La tutela dei dati nei processi di outsourcing informatico in India

Transcript

1 Cloud computing e processi di outsourcing dei servizi informatici La tutela dei dati nei processi di outsourcing informatico in India Domenico Francavilla Dipartimento di Scienze Giuridiche Università di Torino domenicofrancavilla@yahoo.it

2 Temi L adeguatezza del livello di protezione dei dati in India Rapporto tra scelte di impresa e legal framework La riforma della disciplina indiana su sicurezza dei dati e privacy: novità e problemi

3 BPO e Legal Framework Lo sviluppo dell outsourcing verso l India si è realizzato in assenza di una disciplina comprensiva di tutela della sicurezza dei dati e della privacy. Le regole europee che pongono restrizioni al trasferimento di dati verso paesi terzi che non soddisfano uno standard adeguato di tutela hanno spinto le imprese indiane a fare pressione per l introduzione di una disciplina capace di soddisfare i requisiti europei. Obiettivo: evitare che i rischi legati alla sicurezza dei dati costituiscano un ostacolo all outsourcing verso l India - Destinazione sicura Clausole contrattuali diritto nazionale standard industriali

4 Codici di condotta Particolarmente attiva la NASSCOM (National Association of Software and Services Companies) che riunisce le imprese che operano nel settore dell Information Technology e del Business Process Outsourcing Data Security Council of India DSCI is a not-for-profit organization, established with the key objective of building a credible and committed body to uphold a high level of data privacy and security standards. The Mission of DSCI is to create trustworthiness of Indian companies as global sourcing service providers, and to send out a message to clients worldwide that India is a secure destination for outsourcing where privacy and protection of customer data are enshrined in the global best practices followed by the industry.

5 La tutela dei dati nel diritto indiano Problemi generali - Adeguatezza della protezione dei dati personali (decisione Commissione) - Tutela contrattuale e Statutory protection Assenza di una disciplina organica di tutela della sicurezza dei dati e della privacy Legge più importante: Information Technology Act 2000 Privacy come diritto fondamentale attraverso interpretazione estensiva dell art. 21 della Costituzione 1949 (1950) sulla libertà personale

6 Processo di riforma 1 - Riforma dell IT Act 2000 (IT Amendment Act 2008) 2 - Personal Data Protection Bill, 2006 Si è scelto di proseguire attraverso alcune modifiche dell Information Technology Act 2000 dirette ad estendere le tutele e a chiarire alcuni punti relativi alla protezione dei dati personali. Questo approccio non comporta l adozione di una disciplina organica e comprensiva che regoli sicurezza dei dati e privacy.

7 IT Act 2000 Sez. 43 Accesso non autorizzato, distruzione e furto di dati, danneggiamento sistema informatico L autore dell infrazione deve risarcire il danno in misura non eccedente 10 milioni di rupie = circa euro Non è prevista la responsabilità del soggetto che conserva i dati

8 Sez. 43 (IT Act 2000) 43. Penalty for damage to computer, computer systems, etc. (accesso non autorizzato, distruzione e furto di dati) If any person without permission of the owner or any other person who is incharge of a computer, computer system or computer network, (a) accesses or secures access to such computer, computer system or computer network; (b) downloads, copies or extracts any data, computer data base or information from such computer, computer system or computer network including information or data held or stored in any removable storage medium; (c) introduces or causes to be introduced any computer contaminant or computer virus into any computer, computer system or computer network; (d) damages or causes to be damaged any computer, computer system or computer network, data, computer database or any other programmes residing in such computer, computer system or computer network; he shall be liable to pay damages by way of compensation not exceeding one crore rupees [10 milioni di rupie = circa euro] to the person so affected.

9 Aggiunta Sez. 43 A (ITAA 2008) Where a body corporate possessing, dealing or handling any sensitive personal data or information in a computer resource which it owns, controls or operates, is negligent in implementing and maintaining reasonable security practices and procedures and thereby causes wrongful loss or wrongful gain to any person, such body corporate shall be liable to pay damages by way of compensation to the person so affected.

10 Definizioni (ii) reasonable security practices and procedures means security practices and procedures designed to protect such information from unauthorized access, damage, use, modification, disclosure or impairment, as may be specified in an agreement between the parties or as may be specified in any law for the time being in force and in the absence of such agreement or any law, such reasonable security practices and procedures, as may be prescribed by the Central Government in consultation with such professional bodies or associations as it may deem fit;

11 Sez. 72 A (2008) Punishment for disclosure of information in breach of a lawful contract Save as otherwise provided in this Act or in any other law for the time being in force, any person including an intermediary who, while providing services under the terms of a lawful contract, has secured access to any material containing personal information about another person, with the intent to cause or knowing that he is likely to cause wrongful loss or wrongful gain, discloses, without the consent of the person concerned, or in breach of a lawful contract, such material to any other person, shall be punished with imprisonment for a term which may extend to three years, or with fine which may extend to five lakh rupees [ rupie = circa euro), or with both

12 Novità e problemi La principale novità è la previsione di uno standard di responsabilità (reasonabe security practices and procedures) Manca però disciplina delle condizioni che devono essere soddisfatte nella raccolta e nell utilizzo dei dati. Anche il Personal Data Protection Bill 2006 sotto questo profilo è insufficiente

13 Conclusioni In assenza di una disciplina comprensiva ed analitica la disciplina indiana rimane sostanzialmente non adeguata. Favorisce miglioramenti tecnici e gestionali delle imprese indiane Dal punto di vista europeo rimane cruciale l assetto contrattuale