Gabriele Faggioli Adjunct Professor MIP, School of Management del Politecnico di Milano



Documenti analoghi
Profili legali e contrattuali nel Cloud. Gabriele Faggioli Adjunct Professor MIP, School of Management del Politecnico di Milano

COSA DIRE ANCORA DEL CLOUD? ASPETTI LEGALI E CONTRATTUALI

I contratti cloud: cosa chiedere, come scegliere

il CLOUD a norma di legge

REGOLAMENTO SUL TRATTAMENTO DEI DATI PERSONALI

DELIBERAZIONE N. 30/7 DEL

Cloud e sicurezza. Scenario e prospettive

visto il trattato che istituisce la Comunità europea, in particolare l articolo 93, vista la proposta della Commissione,

L amministratore di sistema. di Michele Iaselli

FATTURAZIONE ELETTRONICA la soluzione cloud di OLIVETTI

Politica per la Sicurezza

Nome modulo: ANALISI ED ILLUSTRAZIONE DEI RUOLI PREVISTI NELL ORGANIZZAZIONE

Profili giuridici del cloud in sanità: dalla digitalizzazione alla privacy

REGOLAMENTO PER LA TUTELA DELLA RISERVATEZZA RISPETTO AL TRATTAMENTO DEI DATI PERSONALI

Dott. Filippo Caravati Convegno - Audit Intermediari 1

Strategia di classificazione della clientela relativamente ai servizi d investimento offerti dalla Banca Nazionale del Lavoro SpA

COMUNE DI RAVENNA GUIDA ALLA VALUTAZIONE DELLE POSIZIONI (FAMIGLIE, FATTORI, LIVELLI)

La gestione della sicurezza nei rapporti con i fornitori esterni, G. Pontevolpe

Gli elementi comunemente contenuti nella fattura, sia cartacea che elettronica, sono:

MANUALE DELLA QUALITÀ Pag. 1 di 6

Privacy e Cloud Computing per gli studi professionali e le imprese

COMUNICATO. Vigilanza sugli intermediari Entratel: al via i controlli sul rispetto della privacy

4.5 CONTROLLO DEI DOCUMENTI E DEI DATI

Continuità operativa e disaster recovery nella pubblica amministrazione

COMUNE DI RENATE Provincia di Monza e Brianza

14 giugno 2013 COMPETENZE E QUALIFICHE DELL INSTALLATORE DI SISTEMI DI SICUREZZA. Ing. Antonio Avolio Consigliere AIPS All right reserved

Ministero dell Istruzione, dell Università e della Ricerca. Acquisizione Beni e Servizi

DIPARTIMENTO INFORMATIVO e TECNOLOGICO

Specifiche dello sviluppo di un progetto software e indicazioni sulla documentazione e sulle modalità di esercizio delle prestazioni

Audit & Sicurezza Informatica. Linee di servizio

della manutenzione, includa i requisiti relativi ai sottosistemi strutturali all interno del loro contesto operativo.

Comune di San Martino Buon Albergo Provincia di Verona

SCHEDA DEL CORSO Titolo: Descrizione: competenze giuridiche e fiscali da un lato, tecniche ed organizzative dall altro.

Privacy & Data protection. Diritto nuove tecnologie. Codice degli appalti. Decreto 231/2001

Gestione in qualità degli strumenti di misura

La tua attività a portata di mano IL SOFTWARE PER LA GESTIONE DEGLI ADEMPIMENTI PREVISTI DAL CODICE PRIVACY (DLGS 196/2003).

AUDIT. 2. Processo di valutazione

REGOLAMENTO PER GLI STAGE

Provvedimenti a carattere generale 27 novembre 2008 Bollettino del n. 0/novembre 2008, pag. 0

DOCUMENTO DI SINTESI STRATEGIA DI ESECUZIONE E TRASMISSIONE DEGLI ORDINI BCC AGRIGENTINO SOCIETA COOPERATIVA FEBBRAIO 2013

Allegato F - Programma di adempimenti di cui all articolo 15 dell Allegato A

DOCUMENTO DI SINTESI DELLA POLICY SU STRATEGIA DI ESECUZIONE E TRASMISSIONE DI ORDINI

ALLEGATO Esempio di questionario per la comprensione e valutazione del sistema IT

4. GESTIONE DELLE RISORSE

Padova, 13 gennaio Il cruccio del Provider: ci sono o ci faccio? Marisa Sartori e Mauro Zaniboni

Consorzio di Polizia Locale Valle Agno Corso Italia n.63/d Valdagno Vicenza

REGOLAMENTO IN MATERIA DI TRATTAMENTO DEI DATI PERSONALI MEDIANTE SISTEMI DI VIDEOSORVEGLIANZA

Presidenza della Giunta Ufficio Società dell'informazione. ALLEGATO IV Capitolato tecnico

I SISTEMI QUALITÀ NEI RAGGRUPPAMENTI DI IMPRESE E NEI CONSORZI

MANUALE DELLA QUALITA Revisione: Sezione 4 SISTEMA DI GESTIONE PER LA QUALITA

TAURUS INFORMATICA S.R.L. Area Consulenza

SCHEMA DI DELIBERAZIONE

Cloud computing Proteggere i dati per non cadere dalle nuvole

REGOLAMENTO DI ATTUAZIONE DELLE NORME IN MATERIA DI PROTEZIONE DEI DATI PERSONALI

Edok Srl. FatturaPA Light. Servizio di fatturazione elettronica verso la Pubblica Amministrazione. Brochure del servizio

ISTRUZIONI SULLA TRATTAZIONE DEI RECLAMI. Relazione

INFOSECURITY 2005 La privacy nelle PMI Gabriele Faggioli. Milano febbraio 2005

La manutenzione come elemento di garanzia della sicurezza di macchine e impianti

FIDEURO MEDIAZIONE CREDITIZIA S.R.L.

RISOLUZIONE N.15/E QUESITO

Manuale delle Procedure ACQUISIZIONE DI BENI E SERVIZI

DM.9 agosto 2000 LINEE GUIDA PER L ATTUAZIONE DEL SISTEMA DI GESTIONE DELLA SICUREZZA TITOLO I POLITICA DI PREVENZIONE DEGLI INCIDENTI RILEVANTI

FORMAZIONE PRIVACY 2015

ALLEGATO D. Roma lì, / / Equitalia S.p.A. il Titolare

UNIVERSITÀ DEGLI STUDI DI BERGAMO

A.O. MELLINO MELLINI CHIARI (BS) GESTIONE DELLE RISORSE 1. MESSA A DISPOSIZIONE DELLE RISORSE RISORSE UMANE INFRASTRUTTURE...

Notiziario settimanale giugno Indirizzi e invio di pubblicità. Documento dei Garanti UE sul nuovo software Microsoft

AIM Italia/Mercato Alternativo del Capitale. Requisiti generali di organizzazione - funzioni aziendali di controllo (Nominated Adviser)

Posta Elettronica Certificata obbligo e opportunità per le Imprese e la PA

Piano di Sviluppo Competenze

Nota informativa sulla Firma Grafometrica.

COMUNE DI CIGLIANO REGOLAMENTO DELLA RETE CIVICA E SITO INTERNET COMUNALE

PROGETTO TECNICO SISTEMA DI GESTIONE QUALITA IN CONFORMITÀ ALLA NORMA. UNI EN ISO 9001 (ed. 2008) n. 03 del 31/01/09 Salvatore Ragusa

TECNICO SUPERIORE DEI TRASPORTI E DELL INTERMODALITÀ

Nota informativa sulla Firma Grafometrica.

REGOLAMENTO SULLA FACOLTÀ DI ACCESSO TELEMATICO E RIUTILIZZO DEI DATI

Corso di Valutazione Economica dei Progetti e dei Piani. Marta Berni AA

Istruzione Operativa Richiesta di Offerta on-line in busta chiusa digitale

Rispettare la normativa sulla sicurezza è

REGOLAMENTO PER LA GESTIONE DELLE SEGNALAZIONI E DEI RECLAMI

A cura di Giorgio Mezzasalma

ALLEGATO 2D MODELLO DI OFFERTA TECNICA LOTTO 4

Disposizioni in materia di trattamento dei dati personali.

Progetto TIC (trasparenza- informatica-comunicazione)

4. Essere informati sui rischi e le misure necessarie per ridurli o eliminarli;

POLIZZA MULTIRISCHIO PER LE AZIENDE AGRICOLE. DISPOSIZIONI GENERALI Mod. AGRI 01 T

ASSIDELTA BROKER S.R.L.

SEZIONE V TECNICHE DI COMUNICAZIONE A DISTANZA

18 e 19 Maggio 2011 (ore 9:30-17:30) MILANO - Novotel Milano Linate Aeroporto (Via Mecenate, 121)

REGOLAMENTO OPERATIVO PER L UTILIZZO DELL IMPIANTO ESTERNO DI VIDEOSORVEGLIANZA

La norma ISO 9001:08 ha apportato modifiche alla normativa precedente in

UTILIZZO DELL INFORMATICA NELLA PROFESSIONE ASPETTI TECNICI E LEGALI

CONSIP SpA. Gara per l affidamento dei servizi di supporto strategico a Consip nel campo dell Information & Communication Technology (ICT)

SCHEDA REQUISITI PER LA QUALIFICAZIONE DEL CORSO PER ESPERTI IN MARKETING & COMUNICAZIONE

MODELLO ORGANIZZATIVO REGIONALE PER LA GESTIONE DEL RISCHIO CLINICO.

TECNICO SUPERIORE DELLE INFRASTRUTTURE LOGISTICHE

La Giunta Comunale. Visto il D.P.R n. 223 Regolamento Anagrafico e sue modifiche;

INFORMATIVA SUL DIRITTO ALLA PRIVACY PER LA CONSULTAZIONE DEL SITO WEB

SCHEDA PRODOTTO PAG. 1 J O B T I M E W F. Variazioni mensili al cartellino presenze. Versione 6.1. JOBTIME Work Flow

Autorità per l'informatica nella pubblica amministrazione Deliberazione n. 42/2001

Transcript:

Il Cloud Computing per recuperare competitività Profili legali e contrattuali nel Cloud Gabriele Faggioli Adjunct Professor MIP, School of Management del Politecnico di Milano

Evoluzione normativa Negli ultimi 20 anni si è assistito a una vera e propria rivoluzione nel settore del diritto delle nuove tecnologie L evoluzione tecnologica ha infatti determinato l introduzione nel nostro panorama giuridico di nuovi concetti giuridici, di nuovi beni tutelati, di nuove fattispecie incriminatrici, di nuove forme contrattuali Anche l evoluzione dell offerta di servizi informatici determina una evoluzione contrattuale che comporta una serie di potenziali problemi di natura normativa

IL MODELLO CLASSICO La contrattualistica sottesa a un progetto di sviluppo di un sistema informativo tipicamente si compone di tutti o di alcuni dei seguenti contratti Contratto di licenza d uso software (contratto atipico) Contratto di manutenzione delle licenze (appalto?) Contratto di approvvigionamento hardware Contratto di implementazione (installazione, parametrizzazione, personalizzazione) (appalto?) Contratto di assistenza e manutenzione (appalto?) Eventuale successivo contratto di outsourcing (appalto?) Le singole prestazioni contrattuali sopra indicate possono essere assorbite in uno o più contratti (contratti misti o complessi) Le singole prestazioni contrattuali possono essere agganciate a obbligazioni di mezzi o obbligazioni di risultato

Alta contrapposizione di obiettivi fra cliente e fornitore Contratto Asimmetria di informativa implementazione: fra cliente e fornitore su molteplici aspetti della negoziazione Necessità di costruire una contrattualistica ricamata sulle caratteristiche specifiche del progetto (e quindi del cliente) Oggetto determinato nel corso della vita del progetto (tendenziale stipulazione di contratti ad oggetto parzialmente indeterminato sia in relazione all implementazione che in relazione all outsourcing in punto prestazioni e SLA) Molteplici sedi negoziali: pluralità di controparti, pluralità di tavoli di lavoro, pluralità di temi da affrontare Elemento Modello classico Cloud SI SI NO, o comunque meno conflittuale NO, o comunque meno rilevante Rischio del non accordo SI SI, ma gestibile in ottica di alternativa SI SI SI NO NO Dipende dalla tipologia di relazione

Elemento Modello classico Cloud Molteplici momenti negoziali SI NO, o comunque meno rilevante Tendenza Contratto a porre di in implementazione: essere negoziazioni di posizione e Si Meno marcata non negoziazioni di interesse Estremo lock in sia sulla piattaforma che sul partner SI Meno marcato (on/off)

Elemento Modello classico Cloud Esistenza di licenze d uso SI, commerciali o OS NO Implementazione Limitata o assente NO, al limite start Contratto di implementazione: up Omnicomprensività della prestazione in un contratto NO, omolto difficile SI unico Standardizzazione della contrattualistica NO SI Rigidità in relazione a possibili personalizzazioni del servizio Contrattualistica (e servizio) modellato dal fornitore. Tendenziale obbligo del cliente a sposare il modello del fornitore Semplificazione complessiva delle relazioni NO SI NO NO SI SI

School of Management Politecnico di Milano Campione 168 organizzazioni

Servizi fra fornitori e clienti: si applicano le impostazioni contrattuali analizzate e le tematiche legali che seguiranno Servizi erogati da società a altre società facenti parte del gruppo stesso: si applicano le medesime regole e normative

Cloud: le tematiche normative in materia di trattamento dati personali Nomina a responsabile del trattamento Misure di sicurezza Trasferimento dei dati all estero Amministratori di sistema Accesso ai dati bancari

La mini guida del Garante del giugno 2012 Proteggere i dati per non cadere dalle nuvole La indicazione del garante Un importante cambiamento per tutto il settore delle comunicazioni elettroniche, e del cloud computing in particolare, dovrebbe avvenire entro il 2014, con l approvazione del nuovo Regolamento generale sulla protezione dei dati (Com 2012 11 def) proposto dalla Commissione Europea. Il nuovo Regolamento introdurrà identiche regole in Europa e nei confronti di Stati terzi (riscrivendo quindi anche il Codice della privacy italiano) Il titolare e il responsabile del trattamento. La pubblica amministrazione o l azienda, titolare del trattamento dei dati personali, che trasferisce del tutto o in parte il trattamento di dati personali a un fornitore, deve procedere a designare il fornitore dei servizi cloud responsabile del trattamento In caso di violazioni commesse dal fornitore (o da un subfornitore), anche il titolare sarà chiamato a rispondere dell eventuale illecito. Nonsaràsufficientepergiustificareuna eventuale violazione affermare di non avere avuto possibilità di negoziare clausole contrattuali o modalità di controllo stringenti: il cliente di servizi cloud può sempre rivolgersi ad altri fornitori che offrono maggiori garanzie, in particolare per il rispetto della normativa sulla protezione dei dati Il Codice della privacy prevede tra l altro, che il titolare eserciti un potere di controllo nei confronti del responsabile del trattamento, verificando la corretta esecuzione delle istruzioni impartite in relazione ai dati personali trattati

La mini guida del Garante del giugno 2012 Proteggere i dati per non cadere dalle nuvole La indicazione del garante Trasferimento dei dati fuori dell Unione Europea. Il Codice della privacy definisce regole precise per il trasferimentodeidatipersonalifuoridall Unione europea e vieta, in linea di principio, il trasferimento anche temporaneo di dati personali verso uno Stato extraeuropeo, qualora l ordinamento del Paese di destinazione o di transito dei dati non assicuri un adeguato livello di tutela Il titolare del trattamento dovrà quindi tenere in debito conto anche il luogo dove vengono conservati i dati e quali sono i trattamenti previsti all estero Sicurezza dei dati. Il titolare del trattamento deve assicurarsi che siano adottate misure tecniche e organizzative volte a ridurre al minimo i rischi di distruzione o perdita anche accidentale dei dati, di accesso non autorizzato, di trattamento non consentito o non conforme alle finalità della raccolta, di modifica dei dati in conseguenza di interventi non autorizzati o non conformi alle regole Occorre quindi contrattualmente imporre ai fornitori non solo il rispetto delle misure minime di sicurezza previste dall allegato B al d.lgs 196/03 ma anche un livello di sicurezza che, di volta in volta in considerazione delle caratteristiche di ogni contratto, possa essere ritenuto idoneo I diritti dell interessato. I soggetti pubblici e le imprese che decidono di avvalersi di servizi cloud per gestire i dati personali dei loro utenti o clienti non devono dimenticare che il Codice della privacy attribuisce agli interessati (le persone a cui si riferiscono i dati) precisi diritti

La mini guida del Garante del giugno 2012 Proteggere i dati per non cadere dalle nuvole I consigli operativi del Garante Il Garante consiglia di fare una valutazione dei rischi, costi e benefici preventiva rispetto all utilizzo di servizi cloud. Ricordando che quasi tutte le altre società che offrono servizi e infrastrutture cloud si avvalgono di aziende leader mondiali, il Garante sottolinea la potenziale riduzione della capacità negoziale di una singola impresa o di una piccola amministrazione pubblica. In questi casi, il Garante consiglia di adottare misure alternative come per esempio il consorziarsi con altri soggetti pubblici o imprese che hanno le medesime esigenze (ad esempio tramite le associazioni di categoria) al fine di ottenere capacità contrattuale maggiore. Secondo il Garante, comunque, anche i fornitori cloud potrebbero trarre nuove opportunità dalla definizione di clausole pro privacy o da una eventuale preventiva certificazione indipendente sul rispetto della normativa europea sulla protezione dei dati personali per i servizi da loro offerti.

I consigli operativi del Garante Quali sono le misure di sicurezza adottate dal fornitore per proteggere i dati? Chi è il reale fornitore del servizio che si sta acquisendo? Si tratta di una singola società o di un consorzio di imprese? In caso di problemi al collegamento Internet, è comunque possibile continuare a usufruire dei servizi senza l accesso al cloud? In quanto tempo può essere ripristinato il sistema? Esistono piani di emergenza per i servizi essenziali? È possibile che i dati sul cloud possano essere persi o distrutti? Esistono garanzie di riservatezza per i nostri dati nel caso in cui un concorrente condivida gli stessi servizi cloud? In quale Stato sono conservati i dati caricati sulla nuvola? È possibile scegliere di usufruire di server collocati solo in territorio nazionale o in Paesi dell Unione europea? La tecnologia utilizzata dal fornitore di cloud è di tipo proprietario? I dati possono essere esportati facilmente? Nel caso in cui si accerti una violazione o la perdita dei dati, il fornitore garantisce un pronto risarcimento del danno?

Il decalogo del Garante Effettuare una verifica sull affidabilità del fornitore. Gli utenti dovrebbero accertare: l esperienza, la capacità e l affidabilità del fornitore; la struttura societaria del fornitore, le referenze, le garanzie di legge offerte in ordine alla confidenzialità dei dati e alle misure adottate per assicurare la continuità operativa a fronte di eventuali e imprevisti malfunzionamenti; Gli utenti dovrebbero valutare, inoltre, le caratteristiche qualitative dei servizi di connettività di cui si avvale il fornitore in termini di capacità e affidabilità; Il cliente deve valutare l impiego da parte del fornitore di personale qualificato, l adeguatezza delle sue infrastrutture informatiche e di comunicazione, la disponibilità ad assumersi una responsabilità risarcitoria in caso di eventuali falle nel sistema di sicurezza o di interruzioni del servizio Privilegiare i servizi che favoriscono la portabilità dei dati. In particolare, è consigliabile ricorrere a servizi di cloud computing privilegiando quelli basati su formati e standard aperti, che facilitino la transizione da un sistema cloud ad un altro, anche se gestiti da fornitori diversi. Assicurarsi la disponibilità dei dati in caso di necessità. È opportuno chiedere che nel contratto con il fornitore siano ben specificate adeguate garanzie sulla disponibilità e sulle prestazioni dei servizi cloud.

Selezionare i dati da inserire nella nuvola Il decalogo del Garante Non perdere di vista i dati. È sempre opportuno che l utente valuti accuratamente il tipo di servizio offerto, anche verificando se i dati rimarranno nella disponibilità fisica dell operatore con cui è stato stipulato il contratto oppure se questi svolga un ruolo di intermediario, ovvero offra un servizio basato sulle tecnologie messe a disposizione da un operatore terzo Informarsi su dove risiederanno concretamente i dati. È importante per l utente sapere se i propri dati vengono trasferiti ed elaborati da server in Italia, in Europa o in un Paese extraeuropeo. Attenzione alle clausole contrattuali. È importante valutare l idoneità delle condizioni contrattuali per l erogazione del servizio di cloud con particolare riferimento agli obblighi e alle responsabilità in caso di perdita e di illecita diffusione dei dati custoditi nella nuvola, nonché alle eventuali modalità per il recesso dal servizio e il passaggio ad altro fornitore. Unelemento da privilegiare è senz altro la previsione di garanzie di qualità chiare, corredate da penali, che pongano a carico del fornitore le eventuali inadempienze o le conseguenze di determinati eventi. Verificare tempi e modalità di conservazione dei dati. In fase di acquisizione del servizio cloud è opportuno approfondire e prevedere nel contratto le politiche adottate dal fornitore riguardo ai tempi di conservazione dei dati.

Il decalogo del Garante Esigere adeguate misure di sicurezza. In generale si raccomanda di privilegiare i fornitori che utilizzino modalità di archiviazione e trasmissione sicure, mediante tecniche crittografiche (specialmente quando i dati trattati sono particolarmente delicati), accompagnate da robusti meccanismi di identificazione dei soggetti autorizzati all accesso. Informare adeguatamente il personale. Il personale, sia quello del cliente che quello del fornitore, incaricato del trattamento dei dati mediante servizi di cloud computing dovrebbe essere appositamente formato, al fine di limitare rischi di accesso illecito, di perdita di dati o, più in generale, di trattamento non consentito.

Considerazioni conclusive: Le normative esistono e devono essere rispettate ma, per quanto complesse, non sono ostative né a usare i servizi cloud né a offrirli Oggi esiste la possibilità di acquisire servizi cloud rispettando le norme di legge La stessa PA è pesantemente orientata verso il cloud (cfr per esempio iniziative di Banca d Italia) Le relazioni contrattuali nel mondo cloud sono tendenzialmente semplificate e meno onerose (in termini complessivi) rispetto ai modelli tradizionali Le aziende che vogliono acquisire servizi cloud devono organizzarsi per richiedere al fornitore, in sede di selezione, le informazioni che il Garante ritiene rilevanti È bene che i fornitori si approccino al mercato in modo trasparente, già impostando la documentazione necessaria a far fronte alle richieste che le aziende potranno avanzare Le aziende devono valutare con attenzione i contratti proposti dai fornitori verificandone la coerenza con la normativa italiana e con un buon livello di tutela È bene che i fornitori valutino la possibilità di sottoporsi a certificazioni in materia di sicurezza/rispetto normativo

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back