La scelta del cloud: dal contratto alla tutela dei dati

Transcript

1 Nuove frontiere in Biblioteca: le informazioni tra le nuvole 15 marzo 2012 Milano La scelta del cloud: dal contratto alla tutela dei dati Prof. Avv. Alessandro Mantelero Politecnico di Torino IV Facoltà

2 I.1 Il passaggio al cloud computing Cosa cambia nel passaggio al modello cloud? modello proprietario o assimilabile caratteristiche: - fruizione diretta - disponibilità diretta delle risorse - controllo diretto sulle risorse - possibilità di avvalersi di diversi partner caratteristiche: modello as a service - necessità della cooperazione del fornitore del servizio (rapporto contrattuale) - controllo indiretto mediante il contratto e strumenti software (SLA, KPI) - rischio di lock-in Come gestire le criticità? - analisi delle clausole contrattuali - selezione degli ambiti da spostare nel cloud - interoperabilità

3 I.2 La tipologia contrattuale Chi offre i servizi cloud? - grandi operatori del settore IT (contratto standard) - medi e piccoli rivenditori ( ribaltamento del contratto standard) Che tipo di contratto è? contenuto: regolamentazione prestazione del servizio (appalto) e gestione diritti sul software (licenze) È un contratto misto (appalto, licenza) con prevalenza ora del contratto di servizio, ora di quello di licenza É un contratto di outsourcing? L'outsourcing non è un contratto unitario, ma comprende modelli contrattuali eterogenei connotati dall'affidamento a terzi di fasi del processo produttivo. I contratti che regolano l'erogazione di servizi cloud, benché incentrati sull'esternalizzazione di processi ed attività, differiscono da quelli di outsourcing sotto diversi aspetti.

4 aspetti comuni al modello dell'outsourcing: - contenuto: esternalizzazione dei servizi - aspetti di rilievo: servizio offerto, qualità del servizio, costi, efficienza - struttura contrattuale: modelli contrattuali analitici (allegati tecnici, SLA) aspetti divergenti rispetto al modello dell'outsourcing: - contenuto: centralità degli strumenti produttivi e scarsa rilevanza della componente umana carenza del trasferimento tecnologico/strumentale e di personale (ruolo secondario di formazione, audit e controlli diretti) - rapporto contrattuale: modello uno/molti (personalizzazione secondo offerte standard, definizione delle policies ad opera del fornitore, semplificazione della fase precontrattuale, limitata variabilità degli accordi, mancanza di clausole di rinegoziazione) ridotto potere contrattuale del cliente e definizione dei servizi/nuovi prodotti da parte del fornitore - durata e controprestazione: flessibilità nell'ampiezza della durata (salvo lock-in) metrica dei costi più semplice, ma maggiore incertezza sul costo globale

5 I.3 Il contratto: struttura e contenuti Quali elementi sono ricorrenti? - Terms of Service - Acceptable Use Policy - Privacy policies difficoltà di lettura: gli stessi aspetti possono venire trattati all'interno di più di un documento Cosa disciplina nel dettaglio il contratto? profili generali del contratto: - lingua - durata - corrispettivo - possibilità di modifiche unilaterali e relative modalità - legge applicabile e giurisdizione - prevenzione e gestione dell'inadempimento - limitazione di responsabilità/garanzie - sub-contratto profili inerenti le informazioni gestite: - titolarità dei contenuti - sicurezza - disciplina della disclosure - flussi transfrontalieri - destinazione dei dati in caso di scioglimento del contratto

6 Contesto: - standardizzazione del servizio (rapporto uno/molti) - asimmetria forza contrattuale - contrattualistica internazionale uniforme Quali le clausole ricorrenti meritevoli di attenzione? 1. legge applicabile e giurisdizione: preferenza per legge e giurisdizione del fornitore (rapporto uno/molti) 2. limitazione della responsabilità/garanzie talvolta garanzie specifiche in relazione a servizi di security ad hoc acquistati (limiti conseguenti alla minor personalizzazione del prodotto) 3. limitazione delle garanzie eccezione: norme indisponibili, ipotesi di maggior rilievo specificate nel contratto 4. limitazione della responsabilità in favore del fornitore ipotesi tipizzate: contenuti immessi dal cliente (con clausola di manleva in caso di contenzioso), forza maggiore et similia, interruzione servizio o mancanza di sicurezza - possibilità di indennizzi secondo multipli del costo orario e non dei danni effettivi La scelta del cloud: dal contratto c alla tutela dei dati

7 5. limitazione dell'oggetto del contratto - in capo al cliente oneri inerenti sicurezza, integrità dei dati, accesso illecito 6. limitazione del danno risarcibile - esclusione responsabilità per danni indiretti - tetto massimo prefissato in un ammontare determinato (es $) o in multipli del corrispettivo per il servizio Come scegliere: 1. non porre attenzione solo ai profili economici o tecnologici 2. valutare i costi alla luce dei vincoli contrattuali 3. conoscere gli oneri a proprio carico al fine di pianificare il servizio in ragione degli stessi 4. valutare la conformità del contratto rispetto agli obblighi imposti dalla legge La scelta del cloud: dal contratto c alla tutela dei dati

8 II.1 Il trattamento dei dati Perché è importante il profilo della gestione dei dati? - dati personali: obblighi di legge accompagnati da previsioni sanzionatorie effetti negativi di tipo reputazionale - altri dati: rilevanza dell'asset informativo sussistenza di privative o altre forme specifiche di tutela dell'informazione Come incide sull'accordo contrattuale? occorre prestare attenzione alle clausole concernenti specifici profili: - traslazione di oneri ed adempimenti sul cliente - conformità alle norme comunitarie - localizzazione dei dati - ruolo assunto dalle parti rispetto al trattamento - flussi transfrontalieri extra-ue

9 Criticità da valutare nella scelta del fornitore in relazione al trattamento dati - modalità di cooperazione del fornitore (modalità e tempi) - interoperabilità delle soluzioni - insicurezza geo-politica Quali le possibili risposte alle criticità? - analisi delle modalità di gestione dei dati - incremento degli elementi informativi - eventuale adozione di soluzioni assicurative

10 II.2 Il trattamento dei dati personali modello: piramidale (titolare, responsabile, incaricati) problema di qualificazione: centralità del rapporto di preposizione e del potere decisionale in capo al preponente, ma non della relazione economico-funzionale fra i soggetti conseguenze del ruolo assunto: - obblighi ed oneri di controllo - adozione e sorveglianza sulle misure di sicurezza - responsabilità penale, amministrativa e civile il rapporto nel cloud computing: propensione per la qualificazione del rapporto come responsabile (fornitore)/titolare (cliente)

11 Quali le conseguenze della qualificazione del cliente come titolare? - flusso interno dei dati - vantaggi: controllo sulla gestione dei dati, riduzione oneri formali specifici - svantaggi: responsabilità per i danni, oneri di controllo e sicurezza Cosa accade se i dati vengono trasferiti al di fuori dall'italia? dati intra-ue: garanzia di tutela assicurata dall'attuazione della dir. 95/46/CE dati extra-ue: - criterio generale: i Paesi di destinazione devono garantire un livello di protezione adeguato (art. 25, dir. 95/46/CE), con norme nazionali specifiche o accordi con l'ue - in caso di inadeguatezza del livello di tutela garantito: adozione di clausole contrattuali standard definite dalla Commissione Europea oppure di clausole contrattuali specifiche ad opera delle parti - eventuali criticità correlati ai poteri di accesso alle banche dati riconosciuti dalle leggi di alcuni Paesi extra-ue

12 Avv. Alessandro Mantelero Confirmed Assistant Professor Department of Management and Production Engineering Politecnico di Torino Faculty Fellow-NEXA Center for Internet and Society