Cloud computing: come affrontare le criticità legali e contrattuali. Gabriele Faggioli Legale Adjunct Professor MIP-Politecnico di Milano

Documenti analoghi
Cloud e sicurezza. Scenario e prospettive

COSA DIRE ANCORA DEL CLOUD? ASPETTI LEGALI E CONTRATTUALI

Riflessioni sulla riforma dei controlli a distanza nel decreto attuativo del Jobs Act. Massimo Malena & Associati 13 Maggio 2015

Cuneo 1 Febbraio 2012

SERVIZI SPECIALISTICI LEGALI E TECNICO- SISTEMISTICI PER ADEGUAMENTO ATTIVITÀ AL CODICE DELLA PRIVACY.

INFORMATIVA BENEFICIARI

Contratti di licenza software e diritti degli utenti. Avv. Prof. Giovanni Guglielmetti Roma, 4 maggio 2016

SOMMARIO. Capitolo 1 Passato, presente, e futuro del Privacy Officer. Capitolo 2 Il Privacy Officer: ruolo, compiti e responsabilità

La scelta del cloud: dal contratto alla tutela dei dati

Profili legali e contrattuali nei servizi di cloud computing

Sanità 2.0: quali strumenti per le Strutture Sanitarie?

DISCIPLINARE PER IL CONFERIMENTO DI INCARICO DI PRESTAZIONE D OPERA

Scheda approfondita LAVORO RIPARTITO

Profili legali e contrattuali nel Cloud. Gabriele Faggioli Adjunct Professor MIP, School of Management del Politecnico di Milano

D.P.R. 28 luglio 1999, n. 318

ITALIA CONSORZIO ASSICURATIVO ETICO SOLIDALE

ACCORDO DI RISERVATEZZA

Protocollo Call Center. Roma, 4 maggio 2017

TERMINI E CONDIZIONI DI ADESIONE ALL INIZIATIVA PROMOZIONALE PORTA I TUOI AMICI IN VODAFONE

Proprietà e controllo sui beni di consumo nell'internet of Things

La funzione antiriciclaggio nel sistema di controllo interno: ruolo, responsabilità e rendicontazione delle attività svolte

AA.SS. nn e 2229

CONVENZIONE DI EROGAZIONE SERVIZI TRA ISTITUTO NAZIONALE TRIBUTARISTI - LIGURIA. EQUITALIA SESTRI S.p.A.

è nostra società cooperativa REGOLAMENTO PER LA RACCOLTA DEL PRESTITO SOCIALE Art. 1

Le leggi ICT. Doveri di un ISP dettati dalle leggi ICT vigenti riguardanti principalmente la data retention. 12 novembre

REGOLAMENTO PER LE RIPRESE AUDIOVISIVE DEL CONSIGLIO COMUNALE

IL SISTEMA DISCIPLINARE. CONSIP S.P.A. a socio unico. Consip Public

Informativa e consenso al trattamento dei dati personali

INFORMATIVA SUL TRATTAMENTO DEI DATI PERSONALI

CAPITOLATO D APPALTO PER L AFFIDAMENTO DEL SERVIZIO DI CONSULENZA E BROKERAGGIO ASSICURATIVO. periodo dal al

Tecnologia e Management delle Aziende sanitarie, l'approccio organizzato alle misure del Regolamento 2016/679 UE FILOMENA POLITO -24 GIUGNO 2016

La sicurezza informatica Elementi legali

TECNOLOGIE DELL INFORMAZIONE E DELLA COMUNICAZIONE PER LE AZIENDE

Sistemi informativi in ambito sanitario e protezione dei dati personali

ATTO DI PROROGA DELLA CONVENZIONE TRA L ASSESSORATO ALLE POLITICHE DELLA SALUTE DELLA REGIONE PUGLIA ED IL COMANDO

GENTILI FORNITORI. Oggetto: legge 136/2010 tracciabilità flussi finanziari

I sistemi di gestione della salute e sicurezza sul lavoro. La norma OHSAS 18001

PIANO TRIENNALE DI PREVENZIONE DELLA CORRUZIONE

Nuovo Regolamento Europeo Privacy. Gubbio, Perugia Marzo 2016

FLUSSI INFORMATIVI VERSO L ORGANISMO DI VIGILANZA

ESPOSIZIONE DEL QUESITO

DISCIPLINARE DI CONCESSIONE ante T.U. 167/2011

La Sicurezza nei Contratti ICT

Trento, 8 febbraio Privacy (d.lgs 196/03) e internet. Obblighi ed opportunità per il datore di lavoro

Risultati attività piano di rientro BHW Bausparkasse AG. Consulente: Daniele De Felice

Gli strumenti per finanziare l Efficienza Energetica

Cambiamenti Normativi

GDPR. Gli obblighi di compliance interna ed esterna. 23 novembre 1

REGOLAMENTO ENAC MEZZI AEREI A PILOTAGGIO REMOTO. Normativa e sviluppi. Milano, 24 Ottobre 2014

Regolamento per la disciplina delle riprese audiovisive delle sedute degli Organi collegiali del Comune di Milano

Oggetto Progetto Responsabile di progetto GESTIONE DELLA MODIFICA

Se si vuole comunque utilizzare per proporre il ricorso la procedura cartacea, occorre inserire le informazioni previste dal seguente modulo.

I Professionisti della digitalizzazione documentale e della privacy

IL CONTRATTO DI OUTSOURCING DEI CONTROLLI INTERNI NELL AMBITO DEL GRUPPO INTESABCI

Helsinki, 25 marzo 2009 Doc: MB/12/2008 definitivo

INDICAZIONI PER LE FAMIGLIE ANAGRAFICHE CHE HANNO BENEFICIATO DEL CONTRIBUTO NELL ANNO 2014

TED seminario robotica e reti. Genova - Ottobre Linda Giannini e Carlo Nati -

SUPPLEMENTO AL DOCUMENTO DI REGISTRAZIONE SULL EMITTENTE

ACCREDITAMENTO LABORATORI DI ANALISI UNI CEI EN ISO/IEC 17025:2005. Dr.ssa Eletta Cavedoni Cosmolab srl Tortona

Milano, 13 ottobre 2016

REV. 2016/00 Pag. 1 di 7

ACCORDO DI RISERVATEZZA. Tra

Società Farmacie Emilia Romagna Associate (S.F.E.R.A) S.r.l.

Fondo Pensione Nazionale di Previdenza Complementare per i Lavoratori della Logistica (Copia per il Fondo)

ALLEGATO A Dgr n. del pag. 1/5

C O M U N E D I A S S E M I N I

DOMANDA PER L AMMISSIONE AI SERVIZI: PER L AUTONOMIA E L INTEGRAZIONE SOCIALE DELLA PERSONA ANZIANA (SAISA) Il sottoscritto..

CODICE DELLA TRASPARENZA. (adottato dal CdA del 17 dicembre 2015)

CAPITOLO I L AMBITO GIURIDICO ED ECONOMICO DI OPERATIVITÀ

DPR 318 e sua entrata in vigore

Dematerializzazione I servizi del Gruppo Poste Italiane Febbraio 2016

Consiglio Regionale della Puglia Sezione Amministrazione e Contabilità

POR FESR 2007/2013. Asse II Inclusione, Servizi Sociali, Istruzione e Legalità, Linea f. Avviso pubblico nella vita e nella casa

Invio dei dati per gli stampati fiscali entro il prossimo

QUESTIONARIO DI VALUTAZIONE FORNITORI

Disciplina delle Riprese Audio Video

Sample test Informatica Giuridica modulo: Protezione dati personali: Privacy e Sicurezza

Di seguito sono descritte le procedure da seguire per la presentazione dell istanza relativa alla:

ACCESSO CIVICO Che cos è Come esercitare il diritto Il procedimento Ritardo o mancata risposta Tutela dell accesso civico

residente a c.a.p. prov. n. MATRICOLA AZIENDALE QUALIFICA e CATEGORIA

Allegato Tecnico Backup As A Service

DIREZIONE CENTRALE SUPPORTO ALLA GESTIONE DELLE RISORSE Ufficio Monitoraggio Risorse e Ragioneria della S.A.C. Il Direttore

OPENJOBMETIS S.P.A. AGENZIA PER IL LAVORO REGOLAMENTO DELL ELENCO DELLE PERSONE AVENTI ACCESSO A INFORMAZIONI PRIVILEGIATE

PROTOCOLLO DI INTESA PER ATTIVITA DI VALUTAZIONE IMMOBILIARE TRA

Oggetto: LE NUOVE REGOLE (RESTRITTIVE) PER L USO DEGLI ASSEGNI E DEI LIBRETTI AL PORTATORE

Progetto Dignità e Lavoro

RISOLUZIONE N. 93/E. OGGETTO: Chiusura delle partite IVA inattive Chiarimenti richiesti

L OUTSOURCING IT: BEST PRACTICE E AUDITING L ASPETTO CONTRATTUALE DELL OUTSOURCING

Proposta di Cessione del Contratto Mobile

CIRCOLARE N. 5 /E. OGGETTO: Novità in materia di iscrizione al contributo del cinque per mille Primo anno di applicazione: esercizio finanziario 2017.

COMUNE DI ANDORNO MICCA PROVINCIA DI BIELLA REGOLAMENTO SULLA RISERVATEZZA DEI DATI PERSONALI

[RAGIONE SOCIALE AZIENDA] [Manuale Qualità]

BILANCIO per la RESPONSABILITA SOCIALE 2014

Allegato Tecnico Accesso Dati Registro Imprese (ADRIER)

I passi per la certificazione del Sistema di Gestione dell Energia in conformità alla norma ISO Giovanni Gastaldo Milano, 4 ottobre 2011

La protezione delle infrastrutture critiche informatizzate ed il C N A I P I C. Alcune problematiche sul trattamento dei dati personali

VISTI gli articoli 76 e 87, quinto comma, della Costituzione; VISTO l articolo 1 della legge 6 giugno 2016, n. 106, recante delega al Governo per la

RASSEGNA STAMPA. Domenica 29 marzo Il Sole 24 Ore. Il Secolo XIX - Ed. Levante

Il/la sottoscritto/a. nato/a il. residente a Via/Piazza

Decreto Legislativo 18 agosto 2015, n. 135; G.U. 31 agosto 2015 n. 201

Transcript:

Cloud computing: come affrontare le criticità legali e contrattuali Gabriele Faggioli Legale Adjunct Professor MIP-Politecnico di Milano Membro del Group of Expert in cloud computing contracts della Commissione Europea Presidente Clusit Associazione italiana per la sicurezza inforamatica Socio Amministratore Delegato Partners4innovation

Cloud: profili legali e contrattuali alla luce delle indicazioni della circolare 285 Elemento Indicazione Note Titolo V Capitolo 8 Sezione IV Paragrafo 3 Cloud - Cloud pubblico: i servizi sono erogati a un vasto numero di utenti con funzionalità offerte in maniera aperta e condivisa. I fornitori in genere sfruttano la possibilità di condividere in modo flessibile le proprie risorse tra i diversi utenti e applicano di norma tariffe proporzionali all utilizzo (payper-use). - Nel caso dell acquisizione di servizi in community o in cloudpubblici i maggiori rischi potenziali possono richiedere una più elevata complessità dei controlli da predisporre, in particolare in caso di esternalizzazione di componenti critiche - Previsione dei contenuti contrattuali di cui all opinion 5/2012 dell article 29 working party data protection

Cloud: profili legali e contrattuali alla luce delle indicazioni della circolare 285 Elemento Indicazione Note Titolo V Capitolo 8 Sezione IV Paragrafo 3 Cloud - Le locazioni dei data center utilizzabili devono essere preventivamente comunicate. - Prevedere adeguati meccanismi di isolamento dei dati di un intermediario rispetto agli altri clienti. - Il fornitore deve garantire il rispetto dei livelli di servizio stabiliti. - Il Fornitore assicura la piena ricostruzione degli accessi e delle modifiche effettuate sui dati, anche per finalità ispettive. - Devono essere concordate modalità di audit adeguate alla criticità delle risorse esternalizzate e in considerazione dell architettura del fornitore

COMMISSIONE EUROPEA -COMUNICATO STAMPA Bruxelles, 27 settembre 2012 Agenda digitale: una nuova strategia per stimolare la produttività delle imprese e della pubblica amministrazione europee attraverso la nuvola informatica (cloud computing) La nuova strategia della Commissione europea che si propone di sfruttare al meglio il potenziale della nuvola informatica in Europa prevede iniziative intese a realizzare entro il 2020 un guadagno netto pari a 2,5 milioni di nuovi posti di lavoro in Europa e un aumento annuo del PIL dell UE corrispondente a 160 miliardi di euro (circa l 1%). Per nuvola informatica si intende la memorizzazione di dati (come file di testo, immagini e video) e di software su elementi remoti ai quali gli utenti accedono via internet utilizzando il dispositivo che preferiscono. Si tratta di una modalità più rapida, economica, flessibile e potenzialmente più sicura rispetto al ricorso a soluzioni informatiche locali.

EU Commission Cloud Computing Strategy Implementation The Commission aims at enabling and facilitating faster adoption of cloud computing throughout all sectors of the economy which can cut ICT costs, and when combined with new digital business practices, can boost productivity, growth and jobs

Cloud scenario e prospettive Alcuni spunti di interesse da analizzare Gruppo di Lavoro Articolo29 Parere 05/2012 - Cloud Computing La mini guida del Garante del giugno 2012 Proteggere i dati per non cadere dalle nuvole La normativa italiana e comunitaria inmateria di trasferimento di dati personali all estero La nuova certificazione ISO 27018 I lavori del Gruppo di esperti della Commissione Europea sul cloud computing e la Survey 2014 condotta dall Osservatorio Cloud& ICT asa Service

Cloud scenario e prospettive Alcuni elementi di riflessione: Al momento non sembra in agenda un intervento normativo specifico Resta fermo l obbligo di dare pieno adempimento alla normativa vigente: occorre di volta in volta affrontare i temi legali e contrattuali sottesi al cloud La gestione della filiera è estremamente complessa soprattutto per i provider di respiro internazionale È necessario effettuare una due diligence preventiva e in corso di rapporto I fornitori devono maturare nello sforzo di creare «trust» con i clienti. I contratti di cloud computing appaiono spesso «unfair» e disincentivanti Come affermato dall On. Soro, il cloud pone problemi di sicurezza molto rilevanti: come per esempio nella Circolare 263/06 aggiornamento luglio 2013 il cloud sembra ancora «fare paura»

GruppodiLavoroArticolo29 Parere 05/2012 - Cloud Computing a) Private cloud è un infrastruttura informatica che può essere scelta in caso di una singola organizzazione, ubicata nei suoi locali o affidata in gestione ad un terzo (nella tradizionale forma dell hosting dei server), nei confronti del quale il responsabile del trattamento esercita un controllo puntuale. Il private cloud si può paragonare a un tradizionale centro di trattamento dati(data center). b) Public cloud è, invece, l infrastruttura di proprietà di un fornitore specializzato nell erogazione di servizi che mette a disposizione di utenti, aziende o pubbliche amministrazioni - e quindicondividetradiessi-ipropri sistemi c) I cd. cloud intermedi o ibridi, sono infrastruttire che prevedono la coesistenza di servizi privati con servizi acquisiti da cloud pubblici. Rispetto a tale categoria si segnala anche il cd. community cloud (o cloud di comunità) in cui l infrastruttura informatica è condivisa da diverse organizzazioni a beneficio di una specifica comunità di utenti.

IL MODELLO CLASSICO (sviluppo di sistema informativo + gestione) Contratto di licenza d uso software (contratto atipico) SERVIZIO CLOUD Assente Contratto di manutenzione delle licenze (appalto?) Assente Contratto di approvvigionamento hardware Contratto di implementazione (installazione, parametrizzazione, personalizzazione) (appalto?) Assente Contratto di assistenza e manutenzione (appalto?) Assente Eventuale successivo contratto di outsourcing (appalto?) Obbligazioni di servizi / obbligazioni di risultato Presente in forma semplificata Assente (presente come contratto di servizi) SLA? E di fattoun contratto di appalto di servizi

Alcune clausole fondamentali Informazioni precontrattuali Unfairterms Trattamento dati e legge applicabile (in particolare in relazione ai dati personali) Livelli di servizio Le risposte dei fornitori Poche/ troppe / confuse Troppe clausole disequilibrate(sospensione del contratto, modifiche unilaterali, cessazione effetti contratto, etc ) Formulazioni generiche rispetto alla legge applicabile Ampie documentazioni e dichiarazioni sulla tutela delle informazioni Difficile imporre obblighi di segnalazione di data breach Complesso rapporto titolare-responsabile Solo presa in carico Difficilmente SLA su risoluzione delle problematiche Difficile ottenere anche solo un impegno su dichiarazione dei tempi di soluzione del problema Le indicazioni del Gruppo di lavoro Trasparenza «Fogli informativi» per servizi cloud? Modalità semplificate di stesura dei contratti Indicazioninormative per semplificazione? Trasparenza

Alcune clausole fondamentali Downtime Penali Recupero dati alla cessazione degli effetti del contratto Le risposte dei fornitori Spesso viene considerato tale solo il blocco totale del servizio o, al più, le severitydi primo livello Quasi mai (occorre chiedere, e insistere ) Difficilmente non esaustive del danno Previsione del diritto di accesso per un numero di giorni compreso fra 0 e 60 Assenza di meccanismi disincentivanti in caso di mancata messa a disposizione dei dati Le indicazioni del Gruppo di lavoro Trasparenza Dipendedalla tipologia di servizio (fees/no fees)? Obblighi puntuali

Alcune clausole fondamentali Le risposte dei fornitori Responsabilità Limitazione responsabilità sulla colpa lieve Limitazione di responsabilità su danni indiretti Assenza di responsabilitàper perdita di dati (!) anche in presenza di servizio di back-up Diritto di audit Assente o molto limitato. Spesso rinvio a relazioni di audit di terze parti Le indicazioni del Gruppo di lavoro Indicazioni metodologiche Previsionedi certificazioni di terza parte? Subappalto Incontrollato Indicazioni specifiche Diritto di modifica unilaterale del contratto Presente suaspetti tecnici, economici, contrattuali Talvolta normato diritto di recesso Limitazione a elementi tecnici?

Alcune clausole fondamentali Preavviso per cessazione effetti contratto Presenza di richiami di documenti tramite URL o rinvii Sovrastruttura contrattuale Le risposte dei fornitori In genere èprevisto un termine di 30/ 60 giorni Spesso Rilevante Le indicazioni del Gruppo di lavoro Trasparenza Trasparenza Trasparenza

Article 29 data protection working party - IL CONTENUTO DEI CONTRATTI a) Dettagli sulle istruzioni del cliente(misura e modalità) da trasmettere al fornitore del servizio, con particolare riguardo per gli accordi sul livello del servizio (SLA) applicabili (che dovrebbero essere oggettivi e misurabili) e le sanzioni pertinenti (finanziarie o altro, ivi compresa la possibilità di citare in giudizio il fornitore in caso di inadempienza). b) Specificazione delle misure di sicurezza che il fornitore cloud sia tenuto a rispettare, a seconda dei rischi del trattamento e della natura dei dati da proteggere. È molto importante che siano specificate misure tecniche e organizzative concrete, come quelle delineate nella sezione che segue, ferma restando l applicazione di eventuali misure più rigorose previste dalla legislazione nazionale del cliente. c) Oggetto e orizzonte temporale del servizio cloud da fornire, nonché portata, modalità e finalità del trattamento di dati personali effettuato dal fornitore cloud e tipologia dei dati personali oggetto del trattamento.

Article 29 data protection working party - IL CONTENUTO DEI CONTRATTI d) Inserimento di una clausola di riservatezza vincolante per il fornitore cloud e per eventuali suoi dipendenti che abbiano accesso ai dati. Possono accedere ai dati esclusivamente persone autorizzate. e) Obbligo a carico del fornitore di sostenere il cliente nell agevolare l esercizio dei diritti degli interessati di accedere ai loro dati, nonché rettificarli o cancellarli. f) Chiarimento della responsabilità del fornitore cloud di comunicare al cliente cloud eventuali violazioni che influiscano sui suoi dati. g) Obbligodelfornitoreclouddifornireunelencodeiluoghidovepuòavereluogoiltrattamentodei dati. h) Diritto del responsabile del trattamento di controllare e corrispondente obbligo del fornitore cloud di cooperare. i) Il contratto dovrebbe prevedere che il fornitore cloud sia tenuto a informare il cliente in merito a cambiamenti rilevanti concernenti il servizio cloud, come l attuazione di funzioni aggiuntive.

Article 29 data protection working party - IL CONTENUTO DEI CONTRATTI j) Il contratto dovrebbe prevedere attività di logging e auditing delle operazioni di trattamento di dati personali svolte dal fornitore cloud o da subcontraenti. k) Notifica del cliente cloud in merito a eventuali richieste, legalmente vincolanti, di divulgare dati personali presentate da un autorità di contrasto, salvo che tale divulgazione sia comunque vietata, ad esempio ai sensi del diritto penale per preservare la riservatezza di un indagine giudiziaria. l) Obbligo generale a carico del fornitore del servizio di assicurare che la sua organizzazione interna e i suoi sistemi di trattamento dei dati(e quelli di eventuali subincaricati) siano conformi agli obblighi e alle norme di legge vigenti, nazionali e internazionali.

Article 29 data protection working party - IL CONTENUTO DEI CONTRATTI m) Il contratto dovrebbe stabilire espressamente che il fornitore cloud non può comunicare i dati a terzi, anche per motivi di conservazione, a meno che nel contratto non sia prevista la presenza di subcontraenti. Il contratto dovrebbe prevedere l obbligo del fornitore cloud di indicare tutti i subcontraenti autorizzati(ad es. in un registro digitale pubblico). Occorre garantire che i contratti stipulati tra fornitore cloud e subcontraenti rispecchino le disposizioni del contratto stipulato tra cliente e fornitore cloud (ossia che i subincaricati siano soggetti agli stessi obblighi contrattuali del fornitore cloud). Occorre garantire che il fornitore cloud e tutti i subcontraenti agiscano esclusivamente secondo le istruzioni del cliente cloud. il contratto dovrebbe definire la catena della responsabilità e prevedere l obbligo di strutturare i trasferimenti internazionali per l incaricato del trattamento, ad esempio firmando contratti con subincaricati sulla base delle clausole contrattuali tipo,contenute nella decisione 2010/87/UE.

I contratti: un limite allo sviluppo dei servizi Cloud? L influenza dei contratti Cloud Sono stati analizzati e non vi è stata alcuna criticità 44% 51% Sono stati analizzati e, poiché contenevano previsioni non soddisfacenti, abbiamo provato a negoziarli o non abbiamo stipulato il contratto Sono stati analizzati e, seppur contenenti previsioni non soddisfacenti, il contratto è stato comunque stipulato 4% 1% No, non sono stati analizzati Dalla survey erogata alle PMI: «I contenuti contrattuali hanno influenzato la scelta della sua organizzazione di stipulare o meno un contratto con un fornitore di servizi di Public Cloud?»

I contratti: un limite allo sviluppo dei servizi Cloud? La complessità dei contratti Cloud 3% 5% Molto chiari e trasparenti Abbastanza chiari anche se troppo lunghi e complessi 31% In gran parte difficilmente comprensibili 61% Non chiari: troppo lunghi e complessi Dalla survey erogata alle PMI: «La sua organizzazione come giudica i contratti proposti dai fornitori di servizi di Cloud Computing, in merito a trasparenza e chiarezza dei contratti?»

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back