Profili contrattuali e di data protection del Cloud Computing

Transcript

1 Opportunità e aspetti critici della Nuvola 13 febbraio 2012 Torino Profili contrattuali e di data protection del Cloud Avv. Alessandro Mantelero Ricercatore Politecnico di Torino IV Facoltà

2 I. Esternalizzazione dei servizi informatici ed organigramma del trattamento Il modello piramidale : - controller - processor - incaricati il rapporto di preposizione ed il potere decisionale in capo al preponente consentono di distinguere i ruoli, non la relazione economico-funzionale fra i soggetti conseguenze del ruolo ricoperto: - obblighi ed oneri di controllo - adozione e sorveglianza sulle misure di sicurezza - responsabilità penale, amministrativa e civile L'organigramma nei casi di esternalizzazione: - visione dato-centrica - indipendenza dal rapporto di outsourcing - centralità del concreto potere di controllo esercitato sui dati

3 I ipotesi: gestione autonoma del trattamento ad opera dell'outsourcee (flusso controller/controller: comunicazione) vantaggi: - parziale trasferimento degli adempimenti - irresponsabilità dell'outsourcer per i danni svantaggi: - mancanza di controllo - obblighi connessi alla comunicazione (informativa e consenso specifico) II ipotesi: gestione in cui l'outsourcer si riserva il controllo della gestione del trattamento effettuato dall'outsourcee (flusso interno controller/processor) vantaggi: - controllo sulla gestione dei dati - natura interna del rapporto: superfluità informativa e consenso specifico svantaggi: - responsabilità dell'outsourcer per i danni - oneri di controllo e sicurezza

4 II. Le specifiche del cloud computing centralità delle attività di memorizzazione e gestione dati qualificazione rapporto fornitore cloud/cliente: - margine di autonomia decisionale del fornitore - compiti del fornitore chiaramente e rigorosamente definiti (SLA, KPI, ecc.) - l'impresa cliente è il soggetto direttamente legittimato dagli interessati a trattare i dati - il fornitore gestisce le informazioni nell'interesse del cliente - affidamento al fornitore solamente di parte dei trattamenti - il fornitore offre servizi di standard superiori piuttosto che un elevato grado di autonomia nel trattamento propensione per la qualifica del rapporto come processor (fornitore)/controller (cliente)

5 III. Ruoli e responsabilità nel trattamento dati transfrontaliero ambito applicativo dir. 95/46/CE (art. 4): - stabilimento del controller nel territorio dello Stato membro (o luogo soggetto a legislazione nazionale) - impiego ai fini del trattamento di strumenti situati nel territorio di detto Stato membro, fatto salvo l'impiego per soli fini di transito - progressivo ampliamento ambito applicativo in via interpretativa condizione per il trasferimento transfrontaliero (criterio generale): - trasferimento dati verso un Paese terzo solo se viene garantito un livello di protezione adeguato (art. 25, dir. 95/46/CE)

6 I ipotesi: adeguatezza del livello di tutela garantito dalla legge del Paese terzo valutazione positiva della Commissione Europea con riguardo a: - normativa nazionale del Paese terzo - accordi ad hoc (caso eccezionale, Safe Harbor) II ipotesi: inadeguatezza del livello di tutela garantito - clausole contrattuali standard definite dalla Commissione (art. 26 2, dir. 95/46/CE - clausole contrattuali definite dalle parti, con autorizzazione ad hoc della DPA (art.44, lett. a, d.lgs. 196/03) III ipotesi: III ipotesi: trasferimenti comunque permessi - consenso dell'interessato e casi di consenso implicito (finalità contrattuali o precontrattuali) - dati derivanti da un pubblico registro - salvaguardia dell'interesse vitale della persona o (nelle ipotesi di legge) salvaguardia di un interesse pubblico rilevante/esercizio diritti in giudizio

7 clausole contrattuali standard definite dalla Commissione: facilitano risoluzione dei problemi di geo-localizzazione flusso controller/processor (Paese terzo) - disciplina sub-contratto (permane responsabilità primo ricevente) - vigilanza: autorità di controllo degli stati UE (divieto/sospensione flussi in caso di infrazione) - legge applicabile al contratto: luogo stabilimento "esportatore" - azione di danni diretta verso l' "esportatore" - "clausola del terzo beneficiario" (nei contratti fra esportatore, importatore e subincaricato) flusso processor/subprocessor (Paese terzo) - mancanza di clausole-tipo soluzioni possibili: - impiego clausole-tipo direttamente ad opera del controller (accordo diretto con il sub-processor) o mandato da parte del controller al processor affinché stipuli in suo nome le clausole-tipo - specifici accordi contrattuali fra le parti, previa autorizzazione dei competenti organi del Paese dell'esportatore

8 IV. L'accesso ai dati da parte dei pubblici poteri - scarsa efficacia delle clausole standard o di accordi ad hoc (S.H.) S.H. è derogabile per ragioni di national security, public interest, or law enforcement requirements o per esplicita norma di legge, regolamento o provvedimento giudiziario. Applicabilità al Patriot Act possibili scenari: a) richiesta dati dal governo alla controllante nazionale relativa a informazioni detenute da quest'ultima in quanto trasmesse alla stessa dalla controllata UE b) richiesta diretta di dati alla controllata UE. CASO A: - previa informativa specifica ad opera della controllata UE (criticità ampiezza trattamento) - legittimità flusso transfrontaliero infra-gruppo (clausole standard, S.H., BCR) - disclosure ad opera dalla controllante CASO B: - previa informativa specifica ad opera della controllata UE - acquisizione (ad opera della controllata UE) del consenso alla comunicazione ed al trasferimento transfrontaliero da parte di tutti i soggetti di cui l'utente cloud tratta i dati (criticità: libertà del consenso e proporzionalità del trattamento)

9 profili geo-politici - diverse nazioni (UE, India, Cina) riconoscono poteri di indagine alle autorità - problema politico ingerenze (big data) - il problema non è la riserva riconosciuta agli interessi nazionali, ma il bilanciamento con le esigenze di data protection - necessità di chiara e precisa definizione delle eccezioni e di utilizzo delle procedure di cooperazione giudiziaria internazionale

10 Il contratto: qualificazione giuridica Nota generale: - centralità del profilo contrattuale - importanza dell'attenzione prestata dal fornitore a tale aspetto Natura del contratto: contratto misto (appalto, licenza) assenza di un profilo solitamente prevalente, bensì variazioni fra schemi in cui prevale la struttura del contratto di servizio e schemi in cui prevale quello di licenza frequente accostamento ai contratti di outsourcing (modelli contrattuali eterogenei connotati dall'affidamento a terzi di fasi del processo produttivo) L'evoluzione dell'it non si traduce in un'evoluzione altrettanto rapida dei modelli contrattuali.

11 aspetti comuni al modello dell'outsourcing: Il contratto: qualificazione giuridica - esternalizzazione dei servizi - centralità del servizio e della sua qualità - rilievo dei profili di costo ed efficienza - modelli contrattuali analitici (allegati tecnici, SLA) aspetti divergenti rispetto al modello dell'outsourcing: - centralità degli strumenti produttivi e scarsa rilevanza della componente umana - modello uno/molti (personalizzazione secondo offerte standard, definizione delle policies ad opera del fornitore, semplificazione della fase precontrattuale, limitata variabilità degli accordi, mancanza di clausole di rinegoziazione) - flessibilità nell'ampiezza della durata (salvo lock-in) - carenza del trasferimento tecnologico/strumentale e di personale (ruolo secondario di formazione, audit e controlli diretti) - metrica dei costi più semplice (costo/unità/tempo), ma maggiore incertezza sul costo globale (funzione dell'utilizzo) - minore potere contrattuale del cliente e definizione dei servizi/nuovi prodotti da parte del fornitore

12 struttura: - Terms of Service - Acceptable Use Policy - Privacy policies Il contratto: struttura e contenuti talvolta le stesse materie sono trattate all'interno di più di un documento talvolta personalizzazione dei contratti in ragione delle diverse aree geografiche contenuti: profili generali del contratto: - lingua - durata - corrispettivo - possibilità di modifiche unilaterali e relative modalità - legge applicabile e giurisdizione - prevenzione e gestione dell'inadempimento - limitazione di responsabilità/garanzie - sub-contratto profili inerenti le informazioni gestite: - titolarità dei contenuti - sicurezza - disciplina della disclosure - flussi transfrontalieri - destinazione dei dati in caso di scioglimento del contratto

13 Il contratto: struttura e contenuti legge applicabile e giurisdizione: - rapporto uno/molti - preferenza per legge e giurisdizione del fornitore (diverso dai casi di outsourcing) - limiti alla scelta della legge: ordine pubblico internazionale, norme di applicazione necessaria sub-contratto: - facoltà prevista in maniera bilaterale o per il solo fornitore cloud - responsabilità permanente sul primo contraente - poco curato il profilo dei sub-contratti (scarsa attenzione ad ampiezza e complessità della filiera) limitazione della responsabilità/garanzie - rapporto uno/molti - minor personalizzazione e conseguente maggior rischio di inadeguatezza del prodotto - esigenza di introdurre limiti a responsabilità/garanzie - talvolta garanzie specifiche in relazione a servizi di security ad hoc acquistati

14 Il contratto: struttura e contenuti limitazione delle garanzie - fatti salvi i casi di norme non disponibili (presenti specie in EU) - fatte salve alcune ipotesi di maggior rilievo specificate nel contratto limitazione della responsabilità (riguardano essenzialmente il fornitore) casi di esclusione - ampiezza dei casi di esclusione della responsabilità (più circoscritti in ambito EU) - ipotesi tipizzate: contenuti immessi dal cliente (con clausola di manleva in caso di contenzioso), forza maggiore et similia, interruzione servizio o mancanza di sicurezza - possibilità di indennizzi (es. mancata fruizione del servizio) secondo multipli del costo orario e non in ragione dei danni effettivi limitazione dell'oggetto del contratto - posti in capo al cliente oneri inerenti sicurezza, integrità dei dati, accesso illecito limitazione del danno risarcibile - esclusione responsabilità per danni indiretti - limitazione in ragione di un tetto massimo prefissato in un ammontare determinato (es $) o in un multiplo del corrispettivo pagato per il servizio

15 Avv. Alessandro Mantelero Confirmed Assistant Professor Department of Production Systems and Business Economics Politecnico di Torino Faculty Fellow-NEXA Center for Internet and Society