Cloud Computing: principali aspetti normativi

Transcript

1 Cloud Computing: principali aspetti normativi avv. Valerio Vertua

2 La presente documentazione è messa a disposizione secondo i termini della Licenza Creative Commons: Attribuzione & Condividi allo stesso modo The following documentation is licensed under the Creative Commons terms: By-sa & Attribution-ShareAlike

3 Attualità Newsletter n. 345 del :... cloud computing sotto la lente del Garante Cloud computing e trasparenza on line:! il Garante per la privacy al Forum P.A Commissione Europea: consultazione pubblica per permettere a cittadini ed imprese di dire la propria sulle possibili strategie comunitarie in materia di cloud computing Fonti normative in costante aggiornamento/modifica

4 Normativa - aspetti generali Codice Amministrazione Digitale (CAD) (d.lgs. n. 82/2005) Codice civile - contratti Codice in materia di protezione dei dati personali (d.lgs. 196/2003)

5 Codice Amministrazione Digitale norme generali (art. 12), digitalizzazione (art. 15), strutture per l organizzazione, l innovazione e le tecnologie (art. 17) formazione, gestione e conservazione dei documenti informatici (capo III - artt ) continuità operativa - disaster recovery (art. 50 bis) sicurezza dei dati, dei sistemi e delle infrastrutture delle P.A. (art. 51) sviluppo, acquisizione e riuso di sistemi informatici nella P.A. (capo VI - artt )

6 Aspetti contrattuali - generalità unico contratto complesso appalto di servizi con obbligazione di risultato bassa negoziabilità del contratto (standardizzazione) indicazione di dove vanno i dati, chi li tratta e come durata e rinnovo del contratto

7 Aspetti contrattuali - clausole legge applicabile e giurisdizione competente gestione dei dati e protezione degli stessi disciplina della proprietà intellettuale assistenza e livelli di servizio (c.d. SLA) responsabilità contrattuali nomina Responsabile clausole Way-Out

8 Aspetti contrattuali - clausole legge applicabile e giurisdizione competente gestione dei dati e protezione degli stessi indicazione disciplina esplicita della proprietà ubicazione intellettuale geografica dei server assistenza e livelli di servizio (c.d. SLA) divieto esplicito di cessione del contratto responsabilità contrattuali diritti di verifica adozione misure di sicurezza nomina Responsabile clausole Way-Out divieto esplicito di subappalto/subfornitura/subcontratto obbligo segnalazione violazioni di sicurezza e perdita dati risoluzione per inadempimento per mancato rispetto di standard di sicurezza eventuali certificazioni (es. ISO 27001)

9 Aspetti contrattuali - clausole legge applicabile e giurisdizione competente gestione dei dati e protezione degli stessi disciplina della proprietà intellettuale assistenza e livelli di servizio (c.d. SLA) responsabilità contrattuali nomina Responsabile clausole Way-Out

10 Aspetti contrattuali - clausole Responsabile: la persona fisica, la persona giuridica, la pubblica legge applicabile amministrazione... e giurisdizione preposti dal competente Titolare Responsabile gestione dei del dati trattamento e protezione con mansioni degli stessi di Amministratore di sistema predisposizione disciplina della di sistemi proprietà idonei intellettuale alla registrazione di assistenza e livelli di servizio (c.d. SLA) svolte responsabilità dal fornitore contrattuali di servizi Cloud nomina Responsabile clausole Way-Out accessi logici ai sistemi informativi ed agli archivi informatici indicazione persona/e per verifica annuale alle attività

11 Aspetti contrattuali - clausole legge applicabile e giurisdizione competente gestione dei dati e protezione degli stessi chiarezza e semplicità nelle procedure disciplina della proprietà intellettuale riconsegna dei dati su supporto e formato assistenza predeterminato e livelli di servizio (c.d. SLA) responsabilità cancellazione dati contrattuali (wipeing) nomina Responsabile clausole Way-Out

12 Cod. Privacy - aspetti generali sede legale e ubicazione dei server applicabilità del codice della privacy trasferimento dati all estero (UE - ExtraUe) accesso ai dati conservazione e cancellazione dei dati

13 Applicabilità codice della privacy sede legale e ubicazione dei server (cfr. art. 5 d.lgs. 196/2003) soggetto stabilito nel territorio italiano soggetto stabilito in paese extraue ma che impiega strumenti situati in Italia (salvo che essi siano utilizzati solo ai fini di transito nel territorio dell'ue) soggetto con sede e server fuori Italia

14 Trasferimento dati all estero 1/2 paesi UE (cfr. artt. 37 e 42 d.lgs. 196/2003) notifica al Garante libera circolazione dei dati

15 Trasferimento dati all estero a) dati genetici, biometrici o dati GPS di persone od oggetti; b) paesi dati idonei UE a rivelare (cfr. artt. lo stato 37 e di 42 salute d.lgs. 196/2003) e la vita sessuale, trattati a fini di procreazione assistita, prestazione di servizi sanitari per via telematica relativi a banche notifica di dati al Garante o alla fornitura di beni, indagini epidemiologiche, rilevazione di malattie mentali, infettive e diffusive, sieropositività, trapianto di organi e tessuti libera e monitoraggio circolazione della dei spesa dati sanitaria; c) dati idonei a rivelare la vita sessuale o la sfera psichica trattati da associazioni, enti od organismi senza scopo di lucro, anche non riconosciuti, a carattere politico, filosofico, religioso o sindacale; d) dati trattati con l'ausilio di strumenti elettronici per la profilazione degli utenti; e) dati sensibili in banche di dati per selezione del personale per conto terzi e dati sensibili per sondaggi di opinione, ricerche di mercato e altre ricerche campionarie; f) dati in banche dati gestite per il rischio sulla solvibilità economica, la situazione patrimoniale, il corretto adempimento di obbligazioni, comportamenti illeciti o fraudolenti. 1/2

16 Trasferimento dati all estero 1/2 paesi UE (cfr. artt. 37 e 42 d.lgs. 196/2003) notifica al Garante libera circolazione dei dati paesi extraue (cfr. art. 37 e 43 d.lgs. 196/2003) notifica al Garante è necessario per la salvaguardia di un interesse pubblico rilevante individuato con legge o con regolamento o, se il trasferimento riguarda dati sensibili o giudiziari, specificato o individuato ai sensi degli articoli 20 e 21 dati di pers. giuridiche, enti, associazioni dati di pers. fisiche (principio di necessità) consenso espresso dell interessato (scritto dati sensibili)

17 Trasferimento dati all estero 2/2 paesi extraue (cfr. artt d.lgs. 196/2003) trasferimento verso paesi che assicurano un livello di protezione adeguato

18 Trasferimento dati all estero 2/2 paesi extraue (cfr. artt d.lgs. 196/2003) trasferimento verso paesi che assicurano un livello di protezione adeguato Andorra Argentina Australia Canada Isole Far Oer Isola di Guernsey Isola di Man Isola di Jersey Stato Israele Svizzera

19 Trasferimento dati all estero 2/2 Usa - Safe Harbor paesi extraue (cfr. artt d.lgs. 196/2003) Decisione Commissione europea del 26 luglio 2000 n. 2000/520/CE trasferimento verso paesi che assicurano un livello di protezione adeguato Deliberazione del Garante n. 36 del 10 ottobre 2001 denominata "Autorizzazione al trasferimento verso gli Stati Unti d'america" principi e "Domande più frequenti" (FAQ) redatti dal Dipartimento del Commercio degli USA in accordo con l'ue al fine di garantire un livello adeguato di protezione dei dati personali trasferiti da persona fisica o giuridica o enti residenti in quest'ultima a soggetti aventi sede negli Stati Uniti Camera di Commercio Americana - siti web:

20 Trasferimento dati all estero 2/2 paesi extraue (cfr. artt d.lgs. 196/2003) trasferimento verso paesi che assicurano un livello di protezione adeguato adozione clausole contrattuali tipo approvate dalla Commissione UE es.: Decisione della Commissione Europea del 5 febbraio 2010 n. 2010/87/UE (pubblicata su G.U.C.E. L 39/5 del e recepita dal Garante italiano con l Autorizzazione generale n. 35 del in G.U. n. 141 del )

21 Trasferimento dati all estero 2/2 paesi extraue (cfr. artt d.lgs. 196/2003) trasferimento verso paesi che assicurano un livello di protezione adeguato adozione clausole contrattuali tipo approvate dalla Commissione UE regole di condotta esistenti nell'ambito di società appartenenti a un medesimo gruppo

22 Trasferimento dati all estero 2/2 paesi extraue (cfr. artt d.lgs. 196/2003) trasferimento verso paesi che assicurano un livello di protezione adeguato adozione clausole contrattuali tipo approvate dalla Commissione UE regole di condotta esistenti nell'ambito di società appartenenti a un medesimo gruppo vietato in tutti gli altri casi

23 Accesso ai dati accesso ai dati utente - affidabilità fornitore servizio Cloud autorità pubbliche (es. Patriot Act) dipendenti del fornitore servizio Cloud criminali

24 Conservazione e Cancellazione conservazione dei dati affidabilità fornitore servizio Cloud misure di sicurezza (minime - idonee) cancellazione dei dati imposta dalla legge voluta dal titolare affidabilità fornitore servizio Cloud

25 Illeciti e Responsabilità Illeciti Penali Illeciti Amministrativi (trattamento illecito dati; misure di sicurezza) (omessa o inidonea informativa dell interessato) Responsabilità civile (danni cagionati dal trattamento - misure idonee)

26 Conclusioni: consigli pratici Analisi strategica delle proprie necessità Analisi dell affidabilità del fornitore di servizi Cloud Analisi dell offerta del fornitore di servizi Cloud

27 Conclusioni: consigli pratici Analisi strategica delle proprie necessità Analisi dell affidabilità del fornitore di servizi Cloud Analisi dell offerta del fornitore di servizi Cloud Controllo di gestione dei dati localizzazione geografica server diritti di controllo continuità operativa - disaster recovery regole su propr. intellettuale e dati personali

28 Conclusioni: consigli pratici Analisi strategica delle proprie necessità Analisi dell affidabilità del fornitore di servizi Cloud Analisi dell offerta del fornitore di servizi Cloud Controllo di gestione dei dati Clausole di Way-Out chiare rapide con obblighi di esportazione dei dati

29 Conclusioni: consigli pratici Analisi strategica delle proprie necessità Analisi dell affidabilità del fornitore di servizi Cloud Analisi dell offerta del fornitore di servizi Cloud Controllo di gestione dei dati Clausole di Way-Out Informativa dettagliata e completa all Interessato

30 Domande... avv. Valerio Vertua