«Il Cloud computing in pillole. Fatti e misfatti» 19 e 21 novembre 2013

Transcript

1 Maria Concetta De Vivo Ricercatore diritto privato Unicam Diritto delle nuove tecnologie skype: mariaconcetta2008 I love you, cloud Novembre 2013 M.C. De Vivo 1

2 1. Introduzione Cloud in statistiche Cloud e Aziende 2. Quadro giuridico Definizione Privacy Definizione (giuridica) Cloud Computing Problematiche (schematizzazione) Costi Controllo dati Sicurezza dati Responsabilità Localizzazione (dati e servizi) Disciplina Cloud Comunitario (Ue) Nazionale (Italia) Cluod e Contratto I soggetti Le clausole (SLA) Tipologie di contratto Normativa sommario Novembre 2013 M.C. De Vivo 2

3 Cosa ne pensano gli utenti --- > 43% (1000 professionisti IT intervistati: sistemisti, sviluppatori, web designer) non ha ancora adottato strategie cloud per la propria impresa; --- > 28% (pensiamo forse 2013) Introduzione. Cloud in statistiche 1. Hai adottato strategie cloud per la tua impresa? --- > SaaS (48%) --- > IaaS (46%) --- > PaaS (.. %) Inoltre --- > 63% (utilizzatori) propende cloud privato --- > 27% cloud pubblico --- > ( %) --- > nebulosità 56% 2. Se sì, a quale sei interessato? 3. Sai cosa significa cloud computing? --- > 41% (=dirigenti e dipendenti d azienda) --- > business (???) --- > 40% (=alti dirigenti delle aziende di tutto il mondo) --- > ottimizzare una parte del loro lavoro (???) --- > in Usa: più della metà degli impiegati del governo americano confermano di aver lavorato con tecnologie cloud (???) 4. Come utilizzi il cloud nel tuo lavoro? Novembre 2013 M.C. De Vivo 3

4 Cosa ne pensano gli utenti Introduzione Cloud in statistiche Nel privato: in rialzo --- > 46% si a piani aziendali (tra 5 e 20% budget ICT aziendale) --- > 15% si a piani aziendali (tra il 20 e 35% budget ICT aziendale) 5. Si investe sul Cloud? (il privato) Nel pubblico? --- > top nella lista delle priorità IT i soldi????? Novembre 2013 M.C. De Vivo 4

5 Altre considerazioni dalle statistiche Introduzione Cloud in statistiche 1. Lavoro Il cloud fa bene a Il passaggio al cloud --- > 300mila nuovi business (???) e dai 300mila al milione di nuovi posti di lavoro entro 5 anni (!!!) 2. Ambiente Il passaggio al cloud --- > 65% aziende risparmio energetico Precisazioni Ced --- > energia elettrica (=30 centrali nucleari) (*) --- > 2% energia mondiale ( > 9%) --- > raffreddamento --- > soluzione --- > Cloud (*) cloud=google-datacenter banche-borse-compagnie aeree-governi - polizie-universitàcolossi Eni ( ) Tecnoligie Circolo polare artico Novembre 2013 M.C. De Vivo 5

6 Altre considerazioni dalle statistiche Introduzione Cloud in statistiche --- > Usa= > 65% delle aziende americane è passata al cloud --- > Italia=??? 70% delle aziende ita --- > OK IT 53% pmi ita --- > OK cloud successo all azienda (+ media europea --- > solo 33% successo azienda) Aziende junior (presenza addetto IT) Tuttavia «cresciamo» la metà degli altri Paesi (=troppo lenti) Cloud in Usa e in Italia? --- > 70% provider italiani 30% OK soluzioni cloud ma server su territorio nazionale Scelta provider? Perché? Dubbi: Tutela utente Sicurezza - Privacy - Connettività Novembre 2013 M.C. De Vivo 6

7 Definizione (Comunicazione al Parlamento europeo) in sintesi «l archiviazione, l elaborazione e l uso di dati su computer, remoti e il relativo accesso via Internet» Conseguenze: --- > potenza di elaborazione illimitata --- > risparmio investimento capitali per proprie esigenze --- > accesso dati illimitato (connessione internet) --- > invisibilità infrastrutture cloud =semplice utilizzo dell utente (è OK) ma --- > attenzione: problema in caso di controversie (no OK) Il quadro giuridico e normativo 1. Definizione (giuridica) di cloud computing 2. Situazione (ad oggi) --- > Europa --- > Italia Novembre 2013 M.C. De Vivo 7

8 Schematizzazione Problematiche Controllo dati --- > «perdita» (non danneggiamento) per affidamento a terzi --- > contesto (=spesso non si conosce) --- > rischi violazione privacy (=duplicazione/sottrazione dati) Conseguenze esigenza utente adeguata tutelata nella operazione di fruizione servizi cloud adeguata informativa (c.d. cloud lock-in) = chiara conoscenza termini sullo spostamento dati suo possesso: --- > a) riaverli; b) migrare Il fine: il diritto deve assicurare TRASPARENZA sull operazione passaggio dati: --- > a) «restano» nelle mani oppure «passano» mani fornitore cloud Altro fine: il diritto deve chiarire rispettive RESPONSABILITA Rimedi --- > Interventi: In Ue ENISA (L Agenzia europea per la sicurezza delle reti e dell informazione) --- > pubblicazione (2012) Criteri utili a garantire sicurezza e resilienza (=«resilience»=elasticità capacità di resistere e di recupero delle reti e delle informazioni). In Ita DigitPA (=ora AgID Agenzia per l Italia Digitale) --- > Raccomandazioni e proposte utilizzo Cloud computing (versione 2.0 del 28 giugno 2012) Emerge trasformazione dei cittadini digitali in --- > «consumatori digitali» Novembre 2013 M.C. De Vivo 8

9 Schematizzazione Problematiche Sicurezza/Integrità dati danni --- > Errori di gestione --- > Incidenti --- > Attacchi Rimedi (4): Backup Obbligo di legge (misura minima sicurezza) Accortezza (=backup prima di affidarli ad altri) Cambiamento approccio Oggetto tutela No protezione «sui» dati --- > Si protezione «accesso ai» dati No protezione «solo» dati ma «anche» soggetti Identificazione soggetti coinvolti (=che accedono ai dati). Reputazione cloud provider (richieste del proprio cliente) Condifenzialità Sicurezza Integrità Disponibilità (*) sia step gestione sia step patologia servizio Previsione SOC (=Security Operations Center) Cloud provider informa misure minime di sicurezza per rispondere eventuali incidenti Novembre 2013 M.C. De Vivo 9

10 Schematizzazione Problematiche Sicurezza/Integrità dati danni --- > Errori di gestione --- > Incidenti --- > Attacchi Rimedi Ex lege --- > d.lgs. 196 del All. B (=Disciplinare Tecnico misure minime di sicurezza) --- > l. n. 48/2008 (Convenzione Budapest 2001) Criminalità informatica. --- > D.Lgs. 6 dicembre 2011 n. 201 Salva Italia --- > d.lgs. 28 maggio 2012 n. 69 (modifica al codice privacy) Anche una dichiarazione ISO/IEC (Sicurezza delle informazioni) sezione 6.2 c.d. External Parties (*) ( )la sicurezza delle informazioni nell ambito di una organizzazione non deve essere mai ridotta dall introduzione di servizi e prodotti di terze parti (*) linee guida best practices per aziende. Certificazione Corrispondenza. Novembre 2013 M.C. De Vivo 10

11 Misure Minime di sicurezza privacy RN: Queste misure sono previste dal Disciplinare tecnico (Allegato B del Codice sulla privacy - Codice articoli del Codice della privacy, spec. Artt. 33 Misure Minime di sicurezza - e 34 -DPS-) Definizione Scopo Violazione/Responsabilità Soggetti coinvolti Forme di tutela Definizione. Misure che riducono al minimo i rischi di distruzione o perdita, intercettazione e manipolazione dei dati personali.(art. 31 seconda parte Codice privacy). Pericolo che può attuarsi per Accesso non autorizzato, Trattamento non consentito o non conforme alle finalità di raccolta. (Principi Necessità Proporzionalità) Scopo. Assicurare l integrità dei dati e il buon esito e la correttezza del trattamento dei dati. Minimo= il rispetto di queste dimostra che è stato rispettato il livello minimo di sicurezza imposto dal Codice. Attraverso dei procedimenti - divieto trattamento non autorizzato e non consentito; - impedire l accesso non autorizzato; - ridurre al minimo i rischi di perdita e/o distruzione; marzoaprile2011 M.C. De Vivo 11

12 privacy Più specificamente. le misure che debbono essere adottate devono riguardare determinate attività informatiche (Art. 34 d. lgs. 196/2003) 1. Fase dell Autenticazione 2. Fase delle Copie di Sicurezza 3. Fase della Protezione da accessi indesiderati (Internet) 4. Fase della Protezione da programmi non autorizzati (Virus) 5. Fase dell Aggiornamento tecnologico Autenticazione Sicurezza Obbligo di predisposizione di codici identificativi (=password) per Obbligo il soggetto di tutelare preposto anche al il trattamento dati. della fase di Backup. Il Backup (=sono dati!) Il trattamento di dati personali è consentito agli incaricati Adozione dotati di procedure di credenziali per la di custodia autenticazione di copie che di consentano sicurezza, il il ripristino superamento della disponibilità una procedura dei dati di autenticazione e dei relativa sistemi. a uno specifico trattamento o a un Sono insieme impartite di trattamenti. istruzioni organizzative e tecniche che Le prevedono credenziali il salvataggio di autenticazione dei dati consistono frequenza in un almeno codice per settimanale l identificazione (Art. dell incaricato 18 - Allegato B associato - Disciplinare a una Tecnico) parola chiave riservata conosciuta solamente dal medesimo (Art. 1,2 - Allegato B - Disciplinare Tecnico) n.b.: la sicurezza riguarda sia il salvataggio (backup deve essere effettuato ogni n.b.: settimana=per la password non sicura rischiare (sono previste di perdere dettagliate dei dati) caratteristiche sia la fase di almeno reinserimento 8 caratteri dei dati ogni 6 salvati mesi cambiarla nel caso ) di perdita dei dati originali. marzoaprile2011 M.C. De Vivo 12

13 privacy Più specificamente. le misure che debbono essere adottate devono riguardare determinate attività informatiche 1. Fase dell Autenticazione 2. Fase delle Copie di Sicurezza 3. Fase della Protezione da accessi indesiderati (Internet) 4. Fase della Protezione da programmi non autorizzati (Virus) Protezione in Internet Obbligo Aggiornamento di attivazione Antivirus di programmi e tecnologico che permettano di difendersi da intrusioni provenineti dalla Rete Firewalls Obbligo di aggiornamento periodico dei programmi (compresi quelli I dati antivirus personali per sono questi protetti c è l obbligo contro il di rischio aggiornamento di ogni intrusione 6 mesi). e dall azione di programmi di cui all art. 615-quinquies del codice penale, mediante l attivazione di Gli idonei aggiornamenti strumenti elettronici periodici da dei aggiornare programmi con per elaboratore cadenza volti a prevenire almeno semestrale la vulnerabilità (Art. di strumenti 16 - Allegato B -elettronici Disciplinare e a correggerne Tecnico) difetti sono effettuati almeno annualmente. In caso di trattamento di dati sensibili o giudiziari l aggiornamento è almeno semestrale (Art Allegato B - Disciplinare Tecnico) 5. Fase dell Aggiornamento tecnologico marzoaprile2011 M.C. De Vivo 13

14 privacy Attenzione le Misure Minime Di Sicurezza non vengono meno neanche nella fase della distruzione dei dati Particolare procedura per la distruzione/rimozione dei dati personali Articolo 16 d.lgs. 196/ > distruzione dei supporti Come si distruggono le apparecchiature che hanno gestito e trattato i dati personali? marzoaprile2011 M.C. De Vivo 14

15 Breve parentesi Privacy Novembre 2013 M.C. De Vivo 15

16 privacy Privacy? Intercettazione? Dato personale? Trattamento? Privacy The right to be left alone Il diritto ad essere lasciato in pace! 1.Diritto alla dignità umana 2.Riservatezza sui propri dati personali 3.Libertà da indebite influenze 4.Diritto a organizzare e gestire il proprio spazio di vita (=fisico, mentale, digitale) Semplicisticamente: Diritto dell individuo a vedere tutelata la propria sfera privata molto più complicato: a. Diritto a controllare la vita privata e i/sui propri dati b. Diritto a proteggere la vita privata e i propri dati c. Diritto alla solitudine d. Diritto alla propria intimità e. Diritto all anonimato f. Diritto alla riservatezza Complicato anche definire il diritto sui dati: Il termine privacy, inizialmente riferito alla sfera della vita privata, ha subito un'evoluzione estensiva: il diritto al controllo sui propri dati personali. Diritto sui propri dati=controllo=raccolta e/o Uso e/o Divulgazione marzoaprile2011 M.C. De Vivo 16

17 privacy Cosa impone il Codice della privacy in tema di Trattamento dei dati personali? Chi e Cosa Fare: a.- Chi esegue la raccolta ed il trattamento (identificazione dei soggetti); b.- Cosa deve fare (Informativa/Consenso all interessato ) ; c.- Nominare i responsabili del Trattamento (nomina di un responsabile) d.- Obbligo di predisposizione delle Misure Minime di Sicurezza (obbligo approntare Misure di sicurezza) marzoaprile2011 M.C. De Vivo 17

18 Ruoli: Sicurezza/Integrità dati 1. Titolare (art. 28) --- > l obbligo della sicurezza 2. Responsabile (art. 29) --- > l obbligo della sicurezza (*) 3. Incaricati (art. 30) --- > l obbligo della sicurezza (**) --- > Errori di gestione --- > Incidenti --- > Attacchi Schematizzazione Problematiche Rimedi Ex lege Anche una --- > d.lgs. 196 del All. B (=Disciplinare Tecnico misure minime di sicurezza) (*) Responsabile= facoltativa fisica/società/organizzazione/ + di uno no autonomo --- > direttive Titolare (**) Incaricato= facoltativa fisica + di uno no autonomo --- > direttive Titolare + Responsabile dichiarazione ISO/IEC 27002, sezione 6.2 c.d. External Parties Novembre 2013 M.C. De Vivo 18

19 privacy Titolare Responsabile culpa in vigilando e culpa in eligendo n.b.: Se il titolare è una persona giuridica tutta la persona giuridica. In casi specifici bisogno di identificare all interno dell organizzazione aziendale il soggetto competente per la sezione sicurezza. Una parola sul defunto DPS n.b.: nel DPS debbono essere indicati: Il responsabile del trattamento dei dati ed il responsabile della custodia delle parole chiave ossia l Amministratore del sistema informativo, responsabili a loro volta per le competenze. ATTENZIONE NON FINISCE QUI marzoaprile2011 M.C. De Vivo 19

20 privacy Violazione/Responsabilità. Responsabile mancata misure minime di sicurezza =Titolare del Trattamento dei dati. In base ai tipi di responsabilità ed ai tipi di misure adottate MINIME O IDONEE Ulteriore distinzione MINIME Sono quelle misure che rispettano i parametri di sicurezza minimi individuati nel Codice (articoli 33, 35 e 36 ed Allegato B); IDONEE Sono le misure che vanno oltre la previsione del Codice. Tutte quelle misure in grado di evitare il danno. marzoaprile2011 M.C. De Vivo 20

21 privacy Violazione/Responsabilità. Responsabile mancata predisposizione del DPS =Titolare del Trattamento dei dati. In base ai tipi di responsabilità ed ai tipi di misure adottate MINIME O IDONEE Ulteriore distinzione Difesa del Il titolare del trattamento Conseguenze violazione MINIME Responsabilità Penale. Reato (Pena). Penale: Non responsabile se dimostra di aver adottato tutte le misure minime. Conseguenze violazione IDONEE Responsabilità civile. Danno (Risarcimento) Civile: Non responsabile se dimostra (LUI danneggiante e NON il danneggiato) di aver rispettato tutte le misure idonee a non permettere il danno. marzoaprile2011 M.C. De Vivo 21

22 Sanzioni: Amministrativa - (=Garante della Privacy e scattano quando c è : Omessa o inidonea informativa dell interessato RN: art. 161 Codice della privacy 6.000/36.000euro; Cessione dei dati in violazione del Codice RN. Art. 162 Codice della privacy; Omessa o incompleta notificazione al garante RN: 163 Codice della privacy; Omesso invio di documentazione al Misure Minime di sicurezza Garante RN: 164 Codice della privacy). Sanzioni: privacy Penale - Omissione di adozione delle misure minime di sicurezza Responsabilità penale RN: 169 Codice della privacy Reclusione fino a 2 anni o ammenda /50.000euro. Definizione Scopo Violazione/Responsabilità N.B.: viene concesso un termine entro il quale è possibile regolarizzare la propria posizione. L adeguamento estingue il reato. ma anche per Trattamento illecito dei dati personali RN: 167 Codice della privacy, Reclusione da 6 mesi a 3 anni; Falsità nelle dichiarazioni e notificazioni al garante RN: 168 Codice della privacy Reclusione da 6 mesi a 3 anni; Documento di Programmazione per la Sicurezza (DPS) Soggetti coinvolti Forme di tutela Civile Omissione di adozione delle misure minime di sicurezza ED idonee Responsabilità civile RN: art. 15 Codice privacy = 2050 C.C. = Responsabilità prevista per le attività pericolose. Trattamento dati = Esercizio di attività pericolosa. Ergo: cambia l Onere della prova >>> Inversione dell Onere della prova. No danneggiato ma Sì danneggiante provare che (Negativo = non aver commesso alcuna violazione Positivo=dimostrare messo in atto cura o misura atta ad impedire l evento dannoso) Risarcimento del danno NB: è risarcibile anche il danno non patrimoniale. marzoaprile2011 M.C. De Vivo 22

23 privacy Misure Minime di sicurezza Definizione Scopo Violazione/Responsabilità Forme di Tutela Autorità da adire per ottenere giustizia Penale/Civile = Giudice Ordinario Amministrativa = Garante per la privacy N.B.: per risarcimento danno SOLO il Giudice ordinario Documento di Programmazione per la Sicurezza (DPS) Soggetti coinvolti Forme di tutela marzoaprile2011 M.C. De Vivo 23

24 Chiusa la parentesi sulla privacy Dove eravamo rimasti???? marzoaprile2011 M.C. De Vivo 24

25 Responsabilità --- > nel modello IaaS sul provider responsabilità sicurezza infrastruttura Schematizzazione Problematiche Caratteristica cloud provider --- > nel modello PaaS sul provider responsabilità sicurezza infrastruttura sul cliente responsabilità protezione applicazioni sviluppate su piattaforma --- > sul cloud provider (in genere) Responsabilità di assicurare integrità sia dell'ambiente cloud sia dell'ambiente fisico e di rete Novembre 2013 M.C. De Vivo 25

26 Schematizzazione Problematiche Responsabilità Chi è responsabile nel cloud? --- > stabilire titolare trattamento dati In ambiente cloud Il Titolare trattamento=utilizzatore servizi cloud Il Responsabile=Fornitore dei servizi cloud Novembre 2013 M.C. De Vivo 26

27 Localizzazione dati (anche Territorialità del dato) Controversie --- > dove sono custoditi i dati? Controversie --- > luogo esatto in cui i file di log custoditi come vengono valutare il livello di protezione degli stessi Controversie --- > operatori giudiziari (=foro di competenza) Controversie --- > quale legge applicare? Schematizzazione Problematiche Novembre 2013 M.C. De Vivo 27

28 1. Studio fattibilità Quale normativa --- > La normativa Ue analisi norme Paesi Ue (13 tra cui Ita) --- > lacuna in tema Cloud Iniziative promosse --- > es.: progetto CloudWATCH Fornisce prassi comportamentali ottimali e standard (=uniformi) per i fornitori di servizi e per gli utenti in tutta Europa Sito: (report attività) Iniziative promosse --- > es.: (2010) dalla Commissione europea «Europa 2020 per una crescita intelligente, sostenibile e inclusiva» --- > obiettivi entro il 2020: uso sociale della tecnologia, la realizzazione delle reti di nuova generazione e alfabetizzazione digitale. --- > sviluppo in quattro punti tra i quali: il cloud computing. 2. Regolamento Ue Novembre 2013 M.C. De Vivo 28

29 Criticità (1/2): Quale normativa Proposta, --- > La normativa presentata Ue il 25 gennaio 2012 Sostituzione Direttiva 95/46/CE (auspica) vigore 2014 (????) --- > caso Datagate 2. Regolamento Ue --- > Intenti in sintesi: Nuovo Regolamento privacy (datate 1995) Legislatore europeo tenta di tutelare i dati dei cittadini europei coinvolti nei servizi di cloud. Come: impedendo di fatto che lascino i server presenti in Europa e qualora ciò avvenga che il trasferimento degli stessi venga effettuato nel rispetto di rigide regole normative (sostanzialmente tutte europee) poste a tutela della privacy. Legislatore europeo --- > a single rule (= unica legge Stati membri) Criticità (2/2): riaffermazioni di principi già conosciuti e di principi semi-nuovi. Qualche principio nuovo. --- > principi conosciuti: 1. Do not track 2. Autorizzazione Garante/Interessato ad Azienda Ue che su richiesta paese terze Passa dati Il Do-not-Track --- > direttiva 2009/136/CE (nota come «e-privacy» divieto monitoraggio Marketing/dir.2002/58/CE divieto spamming ) Autorizzazione --- > Principio necessità/proporzionalità --- > seminuovi (chip silenzioso --- > v. Autorizzazione) (divieto Profiling --- > v. Do not Track) (pseudo DPS) --- > nuovi (oblio) Novembre 2013 M.C. De Vivo 29

30 2. Regolamento Ue Quale normativa --- > La normativa Ue --- > Contenuti in sintesi (obblighi) 1. valutazioni preventive di impatto sulla tutela dei dati (c.d.: privacy impact assessment) 2. Nomina Responsabile protezione dati in Azienda (più di 250 dipendenti) (c.d. data protection officer) --- > relative caratteristiche (=super partes avvocato?) 3. Diritto all oblio 4. Diritto alla portabilità (diritto al trasporto dati da a ) 5. Nomina/previsione Titolari congiunti (c.d. joint controllers) --- > spartizione responsabilità --- > apposito contratto --- > difficoltà rientro schemi titolare/responsabile) 6. Stabilimento principale (=evita all azienda Ue attiva in + Stati membri diversi adempimenti per singolo Stato) 7. Sanzioni (=2% volume affari azienda in difetto) 8. Disciplina opt-in (=consenso preventivo pubblicità) ***attenzione*** 9. Accountability (=ripristino «trasversale» del DPS; =dimostrazione conformità regole Ue) 10. Data protection by design Novembre 2013 M.C. De Vivo 30

31 In definitiva (=scopo): 1. «il Regolamento prevede una vera e propria conquista privacy europea del resto del mondo, poiché impone che si applichi la normativa UE (con tutti gli annessi e connessi in termini di adempimenti) quando un impresa extra-ue rivolga servizi o prodotti al mercato UE» 2. Regolamento Ue In definitiva (=scopo): --- > Contenuti in sintesi (obblighi) 1. valutazioni preventive di impatto sulla tutela dei dati (c.d.: privacy impact assessment) 2. Nomina Responsabile protezione dati in Azienda (più di 250 dipendenti) (c.d. data protection officer) --- > relative caratteristiche (=super partes avvocato?) 3. Diritto all oblio 4. Diritto alla portabilità (diritto al trasporto dati da a ) 5. Nomina/previsione Titolari congiunti (c.d. joint controllers) --- > spartizione responsabilità --- > apposito contratto --- > difficoltà rientro schemi titolare/responsabile) Quale normativa --- > La normativa Ue 2. Collaborazione aziende Ue --- > obbligo modello unico organizzativo protezione dati 6. Stabilimento principale (=evita all azienda Ue attiva in + Stati membri diversi adempimenti per singolo Stato) 7. Sanzioni (=2% volume affari azienda in difetto) 8. Disciplina opt-in (=consenso preventivo pubblicità) ***attenzione*** 9. Accountability (=ripristino «trasversale» del DPS; =dimostrazione conformità regole Ue) 10. Data protection by design Novembre 2013 M.C. De Vivo 31

32 1. Analisi contesto (=individuazione problematiche) Dati (trattamento) Dati (sicurezza=gestione fornitore servizi) Dati (privacy=dell utente) 2. Produzione normativa RN: Privacy --- > d. lgs. 196/ Interventi Garante Vademecum del Garante della Privacy (2012) sul fenomeno Cloud (1) Parere del Garante sullo schema di "Linee-guida per il Disaster Recovery delle pubbliche amministrazioni«(2) Quale normativa - Non --- dimenticare, > La normativa mai, le nazionale responsabilità, in materia di protezione dei dati personali, che permangono in carico all utilizzatore dei servizi cloud nonostante egli non abbia più la disponibilità, in locale, dei suddetti dati. -Valutare, nel modo più coscienzioso, previdente e attento possibile, la serietà e l affidabilità dei vari service provider, prima di aderire ad un qualsiasi programma di gestione in remoto dei dati informatici; - Informarsi, nel modo più dettagliato possibile, in merito alla legislazione riguardante il trattamento, la tutela e la permanenza dei dati personali ed informatici della nazione in cui risiedono i server; - Leggere e rileggere attentamente ogni clausola del contratto che si andrà a stipulare con il provider prescelto; - Attivare specifici corsi di formazione rivolti al personale addetto alla gestione del patrimonio informatico. (cit. in pillole Vademecum Garante) (1) v. (2) v. Novembre 2013 M.C. De Vivo 32

33 1. Analisi contesto (=individuazione problematiche) Dati (trattamento) Dati (sicurezza=gestione fornitore servizi) Dati (privacy=dell utente) 2. Produzione normativa RN: Privacy --- > d. lgs. 196/ Interventi Garante Vademecum del Garante della Privacy (2012) sul fenomeno Cloud (1) Parere del Garante sullo schema di "Linee-guida per il Disaster Recovery delle pubbliche amministrazioni«(2) (1) v. (2) v Servizi cloud. ( ) la p. a. deve considerare la possibile localizzazione della infrastruttura geograficamente distribuita, individua gli strumenti e le clausole da adottare per soluzioni cloud che implichino il trasferimento dei dati (con rinvio alla normativa comunitaria e ai provvedimenti del Garante). ( ) il fornitore indichi "con apposita dichiarazione resa in sede contrattuale, l'esatta localizzazione, o le esatte localizzazioni dei dati gestiti. Questo specifico aspetto è di estrema importanza. Solo attraverso tale previsione, infatti, il titolare del trattamento è in condizione di valutare se questa particolare modalità di realizzazione del servizio rispetti effettivamente la normativa in materia di protezione Quale normativa dei dati personali e segnatamente l'articolo 45 del --- > La normativa nazionale Codice, che vieta il trasferimento "anche temporaneo fuori del territorio dello Stato, con qualsiasi forma o mezzo, di dati personali oggetto di trattamento, diretto verso un Paese non appartenente all'unione europea", qualora "l'ordinamento del Paese di destinazione o di transito dei dati non assicura un livello di tutela delle persone adeguato", a tal fine valutandosi anche "le modalità del trasferimento e dei trattamenti previsti, le relative finalità, la natura dei dati e le misure di sicurezza". Inoltre, considerato che le legislazioni, anche in materia di protezione dei dati, possono essere molto diverse nei Paesi terzi e non garantire livelli di protezione adeguati, il nuovo 6.5 prevede la necessità di agire contrattualmente, applicando delle clausole specifiche elaborate dalla Commissione Europea nei contratti di fornitura del servizio. Le predette clausole, effettive dal 15 maggio 2010, trasferiscono parte delle responsabilità sul trattamento dati a chi effettivamente tratta i dati. Considerato che l'attività di outsourcing può essere subappaltata anche più volte, nell'ambito del medesimo servizio, deve comunque essere garantita chiarezza su chi sia il responsabile per la sicurezza dei dati.» (cit. dal Parere Garante Disaster Recovery) Novembre 2013 M.C. De Vivo 33

34 3.4. Servizi cloud. ( ) la p. a. deve considerare la possibile localizzazione della infrastruttura geograficamente distribuita, individua gli strumenti e le clausole da adottare per soluzioni cloud che implichino il trasferimento dei dati (con rinvio alla normativa comunitaria e ai provvedimenti del Garante). ( ) il fornitore indichi "con apposita dichiarazione resa in sede contrattuale, l'esatta localizzazione, o le esatte localizzazioni dei dati gestiti. Questo specifico aspetto è di estrema importanza. Solo attraverso tale previsione, infatti, il titolare del trattamento è in condizione di valutare se questa particolare modalità di realizzazione del servizio rispetti effettivamente Quale la normativa in materia di protezione dei dati --- personali > La normativa e segnatamente nazionale l'articolo 45 del Codice, che vieta il trasferimento "anche temporaneo fuori del territorio dello Stato, con qualsiasi forma o mezzo, di dati personali oggetto di trattamento, diretto verso un Paese non appartenente all'unione europea", qualora "l'ordinamento del Paese di destinazione o di transito dei dati non assicura un livello di tutela delle persone adeguato", a tal fine valutandosi anche "le modalità del trasferimento e dei trattamenti previsti, le relative finalità, la natura dei dati e le misure di sicurezza". Anche secondo il garante 3. I contratti (=Regolamentazione efficace del fenomeno) Doppia funzione Quali caratteristiche Il contratto di servizi cloud computing Inoltre, considerato che le legislazioni, anche in materia di protezione dei dati, possono essere molto diverse nei Paesi terzi e non garantire livelli di protezione adeguati, il nuovo 6.5 prevede la necessità di agire contrattualmente, applicando delle clausole specifiche elaborate dalla Commissione Europea nei contratti di fornitura del servizio. Le predette clausole, effettive dal 15 maggio 2010, trasferiscono parte delle responsabilità sul trattamento dati a chi effettivamente tratta i dati. Considerato che l'attività di outsourcing può essere subappaltata anche più volte, nell'ambito del medesimo servizio, deve comunque essere garantita chiarezza su chi sia il responsabile per la sicurezza dei dati.» (cit. dal Parere Garante Disaster Recovery) Novembre 2013 M.C. De Vivo 34

35 3. I contratti (=Regolamentazione efficace del fenomeno) Quale normativa --- > La normativa nazionale Doppia funzione --- > Regolamentazione chiara (=fenomeno e rapporti contraenti) --- > Regolamentazione/Soluzione fase patologica (= grave inadempimento da parte del fornitore --- > risoluzione e ri-impossesamento propri dati cliente/utente finale) Quali caratteristiche Il contratto di servizi cloud computing Novembre 2013 M.C. De Vivo 35

36 1456. Clausola risolutiva espressa. I contraenti possono convenire espressamente che il contratto si risolva nel caso che una determinata obbligazione non sia adempiuta secondo le modalità stabilite. In questo caso, la risoluzione si verifica di diritto (1) quando la parte interessata dichiara all altra che intende valersi della clausola risolutiva [1457 2] Conservazione del contratto. Nel dubbio, il contratto o le singole clausole devono 3. I contratti (=Regolamentazione efficace del fenomeno) interpretarsi nel senso in cui possono avere qualche effetto, anziché in quello secondo cui non ne Doppia funzione avrebbero alcuno (1) Quali caratteristiche: --- > Presenza di clausole ad hoc + clausole SLA (allegato) --- > Fine delle clausole =severità sulle responsabilità per generare fiducia Quale normativa --- > La normativa nazionale Le clausole: clausola risolutiva espressa (ex art c.c.) principio conservazione contratto (ex art c.c.) clausola disclaimer (=dichiarazioni di garanzie e responsabilità) clausola di assistenza (necessaria) Il contratto di servizi cloud computing Clausola «divieto di vincolo» (a favore futuro cliente alle tecnologie offerte Fornitore =più facile pagare che cambiare) Novembre 2013 M.C. De Vivo 36

37 3. I contratti (=Regolamentazione efficace del fenomeno) Doppia funzione Quali caratteristiche: --- > Presenza di clausole ad hoc = SLA --- > Fine delle clausole =severità sulle responsabilità per generare fiducia Quale normativa --- > La normativa nazionale Le clausole: standard contractual clauses (=clausole contrattuali standard o interi contrattitipo approvati e predisposti dalla stessa Commissione europea) --- > il fine: Queste clausole contrattuali garantiscono tutela al soggetto che esporta i dati (=assicurazione trattati conformemente ai princípi stabiliti nella direttiva 95/46/CE anche nel Paese terzo di destinazione). Il contratto di servizi cloud computing Novembre 2013 M.C. De Vivo 37

38 3. I contratti (=Regolamentazione efficace del fenomeno) Quale normativa --- > La normativa nazionale Doppia funzione Quali caratteristiche: Il contratto di servizi cloud computing --- > Struttura: Parte terms of service (=regolamento in grado di prevedere i rapporti tra cloud provider e cliente) RN: Codice civile spec. art > nullità del patto «esclude o limita preventivamente la responsabilità del debitore per dolo o per colpa». Parte Service Level Agreements (SLA) (=previsione qualità/quantità servizi ; ipotizzati i danni; ipotizzate le responsabilità/risarcimenti; la sicurezza) Parte Policy (PLA) (= sezione generale --- > ciò che è permesso e non è permesso fare arginare illeciti; --- > sezione specifica riservata alla privacy/trattamento dei dati) Novembre 2013 M.C. De Vivo 38

39 Quale normativa --- > La normativa nazionale 3. I contratti (=Regolamentazione efficace del fenomeno) --- > Volontà delle parti è sovrana=le parti possono scegliere la legge di regolamentazione del contratto Alle parti è data libertà di regolamentare i rapporti che pongono in essere (Contrattualistica internazionale) c.d. pactum de lege utenda --- > formulare modelli contrattuali analitici, (allegati tecnici, SLA, disclaimer) --- > contratto esaustivo (sufficientemente ) Novembre 2013 M.C. De Vivo 39

40 legge 31 Maggio 1995, n. 218 "Riforma del sistema italiano di diritto internazionale privato") --- > che le obbligazioni contrattuali sono regolate dalla --- > --- > Convenzione di Roma del 19 Giugno 1980, ratificata dall'italia con Legge 18 Dicembre 1984, n. 975, ed entrata in vigore il 1 Aprile (Contrattualistica internazionale) (Obbligazioni contrattuali internazionali) c.d. pactum de lege utenda m.c.de vivo 40

41 Articolo 3- Libertà di scelta 1. Il contratto è regolato dalla legge scelta dalle parti. La scelta dev'essere espressa, o risultare in modo ragionevolmente certo dalle disposizioni del contratto o dalle circostanze. Le parti possono designare la legge applicabile a tutto il contratto, ovvero a una parte soltanto di esso. 2. Le parti possono convenire, in qualsiasi momento, di sottoporre il contratto ad una legge diversa da quella che lo regolava in precedenza ( ) Scelta delle parti --- > La regola generale è quella per cui: "il contratto è regolato dalla legge scelta dalle parti«(art. 3, comma 1 ). Ampia libertà: a) non è richiesto che la scelta di un'unica legge si estenda a tutto il contenuto del contratto b) è consentito, "in qualsiasi momento, di sottoporre il contratto ad una legge diversa d quella che lo regolava in precedenza" (art. 3, comma 2) c) Possono scegliere la Legge italiana Possono scegliere la Legge della controparte straniera - Possono scegliere la Legge di un paese terzo - Possono scegliere la Leggi di più paesi - Possono scegliere la Esclusione di ogni legge statale (=principi di riferimento extrastatuali --- > Lex mercatoria) m.c.de vivo 41

42 La persona L informazione (il contenuto) Vita intima Veridicità Identità In conclusione, stante la complessità del fenomeno del cloud computing e vista l assenza di una definita disciplina legale, si avverte l esigenza di predisporre un contratto le cui clausole chiariscano, per quanto possibile, la posizione assunta dal fornitore, descrivendone la prestazione dovuta e, conseguentemente, le responsabilità. Novembre 2013 M.C. De Vivo 42

43 Grazie NON SI PUO AVERE IL 100 % DI SICUREZZA CON IL 100 % DI PRIVACY, MA NON SI POTRA MAI AVERE IL 100% DI SICUREZZA (cit.) Novembre 2013 M.C. De Vivo 43