Cloud computing: come affrontare le criticità legali e contrattuali Gabriele Faggioli Legale Adjunct Professor MIP-Politecnico di Milano Membro del Group of Expert in cloud computing contracts della Commissione Europea Presidente Clusit Associazione italiana per la sicurezza inforamatica Socio Amministratore Delegato Partners4innovation
Cloud: profili legali e contrattuali alla luce delle indicazioni della circolare 285 Elemento Indicazione Note Titolo V Capitolo 8 Sezione IV Paragrafo 3 Cloud - Cloud pubblico: i servizi sono erogati a un vasto numero di utenti con funzionalità offerte in maniera aperta e condivisa. I fornitori in genere sfruttano la possibilità di condividere in modo flessibile le proprie risorse tra i diversi utenti e applicano di norma tariffe proporzionali all utilizzo (payper-use). - Nel caso dell acquisizione di servizi in community o in cloudpubblici i maggiori rischi potenziali possono richiedere una più elevata complessità dei controlli da predisporre, in particolare in caso di esternalizzazione di componenti critiche - Previsione dei contenuti contrattuali di cui all opinion 5/2012 dell article 29 working party data protection
Cloud: profili legali e contrattuali alla luce delle indicazioni della circolare 285 Elemento Indicazione Note Titolo V Capitolo 8 Sezione IV Paragrafo 3 Cloud - Le locazioni dei data center utilizzabili devono essere preventivamente comunicate. - Prevedere adeguati meccanismi di isolamento dei dati di un intermediario rispetto agli altri clienti. - Il fornitore deve garantire il rispetto dei livelli di servizio stabiliti. - Il Fornitore assicura la piena ricostruzione degli accessi e delle modifiche effettuate sui dati, anche per finalità ispettive. - Devono essere concordate modalità di audit adeguate alla criticità delle risorse esternalizzate e in considerazione dell architettura del fornitore
COMMISSIONE EUROPEA -COMUNICATO STAMPA Bruxelles, 27 settembre 2012 Agenda digitale: una nuova strategia per stimolare la produttività delle imprese e della pubblica amministrazione europee attraverso la nuvola informatica (cloud computing) La nuova strategia della Commissione europea che si propone di sfruttare al meglio il potenziale della nuvola informatica in Europa prevede iniziative intese a realizzare entro il 2020 un guadagno netto pari a 2,5 milioni di nuovi posti di lavoro in Europa e un aumento annuo del PIL dell UE corrispondente a 160 miliardi di euro (circa l 1%). Per nuvola informatica si intende la memorizzazione di dati (come file di testo, immagini e video) e di software su elementi remoti ai quali gli utenti accedono via internet utilizzando il dispositivo che preferiscono. Si tratta di una modalità più rapida, economica, flessibile e potenzialmente più sicura rispetto al ricorso a soluzioni informatiche locali.
EU Commission Cloud Computing Strategy Implementation The Commission aims at enabling and facilitating faster adoption of cloud computing throughout all sectors of the economy which can cut ICT costs, and when combined with new digital business practices, can boost productivity, growth and jobs
Cloud scenario e prospettive Alcuni spunti di interesse da analizzare Gruppo di Lavoro Articolo29 Parere 05/2012 - Cloud Computing La mini guida del Garante del giugno 2012 Proteggere i dati per non cadere dalle nuvole La normativa italiana e comunitaria inmateria di trasferimento di dati personali all estero La nuova certificazione ISO 27018 I lavori del Gruppo di esperti della Commissione Europea sul cloud computing e la Survey 2014 condotta dall Osservatorio Cloud& ICT asa Service
Cloud scenario e prospettive Alcuni elementi di riflessione: Al momento non sembra in agenda un intervento normativo specifico Resta fermo l obbligo di dare pieno adempimento alla normativa vigente: occorre di volta in volta affrontare i temi legali e contrattuali sottesi al cloud La gestione della filiera è estremamente complessa soprattutto per i provider di respiro internazionale È necessario effettuare una due diligence preventiva e in corso di rapporto I fornitori devono maturare nello sforzo di creare «trust» con i clienti. I contratti di cloud computing appaiono spesso «unfair» e disincentivanti Come affermato dall On. Soro, il cloud pone problemi di sicurezza molto rilevanti: come per esempio nella Circolare 263/06 aggiornamento luglio 2013 il cloud sembra ancora «fare paura»
GruppodiLavoroArticolo29 Parere 05/2012 - Cloud Computing a) Private cloud è un infrastruttura informatica che può essere scelta in caso di una singola organizzazione, ubicata nei suoi locali o affidata in gestione ad un terzo (nella tradizionale forma dell hosting dei server), nei confronti del quale il responsabile del trattamento esercita un controllo puntuale. Il private cloud si può paragonare a un tradizionale centro di trattamento dati(data center). b) Public cloud è, invece, l infrastruttura di proprietà di un fornitore specializzato nell erogazione di servizi che mette a disposizione di utenti, aziende o pubbliche amministrazioni - e quindicondividetradiessi-ipropri sistemi c) I cd. cloud intermedi o ibridi, sono infrastruttire che prevedono la coesistenza di servizi privati con servizi acquisiti da cloud pubblici. Rispetto a tale categoria si segnala anche il cd. community cloud (o cloud di comunità) in cui l infrastruttura informatica è condivisa da diverse organizzazioni a beneficio di una specifica comunità di utenti.
IL MODELLO CLASSICO (sviluppo di sistema informativo + gestione) Contratto di licenza d uso software (contratto atipico) SERVIZIO CLOUD Assente Contratto di manutenzione delle licenze (appalto?) Assente Contratto di approvvigionamento hardware Contratto di implementazione (installazione, parametrizzazione, personalizzazione) (appalto?) Assente Contratto di assistenza e manutenzione (appalto?) Assente Eventuale successivo contratto di outsourcing (appalto?) Obbligazioni di servizi / obbligazioni di risultato Presente in forma semplificata Assente (presente come contratto di servizi) SLA? E di fattoun contratto di appalto di servizi
Alcune clausole fondamentali Informazioni precontrattuali Unfairterms Trattamento dati e legge applicabile (in particolare in relazione ai dati personali) Livelli di servizio Le risposte dei fornitori Poche/ troppe / confuse Troppe clausole disequilibrate(sospensione del contratto, modifiche unilaterali, cessazione effetti contratto, etc ) Formulazioni generiche rispetto alla legge applicabile Ampie documentazioni e dichiarazioni sulla tutela delle informazioni Difficile imporre obblighi di segnalazione di data breach Complesso rapporto titolare-responsabile Solo presa in carico Difficilmente SLA su risoluzione delle problematiche Difficile ottenere anche solo un impegno su dichiarazione dei tempi di soluzione del problema Le indicazioni del Gruppo di lavoro Trasparenza «Fogli informativi» per servizi cloud? Modalità semplificate di stesura dei contratti Indicazioninormative per semplificazione? Trasparenza
Alcune clausole fondamentali Downtime Penali Recupero dati alla cessazione degli effetti del contratto Le risposte dei fornitori Spesso viene considerato tale solo il blocco totale del servizio o, al più, le severitydi primo livello Quasi mai (occorre chiedere, e insistere ) Difficilmente non esaustive del danno Previsione del diritto di accesso per un numero di giorni compreso fra 0 e 60 Assenza di meccanismi disincentivanti in caso di mancata messa a disposizione dei dati Le indicazioni del Gruppo di lavoro Trasparenza Dipendedalla tipologia di servizio (fees/no fees)? Obblighi puntuali
Alcune clausole fondamentali Le risposte dei fornitori Responsabilità Limitazione responsabilità sulla colpa lieve Limitazione di responsabilità su danni indiretti Assenza di responsabilitàper perdita di dati (!) anche in presenza di servizio di back-up Diritto di audit Assente o molto limitato. Spesso rinvio a relazioni di audit di terze parti Le indicazioni del Gruppo di lavoro Indicazioni metodologiche Previsionedi certificazioni di terza parte? Subappalto Incontrollato Indicazioni specifiche Diritto di modifica unilaterale del contratto Presente suaspetti tecnici, economici, contrattuali Talvolta normato diritto di recesso Limitazione a elementi tecnici?
Alcune clausole fondamentali Preavviso per cessazione effetti contratto Presenza di richiami di documenti tramite URL o rinvii Sovrastruttura contrattuale Le risposte dei fornitori In genere èprevisto un termine di 30/ 60 giorni Spesso Rilevante Le indicazioni del Gruppo di lavoro Trasparenza Trasparenza Trasparenza
Article 29 data protection working party - IL CONTENUTO DEI CONTRATTI a) Dettagli sulle istruzioni del cliente(misura e modalità) da trasmettere al fornitore del servizio, con particolare riguardo per gli accordi sul livello del servizio (SLA) applicabili (che dovrebbero essere oggettivi e misurabili) e le sanzioni pertinenti (finanziarie o altro, ivi compresa la possibilità di citare in giudizio il fornitore in caso di inadempienza). b) Specificazione delle misure di sicurezza che il fornitore cloud sia tenuto a rispettare, a seconda dei rischi del trattamento e della natura dei dati da proteggere. È molto importante che siano specificate misure tecniche e organizzative concrete, come quelle delineate nella sezione che segue, ferma restando l applicazione di eventuali misure più rigorose previste dalla legislazione nazionale del cliente. c) Oggetto e orizzonte temporale del servizio cloud da fornire, nonché portata, modalità e finalità del trattamento di dati personali effettuato dal fornitore cloud e tipologia dei dati personali oggetto del trattamento.
Article 29 data protection working party - IL CONTENUTO DEI CONTRATTI d) Inserimento di una clausola di riservatezza vincolante per il fornitore cloud e per eventuali suoi dipendenti che abbiano accesso ai dati. Possono accedere ai dati esclusivamente persone autorizzate. e) Obbligo a carico del fornitore di sostenere il cliente nell agevolare l esercizio dei diritti degli interessati di accedere ai loro dati, nonché rettificarli o cancellarli. f) Chiarimento della responsabilità del fornitore cloud di comunicare al cliente cloud eventuali violazioni che influiscano sui suoi dati. g) Obbligodelfornitoreclouddifornireunelencodeiluoghidovepuòavereluogoiltrattamentodei dati. h) Diritto del responsabile del trattamento di controllare e corrispondente obbligo del fornitore cloud di cooperare. i) Il contratto dovrebbe prevedere che il fornitore cloud sia tenuto a informare il cliente in merito a cambiamenti rilevanti concernenti il servizio cloud, come l attuazione di funzioni aggiuntive.
Article 29 data protection working party - IL CONTENUTO DEI CONTRATTI j) Il contratto dovrebbe prevedere attività di logging e auditing delle operazioni di trattamento di dati personali svolte dal fornitore cloud o da subcontraenti. k) Notifica del cliente cloud in merito a eventuali richieste, legalmente vincolanti, di divulgare dati personali presentate da un autorità di contrasto, salvo che tale divulgazione sia comunque vietata, ad esempio ai sensi del diritto penale per preservare la riservatezza di un indagine giudiziaria. l) Obbligo generale a carico del fornitore del servizio di assicurare che la sua organizzazione interna e i suoi sistemi di trattamento dei dati(e quelli di eventuali subincaricati) siano conformi agli obblighi e alle norme di legge vigenti, nazionali e internazionali.
Article 29 data protection working party - IL CONTENUTO DEI CONTRATTI m) Il contratto dovrebbe stabilire espressamente che il fornitore cloud non può comunicare i dati a terzi, anche per motivi di conservazione, a meno che nel contratto non sia prevista la presenza di subcontraenti. Il contratto dovrebbe prevedere l obbligo del fornitore cloud di indicare tutti i subcontraenti autorizzati(ad es. in un registro digitale pubblico). Occorre garantire che i contratti stipulati tra fornitore cloud e subcontraenti rispecchino le disposizioni del contratto stipulato tra cliente e fornitore cloud (ossia che i subincaricati siano soggetti agli stessi obblighi contrattuali del fornitore cloud). Occorre garantire che il fornitore cloud e tutti i subcontraenti agiscano esclusivamente secondo le istruzioni del cliente cloud. il contratto dovrebbe definire la catena della responsabilità e prevedere l obbligo di strutturare i trasferimenti internazionali per l incaricato del trattamento, ad esempio firmando contratti con subincaricati sulla base delle clausole contrattuali tipo,contenute nella decisione 2010/87/UE.
I contratti: un limite allo sviluppo dei servizi Cloud? L influenza dei contratti Cloud Sono stati analizzati e non vi è stata alcuna criticità 44% 51% Sono stati analizzati e, poiché contenevano previsioni non soddisfacenti, abbiamo provato a negoziarli o non abbiamo stipulato il contratto Sono stati analizzati e, seppur contenenti previsioni non soddisfacenti, il contratto è stato comunque stipulato 4% 1% No, non sono stati analizzati Dalla survey erogata alle PMI: «I contenuti contrattuali hanno influenzato la scelta della sua organizzazione di stipulare o meno un contratto con un fornitore di servizi di Public Cloud?»
I contratti: un limite allo sviluppo dei servizi Cloud? La complessità dei contratti Cloud 3% 5% Molto chiari e trasparenti Abbastanza chiari anche se troppo lunghi e complessi 31% In gran parte difficilmente comprensibili 61% Non chiari: troppo lunghi e complessi Dalla survey erogata alle PMI: «La sua organizzazione come giudica i contratti proposti dai fornitori di servizi di Cloud Computing, in merito a trasparenza e chiarezza dei contratti?»