Profili giuridici del cloud in sanità: dalla digitalizzazione alla privacy Prof. Avv. Giusella Finocchiaro www.studiolegalefinocchiaro.it www.blogstudiolegalefinocchiaro.it
Osservazioni preliminari
Esternalizzazione: lo scenario Esternalizzare uno o più processi in Sanità non solleva problematiche diverse da quelle derivanti dall esternalizzazione di processi in settori diversi
Esternalizzazione e outsourcing
Outsourcing Contratto attraverso cui si realizza l esternalizzazione di una o più fasi del processo produttivo di un impresa contratto, generalmente a titolo oneroso, con cui una parte si obbliga a realizzare uno o più fasi del processo produttivo dell impresa dell altra
Qualificazione giuridica Contratto atipico Riconducibile all art. 1677 c.c.: appalto di servizi - somministrazione
Contratto di appalto Contratto con il quale una parte assume, con organizzazione dei mezzi necessari e con gestione a proprio rischio, il compimento di un opera o di un servizio verso un corrispettivo in denaro
Contratto di somministrazione Contratto con il quale una parte si obbliga, verso corrispettivo di un prezzo, a eseguire, a favore dell altra, prestazioni periodiche o continuative di cose
Essentiale negotii Essentiale negotii nel contratto di appalto: garanzia di risultato
Clausole più rilevanti Definizione dell oggetto Definizione del parametro di valutazione dell adempimento: SLA Accessi e verifiche Deroga all obbligazione di risultato Garanzie Responsabilità
Determinazione dell oggetto del contratto Occorre un elevato livello di dettaglio nella determinazione dell oggetto contrattuale per definire il parametro di valutazione dell adempimento
Determinazione dell oggetto del contratto (2) Service Level Agreement (SLA) accordo per definire il rispetto di determinati vincoli e parametri oggettivi misurabili
Determinazione dell oggetto del contratto (3) I Service Level Agreement si esplicano attraverso: audit monitoraggio test policy ad hoc
Garanzie e responsabilità Artt. 1667-1669 c.c. garanzie per difetti e responsabilità dell appaltatore Art. 1570 c.c. garanzie e responsabilità variabili a seconda delle prestazioni dedotte nel contratto di somministrazione Art. 1229 c.c. nullità delle clausole di esonero della responsabilità per dolo o colpa grave
Danno risarcibile Problemi an quantum
Danno risarcibile (2) Perdita da interruzione di esercizio ad es. perdite di contratti o di immagine sul mercato con perdita di clientela, perdite per responsabilità connesse a software affetto da errori Costi per la prosecuzione dell attività ad es. costi di lavoro straordinario, costi di adattamento dei programmi, costi di trasporto archivi
Clausole critiche Ritrasferimento dei dati garantendone piena fruibilità Formati e leggibilità Accessibilità Protezione dei dati personali Sicurezza Tutela della proprietà intellettuale Cloud
Ritrasferimento dei dati Prevedere il cambio del fornitore: difficoltà per il trasferimento dei dati attuale assenza di standard di interoperabilità tra operatori esigenza di fruire comunque dei dati, indipendentemente dal software utilizzato
Ritrasferimento dei dati (2) Rischi: ritardata restituzione o cancellazione dei dati difficoltà di reperire i dati nell infrastruttura condivisa
Protezione dei dati personali Individuazione e definizione dei ruoli Designazione dei responsabili e degli incaricati Informativa
Sicurezza Adozione di misure di sicurezza tecniche ed organizzative
Tutela della proprietà intellettuale Cedibilità delle licenze d uso sui software impiegati Diritti patrimoniali d autore sul software sviluppato o utilizzato Tutela del know-how
Altre criticità contrattuali: la cessazione del rapporto Prevenire il contenzioso attraverso: stipula di clausole chiare e dettagliate previsione di penali in caso di inadempimenti o ritardi
Altre criticità contrattuali: legge applicabile e giurisdizione competente Spesso provider e client hanno sede in Paesi diversi difficoltà di individuare la legge applicabile ed il foro competente difficoltà di esecuzione di eventuali provvedimenti favorevoli
Cloud computing e modelli operativi
Cloud Computing Assenza di una definizione normativa Insieme di tecnologie e risorse informatiche, accessibili direttamente on-line, autonomamente predisposto e controllato dall impresa ovvero a questa fornito da terzi sotto forma di servizio
Esternalizzazione: classificazione Outsourcing verticale relativo a determinati processi operativi Outsourcing orizzontale relativo a servizi trasversali Full outsourcing orizzontale relativo al complessivo apparato dei servizi
Protezione dei dati personali nel cloud computing o nel trattamento di dati all estero
Il trattamento di dati personali I dati possono essere collocati in un non-luogo... o in luogo sconosciuto
Il trattamento di dati personali (2) Art. 5 del d.lgs. 30 giugno 2003, n. 196 ogni soggetto stabilito nel territorio italiano che effettui un trattamento di dati personali, anche detenuti all estero, è tenuto ad osservare le norme previste dal codice conseguentemente, è esposto alle conseguenze sanzionatorie per eventuali violazioni
Il trattamento di dati personali (3) Necessità di delineare l architettura dei diversi soggetti coinvolti mappatura ruoli e responsabilità
Modalità operative
Attività preliminare Dallo studio dei flussi di dati: tipi di dati quali trattamenti dell outsourcee soggetti a cui i dati sono comunicati
L outsourcee Titolare autonomo o responsabile esterno?
Obblighi di informazione Occorre indicare l outsourcee nell informativa sul trattamento dei dati da fornire all interessato
Clausole outsourcee - responsabile esterno Obbligo di adottare le misure di sicurezza minime previste dal Codice in materia di protezione dei dati personali Obbligo di fornire una relazione periodica al titolare in cui si dà conto di avere adottato tali misure Impegno a non comunicare o diffondere i dati senza il consenso del titolare
Atto di designazione In mancanza di atto di designazione l outsourcee si intende titolare autonomo
fine www.studiolegalefinocchiaro.it www.blogstudiolegalefinocchiaro.it