svolte dal fornitore cloud o da subcontraenti Notifica del cliente cloud in merito a eventuali richieste legalmente vincolanti di divulgare dati personali presentate da un autorità di contrasto, salvo che tale divulgazione sia comunque vietata, ad esempio ai sensi del diritto penale per preservare la riservatezza di un indagine giudiziaria. Obbligo generale a carico del fornitore del servizio di assicurare che la sua organizzazione interna e i suoi sistemi di trattamento dei dati (e quelli di eventuali subincaricati) sono conformi agli obblighi e alle norme di legge vigenti, nazionali e internazionali.

15 School of Management Politecnico di Milano - Campione 168 organizzazioni

16 Servizi fra fornitori e clienti: si applicano le impostazioni contrattuali analizzate e le tematiche legali che seguiranno Servizi erogati da società a altre società facenti parte del gruppo stesso: si applicano le medesime regole e normative

17 Cloud: le tematiche normative in materia di trattamento dati personali Nomina a responsabile del trattamento Misure di sicurezza Trasferimento dei dati all estero Amministratori di sistema Accesso ai dati bancari

18 La mini guida del Garante del giugno 2012 Proteggere i dati per non cadere dalle nuvole La indicazione del garante Un importante cambiamento per tutto il settore delle comunicazioni elettroniche, e del cloud computing in particolare, dovrebbe avvenire entro il 2014, con l approvazione del nuovo Regolamento generale sulla protezione dei dati (Com def) proposto dalla Commissione Europea. Il nuovo Regolamento introdurrà identiche regole in Europa e nei confronti di Stati terzi (riscrivendo quindi anche il Codice della privacy italiano) Il titolare e il responsabile del trattamento. - La pubblica amministrazione o l azienda, titolare del trattamento dei dati personali, che trasferisce del tutto o in parte il trattamento di dati personali a un fornitore, deve procedere a designare il fornitore dei servizi cloud responsabile del trattamento - In caso di violazioni commesse dal fornitore (o da un subfornitore), anche il titolare sarà chiamato a rispondere dell eventuale illecito. Non sarà sufficiente per giustificare una eventuale violazione affermare di non avere avuto possibilità di negoziare clausole contrattuali o modalità di controllo stringenti: il cliente di servizi cloud può sempre rivolgersi ad altri fornitori che offrono maggiori garanzie, in particolare per il rispetto della normativa sulla protezione dei dati - Il Codice della privacy prevede tra l altro, che il titolare eserciti un potere di controllo nei confronti del responsabile del trattamento, verificando la corretta esecuzione delle istruzioni impartite in relazione ai dati personali trattati

19 La mini guida del Garante del giugno 2012 Proteggere i dati per non cadere dalle nuvole La indicazione del garante Trasferimento dei dati fuori dell Unione Europea. - Il Codice della privacy definisce regole precise per il trasferimento dei dati personali fuori dall Unione europea e vieta, in linea di principio, il trasferimento anche temporaneo di dati personali verso uno Stato extraeuropeo, qualora l ordinamento del Paese di destinazione o di transito dei dati non assicuri un adeguato livello di tutela - Il titolare del trattamento dovrà quindi tenere in debito conto anche il luogo dove vengono conservati i dati e quali sono i trattamenti previsti all estero Sicurezza dei dati. - Il titolare del trattamento deve assicurarsi che siano adottate misure tecniche e organizzative volte a ridurre al minimo i rischi di distruzione o perdita anche accidentale dei dati, di accesso non autorizzato, di trattamento non consentito o non conforme alle finalità della raccolta, di modifica dei dati in conseguenza di interventi non autorizzati o non conformi alle regole - Occorre quindi contrattualmente imporre ai fornitori non solo il rispetto delle misure minime di sicurezza previste dall allegato B al d.lgs 196/03 ma anche un livello di sicurezza che, di volta in volta in considerazione delle caratteristiche di ogni contratto, possa essere ritenuto idoneo I diritti dell interessato. - I soggetti pubblici e le imprese che decidono di avvalersi di servizi cloud per gestire i dati personali dei loro utenti o clienti non devono dimenticare che il Codice della privacy attribuisce agli interessati (le persone a cui si riferiscono i dati) precisi diritti

20 La mini guida del Garante del giugno 2012 Proteggere i dati per non cadere dalle nuvole I consigli operativi del Garante Il Garante consiglia di fare una valutazione dei rischi, costi e benefici preventiva rispetto all utilizzo di servizi cloud. Ricordando che quasi tutte le altre società che offrono servizi e infrastrutture cloud si avvalgono di aziende leader mondiali, il Garante sottolinea la potenziale riduzione della capacità negoziale di una singola impresa o di una piccola amministrazione pubblica. In questi casi, il Garante consiglia di adottare misure alternative come per esempio il consorziarsi con altri soggetti pubblici o imprese che hanno le medesime esigenze (ad esempio tramite le associazioni di categoria) al fine di ottenere capacità contrattuale maggiore. Secondo il Garante, comunque, anche i fornitori cloud potrebbero trarre nuove opportunità dalla definizione di clausole pro-privacy o da una eventuale preventiva certificazione indipendente sul rispetto della normativa europea sulla protezione dei dati personali per i servizi da loro offerti.

21 I consigli operativi del Garante Quali sono le misure di sicurezza adottate dal fornitore per proteggere i dati? Chi è il reale fornitore del servizio che si sta acquisendo? Si tratta di una singola società o di un consorzio di imprese? In caso di problemi al collegamento Internet, è comunque possibile continuare a usufruire dei servizi senza l accesso al cloud? In quanto tempo può essere ripristinato il sistema? Esistono piani di emergenza per i servizi essenziali? È possibile che i dati sul cloud possano essere persi o distrutti? Esistono garanzie di riservatezza per i nostri dati nel caso in cui un concorrente condivida gli stessi servizi cloud? In quale Stato sono conservati i dati caricati sulla nuvola? È possibile scegliere di usufruire di server collocati solo in territorio nazionale o in Paesi dell Unione europea? La tecnologia utilizzata dal fornitore di cloud è di tipo proprietario? I dati possono essere esportati facilmente? Nel caso in cui si accerti una violazione o la perdita dei dati, il fornitore garantisce un pronto risarcimento del danno?

22 Il decalogo del Garante Effettuare una verifica sull affidabilità del fornitore. Gli utenti dovrebbero accertare: - l esperienza, la capacità e l affidabilità del fornitore; - la struttura societaria del fornitore, le referenze, le garanzie di legge offerte in ordine alla confidenzialità dei dati e alle misure adottate per assicurare la continuità operativa a fronte di eventuali e imprevisti malfunzionamenti; - Gli utenti dovrebbero valutare, inoltre, le caratteristiche qualitative dei servizi di connettività di cui si avvale il fornitore in termini di capacità e affidabilità; - Il cliente deve valutare l impiego da parte del fornitore di personale qualificato, l adeguatezza delle sue infrastrutture informatiche e di comunicazione, la disponibilità ad assumersi una responsabilità risarcitoria in caso di eventuali falle nel sistema di sicurezza o di interruzioni del servizio Privilegiare i servizi che favoriscono la portabilità dei dati. In particolare, è consigliabile ricorrere a servizi di cloud computing privilegiando quelli basati su formati e standard aperti, che facilitino la transizione da un sistema cloud ad un altro, anche se gestiti da fornitori diversi. Assicurarsi la disponibilità dei dati in caso di necessità. È opportuno chiedere che nel contratto con il fornitore siano ben specificate adeguate garanzie sulla disponibilità e sulle prestazioni dei servizi cloud.

23 Selezionare i dati da inserire nella nuvola Il decalogo del Garante Non perdere di vista i dati. È sempre opportuno che l utente valuti accuratamente il tipo di servizio offerto, anche verificando se i dati rimarranno nella disponibilità fisica dell operatore con cui è stato stipulato il contratto oppure se questi svolga un ruolo di intermediario, ovvero offra un servizio basato sulle tecnologie messe a disposizione da un operatore terzo Informarsi su dove risiederanno concretamente i dati. È importante per l utente sapere se i propri dati vengono trasferiti ed elaborati da server in Italia, in Europa o in un Paese extraeuropeo. Attenzione alle clausole contrattuali. È importante valutare l idoneità delle condizioni contrattuali per l erogazione del servizio di cloud con particolare riferimento agli obblighi e alle responsabilità in caso di perdita e di illecita diffusione dei dati custoditi nella nuvola, nonché alle eventuali modalità per il recesso dal servizio e il passaggio ad altro fornitore. Un elemento da privilegiare è senz altro la previsione di garanzie di qualità chiare, corredate da penali, che pongano a carico del fornitore le eventuali inadempienze o le conseguenze di determinati eventi. Verificare tempi e modalità di conservazione dei dati. In fase di acquisizione del servizio cloud è opportuno approfondire e prevedere nel contratto le politiche adottate dal fornitore riguardo ai tempi di conservazione dei dati.

24 Il decalogo del Garante Esigere adeguate misure di sicurezza. In generale si raccomanda di privilegiare i fornitori che utilizzino modalità di archiviazione e trasmissione sicure, mediante tecniche crittografiche (specialmente quando i dati trattati sono particolarmente delicati), accompagnate da robusti meccanismi di identificazione dei soggetti autorizzati all accesso. Informare adeguatamente il personale. Il personale, sia quello del cliente che quello del fornitore, incaricato del trattamento dei dati mediante servizi di cloud computing dovrebbe essere appositamente formato, al fine di limitare rischi di accesso illecito, di perdita di dati o, più in generale, di trattamento non consentito.

25 Considerazioni conclusive: Le normative esistono e devono essere rispettate ma, per quanto complesse, non sono ostative né a usare i servizi cloud né a offrirli Oggi esiste la possibilità di acquisire servizi cloud rispettando le norme di legge La stessa PA è pesantemente orientata verso il cloud (cfr per esempio iniziative di Banca d Italia) Le relazioni contrattuali nel mondo cloud sono tendenzialmente semplificate e meno onerose (in termini complessivi) rispetto ai modelli tradizionali Le aziende che vogliono acquisire servizi cloud devono organizzarsi per richiedere al fornitore, in sede di selezione, le informazioni che il Garante ritiene rilevanti È bene che i fornitori si approccino al mercato in modo trasparente, già impostando la documentazione necessaria a far fronte alle richieste che le aziende potranno avanzare Le aziende devono valutare con attenzione i contratti proposti dai fornitori verificandone la coerenza con la normativa italiana e con un buon livello di tutela È bene che i fornitori valutino la possibilità di sottoporsi a certificazioni in materia di sicurezza/rispetto normativo