cloud computing: aspetti giuridici - ordine ingegneri di cagliari

Download Cloud computing:  aspetti giuridici - Ordine Ingegneri di Cagliari

Post on 18-Jul-2015

127 views

Category:

Education

1 download

Embed Size (px)

TRANSCRIPT

  • Cloud ComputingConcetti, mercato e opportunit

    Cagliari 30 Gennaio 2015

    Ordine degli

    Ingegneri

    della

    Provincia

    di Cagliari

  • Cloud ComputingConcetti, mercato e opportunit

    Ordine degli

    Ingegneri

    della

    Provincia di

    Cagliari

    Massimo Farina Founder del Network

    http://www.diricto.it/

  • Aspetti giuridici nel settore pubblico e privato.

    Impatto normativo, trattamento dei dati personali e contrattualistica MASSIMO FARINA

    http://www.massimofarina.it/ - massimo@massimofarina.it

  • INQUADRAMENTO DEL FENOMENO

    (la fattispecie)

    PRIVATE CLOUD PUBLIC CLOUDHYBRID CLOUD

    IAAS SAAS PAAS

    Aspetti giuridici nel settore pubblico e privato.

    Impatto normativo, trattamento dei dati personali e contrattualistica MASSIMO FARINA

    http://www.massimofarina.it/ - massimo@massimofarina.it

    Solo dopo il corretto inquadramento della fattispecie possibile individuare la relativa disciplina

    IAAS SAAS PAAS

  • Sistematizzazione delle infrastrutture

    Riorganizzazione dei flussi informativi e migliorefruibilit dei dati

    Razionalizzazione dei costi (servizi pi moderni, piefficienti e pi funzionali)

    Aspetti giuridici nel settore pubblico e privato.

    Impatto normativo, trattamento dei dati personali e contrattualistica MASSIMO FARINA

    http://www.massimofarina.it/ - massimo@massimofarina.it

  • Circolazione ultronea (sproporzionata?) dei dati personali

    Esternalizzazione e Delocalizzazione dei sistemi e dei servizi: perdita del controllo diretto ed esclusivo dei dati

    Conservazione dei dati in luoghi geografici differenti

    Aspetti giuridici nel settore pubblico e privato.

    Impatto normativo, trattamento dei dati personali e contrattualistica MASSIMO FARINA

    http://www.massimofarina.it/ - massimo@massimofarina.it

  • I PRINCIPALI ASPETTI GIURIDICI DI INTERESSE

    TUTELA DEI DATI PERSONALI

    CHI TRATTA I DATI?

    COME LI TRATTA?

    DOVE LI TRATTA?

    TUTELA DEI DATI PERSONALI

    Aspetti giuridici nel settore pubblico e privato.

    Impatto normativo, trattamento dei dati personali e contrattualistica MASSIMO FARINA

    http://www.massimofarina.it/ - massimo@massimofarina.it

    INQUADRAMENTO NEGOZIALE

    CHE TIPO DI CONTRATTI SONO?

    CHE DISCIPLINA SI APPLICA?

  • Assenza di norme giuridiche dedicate al cloud computing

    la normativa europea sullaprotezione dei dati personali risale al1995

    In arrivoapprovazione del nuovo RegolamentoEuropeo sulla protezione dei dati chesostituir il Codice della Privacy

    ISO 27018 (agosto 2014). Si tratta di un set

    Aspetti giuridici nel settore pubblico e privato.

    Impatto normativo, trattamento dei dati personali e contrattualistica MASSIMO FARINA

    http://www.massimofarina.it/ - massimo@massimofarina.it

    ISO 27018 (agosto 2014). Si tratta di un setdi regole riferito alla disciplina privacy dettatadalla Direttiva Europea 95/46. realizzato sugli standard ISO 27001 (per lagestione dei rischi dei sistemi IT) e ISO 27002(per stabilire controlli di sicurezza e linee guida)

    Recente introduzione di norme tecniche ISO dedicate al cloud computing

    Cloud Computing:INDICAZIONI PER LUSO

    CONSAPEVOLE DEI SERVIZI

    Cloud Computing:IL VADEMECUM DEL GARANTE

    16 novembre 2011 24 maggio 2012

  • Il trasferimento dei dati allinterno della UE e dei paesi delloSpazio Economico Europeo disciplinato dalle medesime regolepreviste per il trattamento in ambito nazionale

    Nel caso di diverso paese di destinazione??

    necessario verificare che il livello diprotezione dei dati personali siaadeguato a quello vigente in ambito UE

    Nel caso non vi sia giudizio diadeguatezza, affinch iltrasferimento sia consentitooccorre invece fare riferimento

    TRASFERIMENTO IN AMBITO EXTRA UE

    DIVIETO GENERALE DI TRASFERIMENTO DI DATI ALLESTERO

    (artt. 42-45 d.lgs. 196/03)

    Aspetti giuridici nel settore pubblico e privato.

    Impatto normativo, trattamento dei dati personali e contrattualistica MASSIMO FARINA

    http://www.massimofarina.it/ - massimo@massimofarina.it

    Attualmente risultano in questacondizione: Andorra, Argentina,Australia, Canada, Guernsey, Isola diMan, Isole Faroe, Israele, Jersey, NuovaZelanda, Principato di Monaco, Svizzera,Uruguay.Per gli stati uniti si applica laccordo SafeHarbor (art.44, co. 1, lett. b, CdP)

    adeguato a quello vigente in ambito UE occorre invece fare riferimentoa particolari cautele/strumenti

    Ottenere il consenso dallinteressato,salvo

    i casi di esonero, espressamente

    disciplinati

    Adottare modelli contrattuali che vincolano il soggetto ricevente i dati al

    rispetto del livello adeguato di tutela dei dati personali

  • TITOLARETITOLARE

    Fruitore del servizio

    RESPONSABILE RESPONSABILE (ESTERNO)(ESTERNO)

    Cloud Provider

    OSSERVAZIONE: pesso la filiera pi complessa. Tra il fruitore del servizio e il cloud

    Aspetti giuridici nel settore pubblico e privato.

    Impatto normativo, trattamento dei dati personali e contrattualistica MASSIMO FARINA

    http://www.massimofarina.it/ - massimo@massimofarina.it

    OSSERVAZIONE: pesso la filiera pi complessa. Tra il fruitore del servizio e il cloud provider ci sono, uno o pi, intermediari Come inquadrare tutti i soggetti coinvolti?

    LE FIGURE SOGGETTIVE PREVISTE DALLA DISCIPLINA ATTUALMENTE IN VIGORE SONO INADEGUATEPER FENOMENI COMPLESSI COME IL CLOUD

    Lattuale disciplina contempla soltanto il titolare, il contitolare e il responsabile deltrattamento ma questo insufficiente per il cloud

  • Pu capitare che i Cloud Provider (o gliintermediari) abbiano una forza(contrattuale/commerciale) che li sottrae alcontrollo del fruitore (titolare)

    NON SEMPRE IL FRUITORE DEL SERVIZIO CLOUD HA UN RUOLO

    PREMINENTE

    CONSIDERANDO 47 DELLA DIRETTIVA 95/46/CE: TITOLARI (controllers) SUPPLEMENTARI PER LA FORNITURA DEL SERVIZIO DI COMUNICAZIONI ELETTRONICHE

    IN TAL CASO ?????

    (47) considerando che, laddove un messaggio contenente dati personali sia trasmesso tramite un servizio di

    Aspetti giuridici nel settore pubblico e privato.

    Impatto normativo, trattamento dei dati personali e contrattualistica MASSIMO FARINA

    http://www.massimofarina.it/ - massimo@massimofarina.it

    (47) considerando che, laddove un messaggio contenente dati personali sia trasmesso tramite un servizio ditelecomunicazioni o di posta elettronica, finalizzato unicamente alla trasmissione di siffatti messaggi, si considera,di norma, responsabile del trattamento dei dati personali contenuti del messaggio la persona che lo ha emanato enon la persona che presta il servizio di trasmissione; che tuttavia le persone che prestano tali servizi sono dinorma considerate responsabili del trattamento dei dati personali supplementari necessari per ilfunzionamento del servizio(47) Whereas where a message containing personal data is transmitted by means of a telecommunications or electronic mail service,the sole purpose of which is the transmission of such messages, the controller in respect of the personal data contained in themessage will normally be considered to be the person from whom the message originates, rather than the person offering thetransmission services; whereas, nevertheless, those offering such services will normally be considered controllers in respect ofthe processing of the additional personal data necessary for the operation of the service;

  • (d) 'controller' shall mean the natural orlegal person, public authority, agency orany other body which alone or jointly withothers determines the purposes andmeans of the processing of personal data;where the purposes and means ofprocessing are determined by national orCommunity laws or regulations, the

    d) "responsabile del trattamento": la personafisica o giuridica, l'autorit pubblica, il servizioo qualsiasi altro organismo che, da solo oinsieme ad altri, determina le finalit e glistrumenti del trattamento di dati personali.Quando le finalit e i mezzi del trattamentosono determinati da disposizioni legislative oregolamentari nazionali o comunitarie, ilresponsabile del trattamento o i criteri

    Articolo 2 Definizioni (Direttiva 95/46/CE)

    il Titolare codificato il Titolare codificato nella disciplina italiananella disciplina italiana

    Aspetti giuridici nel settore pubblico e privato.

    Impatto normativo, trattamento dei dati personali e contrattualistica MASSIMO FARINA

    http://www.massimofarina.it/ - massimo@massimofarina.it

    Community laws or regulations, thecontroller or the specific criteria for hisnomination may be designated by nationalor Community law;

    (e) 'processor' shall mean a natural or legalperson, public authority, agency or anyother body which processes personal dataon behalf of the controller;

    responsabile del trattamento o i criterispecifici per al sua designazione possonoessere fissati dal diritto nazionale ocomunitario;

    e) "incaricato del trattamento": la personafisica o giuridica, l'autorit pubblica, il servizioo qualsiasi altro organismo che elabora datipersonali per conto del responsabile deltrattamento;

  • MISURE

    MINIME DI

    SICUREZZA

    Il Titolare (Fruitore del servizio cloud) dei dati deveassicurarsi che:siano adottate misure tecniche e organizzative volte a ridurreal minimo i rischi di distruzione o perdita anche accidentaledei dati, di accesso non autorizzato, di trattamento nonconsentito o non conforme alle finalit della raccolta, dimodifica dei dati in conseguenza di interventi non autorizzatio non conformi alle regole.

    MISURE Per i trattamenti eseguiti in cloud, le