S.A.F. SCUOLA DI ALTA FORMAZIONE LUIGI MARTINO S.A.F. SCUOLA DI ALTA FORMAZIONE LUIGI MARTINO CLOUD COMPUTING E SUE RILEVANZE NELL ORGANIZZAZIONE DI STUDIO? PRIVACY E DELLA SICUREZZA (ASPETTI CHE IL CLOUD POTREBBE METTERE IN PERICOLO) Indice: Definizione di Cloud Cloud in pratica: Dropbox Problematiche connesse con la Privacy Indagine presso alcuni Cloud storage provider in merito al rispetto della privacy Verifiche da effettuare nella scelta del provider DR. PAOLO LUPPI 18 Novembre 2011 - Ordine Dottori Commercialisti - C.so Europa, 11 - Milano CLOUD in generale Cos è il Cloud? Definizione di CLOUD: Significa acquistare risorse (es. server virtuali o spazio disco) oppure applicazioni (es. posta elettronica e strumenti per l ufficio) remotamente Private Cloud Computing (nuvola privata): vantaggio è il controllo puntuale da parte del titolare Public Cloud infrastruttura di proprietà del fornitore specializzato di servizi via web: problema è la perdita del controllo da parte del cliente CLOUD in generale Modelli di servizio (sia nel public che nel private cloud) SAAS (Software as a Service) Rende disponibili applicazioni informatiche (es. Google Mail) PAAS (Platform as a service) Rende disponibili piattaforme informatiche (es. Google Apps Engine, Microsoft Azure) IAAS (Infrastructure as a Service) In genere mette a disposizione vere e proprie infrastrutture (es. server virtuali remoti) 3 4
CLOUD in pratica Dropbox: esempio di un servizio molto semplice www.dropbox.com Peculiarità: Semplicità Possibilità di prova gratuita fino a 2 GB Leggerezza del programma Sicurezza Condivisione Conservazione presso provider primari Utilizzo per back-up Normativa di riferimento Privacy: Direttiva 95/46/CE e Codice Privacy (D.Lgs. 196/2003 T.U.L.P.) Titolare Responsabile Incaricato Esistenza di più titolari autonomi (difficile nel caso del Cloud) Il Buyer è il titolare Cloud provider è normalmente incaricato Cloud provider è raramente responsabile o cotitolare 5 6 Nuovo ambito di applicazione del codice della Privacy: limitato alle persone fisiche (art. 6, D.L. n. 70/2011) (liberi professionisti?) Dati personali non più soggetti a particolari tutele: quelli che trovano applicazione nei rapporti tra imprese (persone giuridiche, imprese, enti o associazioni) per le finalità amministrativocontabili (art. 6, D.L. n. 70/2011) Per finalità amm.vo-contabili si intende una attività di natura organizzativa, amministrativa, finanziaria e contabile, a prescindere dalla natura dei dati (art. 34, T.U.L.P.) Condizioni di liceità del trattamento Informativa Consenso specifico Autorizzazione del Garante al trattamento (n. 4/2011) dei dati da parte dei liberi professionisti Il trattamento deve essere effettuato unicamente con logiche e mediante forme di organizzazione dei dati strettamente indispensabili in rapporto all incarico conferito dal cliente dei dati a terzi con limitazioni 7 8
Problemi per dati sanitari per professionisti Particolari condizioni per il trattamento: possibilità di comunicazione solo se necessario per finalità di prevenzione, accertamento o repressione dei reati Consenso e informative per il Cloud devono essere molto dettagliate (ove possibile) per non incorrere in responsabilità Problema legge applicabile: nazionale o estera? Legislatore europeo ha stabilito tre regole: 1)Stabilimento titolare (criterio principale): legge del luogo del titolare 2)Luogo dove si trovano gli strumenti utilizzati per il trattamento (se soggetto non EU) 3)Stabilimento responsabile (per le misure di sicurezza) Non rileva nazionalità delle parti e irrilevante dove si trovano i dati Trasferimento dati all estero (art. da 42 a 45 T.U.L.P.) Art. 42. (Trasferimenti all interno dell Unione Europea) Art. 45. E vietato tutto ciò che non è espressamente previsto. Fuori dei casi di cui agli articoli 43 e 44, il trasferimento anche temporaneo fuori del territorio dello Stato, con qualsiasi forma o mezzo, di dati personali oggetto di trattamento, diretto verso un Paese non appartenente all'unione europea, è vietato 9 10 Art. 43. (Trasferimenti consentiti in Paesi terzi) 1. Il trasferimento anche temporaneo fuori del territorio dello Stato, con qualsiasi forma o mezzo, di dati personali oggetto di trattamento, se diretto verso un Paese non appartenente all'unione europea è consentito quando: a) l'interessato ha manifestato il proprio consenso espresso o, se si tratta di dati sensibili, in forma scritta; b) è necessario per l'esecuzione di obblighi derivanti da un contratto del quale è parte l'interessato c) è necessario per la salvaguardia di un interesse pubblico rilevante individuato con legge d) è necessario per la salvaguardia della vita o dell'incolumità fisica di un terzo. e) è necessario ai fini dello svolgimento delle investigazioni difensive f) è effettuato in accoglimento di una richiesta di accesso ai documenti amministrativi g) è necessario, in conformità ai rispettivi codici di deontologia, per esclusivi scopi scientifici o statistici, ovvero per esclusivi scopi storici h) il trattamento concerne dati riguardanti persone giuridiche, enti o associazioni. 11 12
Art. 44. (Altri trasferimenti consentiti) 1. Il trasferimento di dati personali oggetto di trattamento, diretto verso un Paese non appartenente all'unione europea, è altresì consentito quando è autorizzato dal Garante sulla base di adeguate garanzie per i diritti dell'interessato: a) individuate dal Garante; b) individuate dalla Commissione europea che verifica che un Paese non appartenente all'unione europea garantisce un livello di protezione adeguato o che alcune clausole contrattuali offrono garanzie sufficienti Art. 37 T.U.L.P. Notifica del trattamento al Garante: non è necessario normalmente c. 3. La notificazione è effettuata con unico atto anche quando il trattamento comporta il trasferimento all'estero dei dati c. 1. Il titolare notifica al Garante il trattamento di dati personali cui intende procedere, solo se il trattamento riguarda: a) dati genetici, biometrici b) dati idonei a rivelare lo stato di salute e la vita sessuale 13 14 c) dati idonei a rivelare la vita sessuale o la sfera psichica trattati da enti od organismi senza scopo di lucro d) dati sensibili registrati in banche di dati a fini di selezione del personale per conto terzi e) dati trattati con l'ausilio di strumenti elettronici volti a definire il profilo o la personalità dell'interessato f) dati registrati in apposite banche di dati gestite con strumenti elettronici e relative al rischio sulla solvibilità economica, alla situazione patrimoniale, al corretto adempimento di obbligazioni storage provider Dropbox www.dropbox.com Memopal www.memopal.com Mozy www.mozy.ie No Storage via terze parti (Amazon S3) Rispetta la normativa italiana vigente Società con sede in Irlanda; non è chiaro dove siano i server se richiesto dalla legge Dopo 45 gg fine rapporto cancellazione dei dati non chiara (contacting Decho?) dati a terzi Garantisce l anonimato dei dati per # associazione User/Dati dati a terzi con facoltà di opt-out Amministratore di sistema: difficoltà applicative 15 16
storage provider Backblaze www.backblaze.com JungleDisk www.jungledisk.com Google doc Amazon secondo Policy; non è nella lista Possibilità scelta server: incluso Amazon in linea con secondo Policy; sì è nella lista secondo Policy; sì è nella lista dati a terzi File crittografati sul Pc e poi inviati al server Come superare i problemi connessi con la privacy Private Cloud Valutare i dati da rendere disponibili nel Cloud; esigenze per la confidenzialità dei dati Scelta della localizzazione del server e problema della legge applicabile Proprietà dei dati Problema della restituzione dei dati in caso di cessazione del servizio Problema della distruzione dei dati in caso di cessazione del servizio 17 18 Verifiche da effettuare nella scelta del provider: 1. Valutare bene il fornitore e la sua affidabilità 2. Attenzione particolare ai servizi gratuiti 3. Attenzione alle clausole contrattuali 4. Valutare i pericoli che ne possono scaturire; consapevolezza dei rischi 5. Verificare presenza di filiere di cloud providers Vi ringrazio per l attenzione Paolo Luppi pluppi@luppi.it 19 20