Profili contrattuali e di data protection del Cloud Computing



Documenti analoghi
Il trattamento dei dati personali nei servizi di cloud computing localizzati all'estero. Torino, 11 aprile 2011

Il cloud computing, inquadramenti giuridici e differenze di approccio contrattuale

La scelta del cloud: dal contratto alla tutela dei dati

Profili giuridici del cloud in sanità: dalla digitalizzazione alla privacy

L outsourcing e il cloud computing nelle recenti disposizioni di vigilanza prudenziale per le banche di Banca d Italia

Gli adempimenti normativi in caso di servizi. Relatore Avv. Valentina Frediani

RISOLUZIONE N.15/E QUESITO

I contratti cloud: cosa chiedere, come scegliere

Cloud Computing: principali aspetti normativi

Trasferimento dei Dati all Estero. Titolo VII Art

NORMATIVA SULLA VIDEOSORVEGLIANZA

Dal mainframe al Cloud, attraverso l hosting e l ASP. Il Capo V del C.A.D.

e-privacy 2012 Open data e tutela giuridica dei dati personali

Capitolo 4 - LEASING. Sommario

La valutazione delle immobilizzazioni immateriali

REGOLAMENTO PER LA TUTELA DELLA RISERVATEZZA RISPETTO AL TRATTAMENTO DEI DATI PERSONALI

Metodologie per l identificazione e la qualificazione del rischio nell attività del Collegio Sindacale

SOMMARIO. Presentazione... Note sugli autori... Parte Prima IL NUOVO CODICE E GLI ADEMPIMENTI Antonio Ciccia

ALLEGATO D. Roma lì, / / Equitalia S.p.A. il Titolare

17 Maggio 2012 Exposanità Tutela della privacy del cittadino e della sicurezza dei dati sensibili nell'era del cloudcomputing

RINUNCIA ALLA RIVALSA

REGOLAMENTO IN MATERIA DI TRATTAMENTO DEI DATI PERSONALI MEDIANTE SISTEMI DI VIDEOSORVEGLIANZA

COMUNE DI RAVENNA GUIDA ALLA VALUTAZIONE DELLE POSIZIONI (FAMIGLIE, FATTORI, LIVELLI)

Misure di Tutela e Aspetti Legali nel contesto del Cloud Computing. I dati nella nuvola : aspetti legali e contrattuali. Avv.

CITTÀ DI AGROPOLI. Regolamento per la pubblicazione delle Determinazioni sul sito internet istituzionale dell Ente

LICENZA D USO di SOFTWARE

AMMINISTRAZIONE DEL PERSONALE

Agosto 2015 EUR/A/IM CONDIZIONI

REGOLAMENTO SUL TRATTAMENTO DEI DATI PERSONALI

I Fondi pensione preesistenti

REGOLAMENTO DI ATTUAZIONE DELLE NORME IN MATERIA DI PROTEZIONE DEI DATI PERSONALI

COSA DIRE ANCORA DEL CLOUD? ASPETTI LEGALI E CONTRATTUALI

Il contratto per l erogazione alle imprese di servizi di cloud computing

Sistema Disciplinare e Sanzionatorio

Politica per la Sicurezza

COMUNE DI LAZISE - PROVINCIA DI VERONA - REGOLAMENTO SUL PROCEDIMENTO E SULL'ACCESSO AI DOCUMENTI AMMINISTRATIVI

QUESITO SOLUZIONE INTERPRETATIVA PROSPETTATA DAL CONTRIBUENTE

SOMMINISTRAZIONE DI LAVORO

La Giunta Comunale. Visto il D.P.R n. 223 Regolamento Anagrafico e sue modifiche;

Deliberazione N.: 259 del: 24/03/2015. Oggetto : ADOZIONE REGOLAMENTO AZIENDALE PER LA DISCIPLINA DELLE ATTIVITÀ DI VOLONTARIATO.

REGOLAMENTO N. 23 DEL 9 MAGGIO 2008 L ISVAP. (Istituto per la vigilanza sulle assicurazioni private e di interesse collettivo)

DAMA DEMOLIZIONI E SMONTAGGI S.R.L.

CATALOGO SEMINARI COFINANZIATI DA FONDOPROFESSIONI Anno 2014/2015 (in corso di accreditamento)

4. Essere informati sui rischi e le misure necessarie per ridurli o eliminarli;

Il monitoraggio fiscale

Le fattispecie di riuso

SCHEMA DI CONTRATTO-TIPO DI VETTORIAMENTO DI CUI ALL ARTICOLO 4, COMMA 4.

CERTIFICAZIONE DI QUALITA

REGOLAMENTO ALBO PRETORIO INFORMATICO DI LAZIOSANITA AGENZIA DI SANITA PUBBLICA DELLA REGIONE LAZIO

1. Introduzione e finalità delle Linee guida

COMUNE DI VILLESSE PROVINCIA DI GORIZIA REGOLAMENTO PER LA VALUTAZIONE DELLE POSIZIONI ORGANIZZATIVE

INFORMATIVA SUL DIRITTO ALLA PRIVACY PER LA CONSULTAZIONE DEL SITO WEB

TAURUS INFORMATICA S.R.L. Area Consulenza

Fatturazione Elettronica PA Specifiche del Servizio

RISOLUZIONE N. 34/E. Roma 5 febbraio 2008

SENATO. 6 Commissione (Finanze) 5 novembre 2008 TESTO UNIFICATO PROPOSTO DALLA RELATRICE SUI DISEGNI DI LEGGE N. 414 E N. 507

Risoluzione n. 150/E. Roma, 9 luglio 2003

SISTEMA DI DELEGHE: AZIONI E CONTROLLI

!! "! # $ %! &! ' # (() '! '

Allegato A al CCNL 2006/2009 comparto Ministeri

COMUNE DI MARIGLIANO Provincia di Napoli REGOLAMENTO PER L INSTALLAZIONE E LA GESTIONE DEGLI IMPIANTI DI VIDEOSORVEGLIANZA

PROGRAMMA TRIENNALE PER LA TRASPARENZA E L INTEGRITA

Il D.lgs. 231/2007 in materia di antiriciclaggio, tra novità legislative, ruolo degli Organi e delle Autorità di Vigilanza ed impianto sanzionatorio

Allegato 3. Indice generale 1. OGGETTO DEL SERVIZIO SVOLGIMENTO DEL SERVIZIO OBBLIGHI DEL BROKER OBBLIGHI DI ANSF...

Sicurezza dei dati e delle informazioni all epoca del cloud Le norme

Continuità operativa e disaster recovery nella pubblica amministrazione

CONTRATTO DI GESTIONE TEMPORANEA STAGIONALE. Oggi, in Recoaro Terme, fra le parti:

LICENZA USO SOFTWARE on line So.Ge.R. PRO interoperabile SISTRI

RISOLUZIONE N. 430/E QUESITO

REPUBBLICA ITALIANA. Repertorio: n. I.N.R.C.A. AMMINISTRAZIONE CENTRALE

Condizioni generali di vendita Art. 1 Oggetto del contratto Art. 2 Ricevimento dell ordine Art. 3 Esecuzione del contratto e tempi di consegna

La piattaforma di lettura targhe intelligente ed innovativa in grado di offrire servizi completi e personalizzati

Il Sistema Qualità (ISO 9001:2008) Livello specialistico

Regolamento di attuazione degli articoli 20, comma 2, e 21 del decreto legislativo 30 giugno 2003 n. 196,

INFORMATIVA SULLA PRIVACY. Informativa sul trattamento dei dati personali ai sensi dell art. 13 D.Lgs. 30 giugno 2003, n.196

CONTRATTO DI COLLABORAZIONE AUTONOMA PER LO SVOLGIMENTO DI UN SUPPORTO TECNICO SPECIALISTICO DI TIPO

ARCESE TRASPORTI S.P.A. Modello di organizzazione gestione e controllo ai sensi del D.Lgs 231/2001 CODICE DISCIPLINARE

SISTEMA DISCIPLINARE. Venis Venezia Informatica e Sistemi S.p.A.

Comune di San Martino Buon Albergo Provincia di Verona

Brevi note sulla responsabilità del dipendente bancario verso i terzi ed il datore di lavoro. R.C. PROFESSIONALE BANCARI

MANDATO DI ASSISTENZA PER LA GESTIONE DELLE ANAGRAFI ZOOTECNICHE

3.4.1 Descrizione del Programma

Manuale della qualità. Procedure. Istruzioni operative

SGSL UN SISTEMA PER LA GESTIONE DELLA SICUREZZA SUL LAVORO NELLA SCUOLA

ACQUISIZIONE DI BENI E SERVIZI IN ECONOMIA DI CUI ALL ART. 125 DEL D.LGS. n. 163/2006 DELLA REGIONE AUTONOMA DELLA SARDEGNA. DIRETTIVA GENERALE

Dott. Filippo Caravati Convegno - Audit Intermediari 1

Capitolo I FINALITÀ E STRUMENTI DELLA DISCIPLINA DEI SERVIZI DI INVE- STIMENTO

POLITICA INTEGRATA QUALITÀ, AMBIENTE E SICUREZZA

Transcript:

Opportunità e aspetti critici della Nuvola 13 febbraio 2012 Torino Profili contrattuali e di data protection del Cloud Avv. Alessandro Mantelero Ricercatore Politecnico di Torino IV Facoltà

I. Esternalizzazione dei servizi informatici ed organigramma del trattamento Il modello piramidale : - controller - processor - incaricati il rapporto di preposizione ed il potere decisionale in capo al preponente consentono di distinguere i ruoli, non la relazione economico-funzionale fra i soggetti conseguenze del ruolo ricoperto: - obblighi ed oneri di controllo - adozione e sorveglianza sulle misure di sicurezza - responsabilità penale, amministrativa e civile L'organigramma nei casi di esternalizzazione: - visione dato-centrica - indipendenza dal rapporto di outsourcing - centralità del concreto potere di controllo esercitato sui dati

I ipotesi: gestione autonoma del trattamento ad opera dell'outsourcee (flusso controller/controller: comunicazione) vantaggi: - parziale trasferimento degli adempimenti - irresponsabilità dell'outsourcer per i danni svantaggi: - mancanza di controllo - obblighi connessi alla comunicazione (informativa e consenso specifico) II ipotesi: gestione in cui l'outsourcer si riserva il controllo della gestione del trattamento effettuato dall'outsourcee (flusso interno controller/processor) vantaggi: - controllo sulla gestione dei dati - natura interna del rapporto: superfluità informativa e consenso specifico svantaggi: - responsabilità dell'outsourcer per i danni - oneri di controllo e sicurezza

II. Le specifiche del cloud computing centralità delle attività di memorizzazione e gestione dati qualificazione rapporto fornitore cloud/cliente: - margine di autonomia decisionale del fornitore - compiti del fornitore chiaramente e rigorosamente definiti (SLA, KPI, ecc.) - l'impresa cliente è il soggetto direttamente legittimato dagli interessati a trattare i dati - il fornitore gestisce le informazioni nell'interesse del cliente - affidamento al fornitore solamente di parte dei trattamenti - il fornitore offre servizi di standard superiori piuttosto che un elevato grado di autonomia nel trattamento propensione per la qualifica del rapporto come processor (fornitore)/controller (cliente)

III. Ruoli e responsabilità nel trattamento dati transfrontaliero ambito applicativo dir. 95/46/CE (art. 4): - stabilimento del controller nel territorio dello Stato membro (o luogo soggetto a legislazione nazionale) - impiego ai fini del trattamento di strumenti situati nel territorio di detto Stato membro, fatto salvo l'impiego per soli fini di transito - progressivo ampliamento ambito applicativo in via interpretativa condizione per il trasferimento transfrontaliero (criterio generale): - trasferimento dati verso un Paese terzo solo se viene garantito un livello di protezione adeguato (art. 25, dir. 95/46/CE)

I ipotesi: adeguatezza del livello di tutela garantito dalla legge del Paese terzo valutazione positiva della Commissione Europea con riguardo a: - normativa nazionale del Paese terzo - accordi ad hoc (caso eccezionale, Safe Harbor) II ipotesi: inadeguatezza del livello di tutela garantito - clausole contrattuali standard definite dalla Commissione (art. 26 2, dir. 95/46/CE - clausole contrattuali definite dalle parti, con autorizzazione ad hoc della DPA (art.44, lett. a, d.lgs. 196/03) III ipotesi: III ipotesi: trasferimenti comunque permessi - consenso dell'interessato e casi di consenso implicito (finalità contrattuali o precontrattuali) - dati derivanti da un pubblico registro - salvaguardia dell'interesse vitale della persona o (nelle ipotesi di legge) salvaguardia di un interesse pubblico rilevante/esercizio diritti in giudizio

clausole contrattuali standard definite dalla Commissione: facilitano risoluzione dei problemi di geo-localizzazione flusso controller/processor (Paese terzo) - disciplina sub-contratto (permane responsabilità primo ricevente) - vigilanza: autorità di controllo degli stati UE (divieto/sospensione flussi in caso di infrazione) - legge applicabile al contratto: luogo stabilimento "esportatore" - azione di danni diretta verso l' "esportatore" - "clausola del terzo beneficiario" (nei contratti fra esportatore, importatore e subincaricato) flusso processor/subprocessor (Paese terzo) - mancanza di clausole-tipo soluzioni possibili: - impiego clausole-tipo direttamente ad opera del controller (accordo diretto con il sub-processor) o mandato da parte del controller al processor affinché stipuli in suo nome le clausole-tipo - specifici accordi contrattuali fra le parti, previa autorizzazione dei competenti organi del Paese dell'esportatore

IV. L'accesso ai dati da parte dei pubblici poteri - scarsa efficacia delle clausole standard o di accordi ad hoc (S.H.) S.H. è derogabile per ragioni di national security, public interest, or law enforcement requirements o per esplicita norma di legge, regolamento o provvedimento giudiziario. Applicabilità al Patriot Act possibili scenari: a) richiesta dati dal governo alla controllante nazionale relativa a informazioni detenute da quest'ultima in quanto trasmesse alla stessa dalla controllata UE b) richiesta diretta di dati alla controllata UE. CASO A: - previa informativa specifica ad opera della controllata UE (criticità ampiezza trattamento) - legittimità flusso transfrontaliero infra-gruppo (clausole standard, S.H., BCR) - disclosure ad opera dalla controllante CASO B: - previa informativa specifica ad opera della controllata UE - acquisizione (ad opera della controllata UE) del consenso alla comunicazione ed al trasferimento transfrontaliero da parte di tutti i soggetti di cui l'utente cloud tratta i dati (criticità: libertà del consenso e proporzionalità del trattamento)

profili geo-politici - diverse nazioni (UE, India, Cina) riconoscono poteri di indagine alle autorità - problema politico ingerenze (big data) - il problema non è la riserva riconosciuta agli interessi nazionali, ma il bilanciamento con le esigenze di data protection - necessità di chiara e precisa definizione delle eccezioni e di utilizzo delle procedure di cooperazione giudiziaria internazionale

Il contratto: qualificazione giuridica Nota generale: - centralità del profilo contrattuale - importanza dell'attenzione prestata dal fornitore a tale aspetto Natura del contratto: contratto misto (appalto, licenza) assenza di un profilo solitamente prevalente, bensì variazioni fra schemi in cui prevale la struttura del contratto di servizio e schemi in cui prevale quello di licenza frequente accostamento ai contratti di outsourcing (modelli contrattuali eterogenei connotati dall'affidamento a terzi di fasi del processo produttivo) L'evoluzione dell'it non si traduce in un'evoluzione altrettanto rapida dei modelli contrattuali.

aspetti comuni al modello dell'outsourcing: Il contratto: qualificazione giuridica - esternalizzazione dei servizi - centralità del servizio e della sua qualità - rilievo dei profili di costo ed efficienza - modelli contrattuali analitici (allegati tecnici, SLA) aspetti divergenti rispetto al modello dell'outsourcing: - centralità degli strumenti produttivi e scarsa rilevanza della componente umana - modello uno/molti (personalizzazione secondo offerte standard, definizione delle policies ad opera del fornitore, semplificazione della fase precontrattuale, limitata variabilità degli accordi, mancanza di clausole di rinegoziazione) - flessibilità nell'ampiezza della durata (salvo lock-in) - carenza del trasferimento tecnologico/strumentale e di personale (ruolo secondario di formazione, audit e controlli diretti) - metrica dei costi più semplice (costo/unità/tempo), ma maggiore incertezza sul costo globale (funzione dell'utilizzo) - minore potere contrattuale del cliente e definizione dei servizi/nuovi prodotti da parte del fornitore

struttura: - Terms of Service - Acceptable Use Policy - Privacy policies Il contratto: struttura e contenuti talvolta le stesse materie sono trattate all'interno di più di un documento talvolta personalizzazione dei contratti in ragione delle diverse aree geografiche contenuti: profili generali del contratto: - lingua - durata - corrispettivo - possibilità di modifiche unilaterali e relative modalità - legge applicabile e giurisdizione - prevenzione e gestione dell'inadempimento - limitazione di responsabilità/garanzie - sub-contratto profili inerenti le informazioni gestite: - titolarità dei contenuti - sicurezza - disciplina della disclosure - flussi transfrontalieri - destinazione dei dati in caso di scioglimento del contratto

Il contratto: struttura e contenuti legge applicabile e giurisdizione: - rapporto uno/molti - preferenza per legge e giurisdizione del fornitore (diverso dai casi di outsourcing) - limiti alla scelta della legge: ordine pubblico internazionale, norme di applicazione necessaria sub-contratto: - facoltà prevista in maniera bilaterale o per il solo fornitore cloud - responsabilità permanente sul primo contraente - poco curato il profilo dei sub-contratti (scarsa attenzione ad ampiezza e complessità della filiera) limitazione della responsabilità/garanzie - rapporto uno/molti - minor personalizzazione e conseguente maggior rischio di inadeguatezza del prodotto - esigenza di introdurre limiti a responsabilità/garanzie - talvolta garanzie specifiche in relazione a servizi di security ad hoc acquistati

Il contratto: struttura e contenuti limitazione delle garanzie - fatti salvi i casi di norme non disponibili (presenti specie in EU) - fatte salve alcune ipotesi di maggior rilievo specificate nel contratto limitazione della responsabilità (riguardano essenzialmente il fornitore) casi di esclusione - ampiezza dei casi di esclusione della responsabilità (più circoscritti in ambito EU) - ipotesi tipizzate: contenuti immessi dal cliente (con clausola di manleva in caso di contenzioso), forza maggiore et similia, interruzione servizio o mancanza di sicurezza - possibilità di indennizzi (es. mancata fruizione del servizio) secondo multipli del costo orario e non in ragione dei danni effettivi limitazione dell'oggetto del contratto - posti in capo al cliente oneri inerenti sicurezza, integrità dei dati, accesso illecito limitazione del danno risarcibile - esclusione responsabilità per danni indiretti - limitazione in ragione di un tetto massimo prefissato in un ammontare determinato (es. 25.000 $) o in un multiplo del corrispettivo pagato per il servizio

Avv. Alessandro Mantelero Confirmed Assistant Professor Department of Production Systems and Business Economics Politecnico di Torino Faculty Fellow-NEXA Center for Internet and Society alessandro.mantelero@polito.it http://staff.polito.it/alessandro.mantelero

2026 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back