Download - Cloud computing: aspetti giuridici - Ordine Ingegneri di Cagliari

Cloud ComputingConcetti, mercato e opportunità

Cagliari 30 Gennaio 2015

Ordine degli

Ingegneri

della

Provincia

di Cagliari

Cloud ComputingConcetti, mercato e opportunità

Ordine degli

Ingegneri

della

Provincia di

Cagliari

Massimo Farina Founder del Network

http://www.diricto.it/

Aspetti giuridici nel settore pubblico e privato.

Impatto normativo, trattamento dei dati personali e contrattualistica MASSIMO FARINA

http://www.massimofarina.it/ - [email protected]

INQUADRAMENTO DEL FENOMENO

(la fattispecie)

PRIVATE CLOUD PUBLIC CLOUDHYBRID CLOUD

IAAS SAAS PAAS




Solo dopo il corretto inquadramento della fattispecie è possibile individuare la relativa disciplina

IAAS SAAS PAAS

�Sistematizzazione delle infrastrutture

�Riorganizzazione dei flussi informativi e migliorefruibilità dei dati

�Razionalizzazione dei costi (servizi più moderni, piùefficienti e più funzionali)




�Circolazione ultronea (sproporzionata?) dei dati personali

�Esternalizzazione e Delocalizzazione dei sistemi e dei servizi: perdita del controllo diretto ed esclusivo dei dati

�Conservazione dei dati in luoghi geografici differenti




I PRINCIPALI ASPETTI GIURIDICI DI INTERESSE

TUTELA DEI DATI PERSONALI

CHI TRATTA I DATI?

COME LI TRATTA?

DOVE LI TRATTA?

TUTELA DEI DATI PERSONALI




INQUADRAMENTO NEGOZIALE

CHE TIPO DI CONTRATTI SONO?

CHE DISCIPLINA SI APPLICA?

Assenza di norme giuridiche dedicate al cloud computing

la normativa europea sullaprotezione dei dati personali risale al1995

In arrivoapprovazione del nuovo RegolamentoEuropeo sulla protezione dei dati chesostituirà il Codice della Privacy

ISO 27018 (agosto 2014). Si tratta di un set




ISO 27018 (agosto 2014). Si tratta di un setdi regole riferito alla disciplina privacy dettatadalla Direttiva Europea 95/46.È realizzato sugli standard ISO 27001 (per lagestione dei rischi dei sistemi IT) e ISO 27002(per stabilire controlli di sicurezza e linee guida)

Recente introduzione di norme tecniche ISO dedicate al cloud computing

Cloud Computing:INDICAZIONI PER L’USO

CONSAPEVOLE DEI SERVIZI

Cloud Computing:IL VADEMECUM DEL GARANTE

16 novembre 2011 24 maggio 2012

Il trasferimento dei dati all’interno della UE e dei paesi dello“Spazio Economico Europeo” è disciplinato dalle medesime regolepreviste per il trattamento in ambito nazionale

Nel caso di diverso paese di destinazione??

È necessario verificare che il livello diprotezione dei dati personali siaadeguato a quello vigente in ambito UE

Nel caso non vi sia giudizio diadeguatezza, affinché iltrasferimento sia consentitooccorre invece fare riferimento

TRASFERIMENTO IN AMBITO EXTRA UE

DIVIETO GENERALE DI TRASFERIMENTO DI DATI ALL’ESTERO

(artt. 42-45 d.lgs. 196/03)




Attualmente risultano in questacondizione: Andorra, Argentina,Australia, Canada, Guernsey, Isola diMan, Isole Faroe, Israele, Jersey, NuovaZelanda, Principato di Monaco, Svizzera,Uruguay.Per gli stati uniti si applica l’accordo SafeHarbor (art.44, co. 1, lett. b, CdP)

adeguato a quello vigente in ambito UE occorre invece fare riferimentoa particolari cautele/strumenti

Ottenere il consenso dall’interessato,salvo

i casi di esonero, espressamente

disciplinati

Adottare modelli contrattuali che vincolano il soggetto ricevente i dati al

rispetto del livello adeguato di tutela dei dati personali

TITOLARETITOLARE

Fruitore del servizio

RESPONSABILE RESPONSABILE (ESTERNO)(ESTERNO)

Cloud Provider

OSSERVAZIONE: pesso la filiera è più complessa. Tra il fruitore del servizio e il cloud




OSSERVAZIONE: pesso la filiera è più complessa. Tra il fruitore del servizio e il cloud provider ci sono, uno o più, intermediari � Come inquadrare tutti i soggetti coinvolti?

LE FIGURE SOGGETTIVE PREVISTE DALLA DISCIPLINA ATTUALMENT E IN VIGORE SONO INADEGUATEPER FENOMENI COMPLESSI COME IL CLOUD

L’attuale disciplina contempla soltanto il titolare, il co ntitolare e il responsabile deltrattamento �� ma questo è insufficiente per il cloud

Può capitare che i Cloud Provider (o gliintermediari) abbiano una forza(contrattuale/commerciale) che li sottrae alcontrollo del fruitore (titolare)

NON SEMPRE IL FRUITORE DEL SERVIZIO CLOUD HA UN RUOLO

PREMINENTE

CONSIDERANDO 47 DELLA DIRETTIVA 95/46/CE: TITOLARI (controllers) SUPPLEMENTARI PER LA FORNITURA DEL SERVIZIO DI COMUNICAZIONI ELETTRONICH E

IN TAL CASO ?????

(47) considerando che, laddove un messaggio contenente dati personali sia trasmesso tramite un servizio di




(47) considerando che, laddove un messaggio contenente dati personali sia trasmesso tramite un servizio ditelecomunicazioni o di posta elettronica, finalizzato unicamente alla trasmissione di siffatti messaggi, si considera,di norma, responsabile del trattamento dei dati personali contenuti del messaggio la persona che lo ha emanato enon la persona che presta il servizio di trasmissione; che tuttavia le persone che prestano tali servizi sono dinorma considerate responsabili del trattamento dei dati personali supplemen tari necessari per ilfunzionamento del servizio

(47) Whereas where a message containing personal data is transmitted by means of a telecommunications or electronic mail service,the sole purpose of which is the transmission of such messages, the controller in respect of the personal data contained in themessage will normally be considered to be the person from whom the message originates, rather than the person offering thetransmission services; whereas, nevertheless, those offering such services will normally be considered controllers in respect ofthe processing of the additional personal data necessary for the operation of the service;

(d) 'controller' shall mean the natural orlegal person, public authority, agency orany other body which alone or jointly withothers determines the purposes andmeans of the processing of personal data;where the purposes and means ofprocessing are determined by national orCommunity laws or regulations, the

d) "responsabile del trattamento": la personafisica o giuridica, l'autorità pubblica, il servizioo qualsiasi altro organismo che, da solo oinsieme ad altri, determina le finalità e glistrumenti del trattamento di dati personali.Quando le finalità e i mezzi del trattamentosono determinati da disposizioni legislative oregolamentari nazionali o comunitarie, ilresponsabile del trattamento o i criteri

Articolo 2 – Definizioni (Direttiva 95/46/CE)

È il Titolare codificato È il Titolare codificato nella disciplina italiananella disciplina italiana




Community laws or regulations, thecontroller or the specific criteria for hisnomination may be designated by nationalor Community law;

(e) 'processor' shall mean a natural or legalperson, public authority, agency or anyother body which processes personal dataon behalf of the controller;

responsabile del trattamento o i criterispecifici per al sua designazione possonoessere fissati dal diritto nazionale ocomunitario;

e) "incaricato del trattamento": la personafisica o giuridica, l'autorità pubblica, il servizioo qualsiasi altro organismo che elabora datipersonali per conto del responsabile deltrattamento;

MISURE

MINIME DI

SICUREZZA

�Il Titolare (Fruitore del servizio cloud) dei dati deveassicurarsi che:siano adottate misure tecniche e organizzative volte a ridurreal minimo i rischi di distruzione o perdita anche accidentaledei dati, di accesso non autorizzato, di trattamento nonconsentito o non conforme alle finalità della raccolta, dimodifica dei dati in conseguenza di interventi non autorizzatio non conformi alle regole.

MISURE Per i trattamenti eseguiti in cloud, le misure devono essere




•Il cliente (cd. interessato) dovrebbe,ad esempio, accertarsi che i dati siano sempre “disponibili”(che si possa cioè sempre accedere ai dati) e “riservati” (chel’accesso cioè sia consentito solo a chi ne ha diritto).

MISURE

IDONEE DI

SICUREZZA

Per i trattamenti eseguiti in cloud, le misure devono essereadottate dal Cloud Provider (Responsabile esterno deltrattamento – art. 29 D.lgs. 196/03)

Art. 13 L'interessato o la persona presso la quale sono raccoltii dati personali sono previamente informati oralmente o periscritto circa:a) le finalità e le modalità del trattamento cui sono destinati idati;b) la natura obbligatoria o facoltativa del conferimento deidati;c) le conseguenze di un eventuale rifiuto di rispondere;d) i soggetti o le categorie di soggetti ai quali i dati personalipossono essere comunicati o che possono venirne aconoscenza in qualità di responsabili o incaricati, e l'ambito

INFORMATIVA




conoscenza in qualità di responsabili o incaricati, e l'ambitodi diffusione dei dati medesimi;e) i diritti di cui all'articolo 7;

Art. 161: La violazione delle disposizioni di cui all'articolo 13 èpunita con la sanzione amministrativa del pagamento di unasomma da seimila euro a trentaseimila euro.

Quale schema negoziale adottano le parti del Cloud ?

I contratti più ricorrenti

Contratto di licenza Software

Contratto di sviluppo Software

Contratto di fornitura Hardware

Hosting Housing




più ricorrenti sviluppo Software

Contratto di assistenza e

manutenzione

Hardware

I contratti più ricorrenti

LOCAZIONE(art. 1571 s.s. c.c.)

APPALTO(ART. 1655 ss c.c.)

VENDITA

(art. 1470 s.s. c.c.)

Quale schema negoziale adottano le parti del Cloud?




più ricorrenti (ART. 1655 ss c.c.)

CONTRATTOD’OPERA

(ART. 2222 ss c.c.)

(art. 1470 s.s. c.c.)

Rievoca il fenomeno della“esternalizzazione”, ossia quel processo invirtù del quale alcune attività produttive diuna impresa sono affidate a terzi ed in talmodo portate al di fuori dell’azienda stessa(= esternalizzate)

È un modello possibile?




(= esternalizzate)

…..perché l’outsourcing non è un modello contrattuale tipico ma formato da una pluralità di fattispecie eterogenee, tra le quali l’appalto di servizi

Ma questo non risolve il problema

Cloud Computing vs Outsourcing

Il contratto di outsourcing realizzanon solamente un’esternalizzazionedelle risorse strutturali ma anche dellec.d. risorse umane;

Il contratto di Pubblic cloudcomputing è connotato da unoschema di erogazione “uno a molti” ,dove i contratti sono per lo piùstandardizzati e destinate adun’ampia platea di soggetti;




un’ampia platea di soggetti;

Esternalizzazione delle risorse umane

non è così per il contratto di cloudcomputing , che realizzaesclusivamente un’esternalizzazionedelle risorse strutturali

non è così per i contratti dioutsourcing nei quali il rapporto èfiduciario e “uno a uno”.

Intuitu personae (rapporto fiduciario)

1. Inquadramento delle singole fattispecie al fine di identificare la disciplina

applicabile;

2. Più discipline concorrenti (necessità di coordinamento)

3. Complessità soggettiva (più soggetti coinvolti su differenti contratti

collegati)

PRINCIPALI PROBELMATICHEper i contratti del Cloud




Art. 1322, II comma, c.c. - Autonomiacontrattuale“[…] Le parti possono anche concluderecontratti che non appartengano ai tipiaventi una disciplina particolare, purchésiano diretti a realizzare interessimeritevoli di tutela secondol’ordinamento giuridico ”

Art. 1372 c.c. - Efficacia del contratto

“ Il contratto ha forza di legge tra leparti […] ”

Che tipo di contratto è? TIPICO O ATIPICO?

Quale disciplina si applica???

È sempre bene che le parti prevedano ogni minimo de ttaglio nel contratto

�Luogo in cui si trova il cloud providerIndagine

preliminare su




�Luogo in cui si trova l’infrastruttura

�Presenza di altri soggetti (intermediari) tra cloud provider e cliente eluogo di ubicazione degli intermediari e delle loro infrast rutture

�Luogo in cui risiedono fisicamente i dati

�Metodo di raccolta e trattamento dei dati del clienti e dei su oi

�Sorte dei dati dopo la cessazione del rapporto contrattuale

preliminare su

�Soggetto che tratta i dati?

�Luogo di trattamento dei dati?

Soggetto del Cloud e Luogo del Cloud

Con il Cloud Computing non è

sempre chiaro chi sono i soggetti

che trattano i dati e dove.

Tuttavia, tramite il contratto è

possibile delimitare il perimetro

con apposite clausole contrattuali

CORRETTIVI




�divieto esplicito di subappato / subfornitura / subcontratto; (art.1656 c.c)

�divieto esplicito di cessione

�indicazione geografica dei server

�legge applicabile, foro competente

CORRETTIVI

Sicurezza InformaticaAnche nel cloud computing è necessario

assicurare l'integrità, la riservatezza e la disponibilità del dato trattato

CORRETTIVI

Soggetto del Cloud e Luogo del Cloud




�Disciplinare l'adozione di misure di sicurezze idonee mediante allegati,prevedendo l'utilizzo di canali crittografati;

�Risoluzione per inadempimento in caso di mancato rispetto di standard disicurezza;

�Eventuali penali (art. 1382 c.c.).

Interoperabilità;Cancellazione/distruzione dei dati;Restituzione su determinato supporto/formato;

VINCOLI SOGGETTIVI (Lock-in) E

CLAUSOLE WAY-OUT




Clausole Way-Out

CORRETTIVO

Divieto di cessione

Localizzazione dei Server

Divieto di subappalto

Legge applicabile




Legge applicabile

Foro Competente

Misure di sicurezza (risoluzione e penali per il ma ncato adeguamento)

Lock-in e way out (garanzia d’uscita e di distruzio ne del dato)

“Il Fornitore dichiara espressamente di trattare i dati personali di soggetti terzi che le verranno

comunicati nell'adempimento del Contratto come previsto dalla attuale normativa in materia di

Privacy.

Il Fornitore dichiara inoltre di adottare misure di sicurezza idonee in relazione alle

conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche

caratteristiche del trattamento, in modo da ridurre al minimo i rischi di distruzione o perdita,

anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o

non conforme alle finalità della raccolta.




Il Fornitore, in qualsivoglia momento, farà sottoporre gli elaboratori utilizzati per il

trattamento dei dati personali, su richiesta del Titolare, a verifiche da parte di quest'ultima e/o

da soggetti dalla stessa delegati e/o di un organismo ispettivo composto da soggetti

indipendenti, in possesso delle necessarie qualificazioni professionali, vincolati da obbligo di

riservatezza e selezionati dall’esportatore, eventualmente di concerto con l’autorità di controllo,

al fine di verificare l'effettiva l'adozione delle misure di sicurezza di cui all'articolo precedente”.

Aspetti principali dello standard ISO 27018 (1/2)

• l’interessato deve avere la possibilità di esercitare i propri diritti nei confronti del Titolare,anche se i suoi dati sono trattati da un responsabile esterno (cloud provider) e in unanuvola informatica. Lo standard obbliga il fornitore ad offrire al Titolare del trattamento,suo cliente, dei tools appropriati che assicurino l’esercizio dei diritti da parte dei soggetti cui idati si riferiscono.

• il trattamento è esattamente rispondente a quanto indicato nella policy (informativa) resanota all’acquirente dei servizi fin dall’inizio, con esplicita previsione che, nel caso un




nota all’acquirente dei servizi fin dall’inizio, con esplicita previsione che, nel caso unmutamento di mezzi si rendesse necessario per ragioni tecniche, il cliente ne siaprontamente informato e abbia la facoltà di opporsi oppure uscire dal contratto.

• i dati personali in cloud non sono trattati per ragioni di marketing diretto o pubblicitarie, ameno che non vi sia l’esplicito consenso dell’interessato, ma in ogni caso ciò non può maicostituire una precondizione posta dal fornitore al cliente per la fornitura del servizio.

Aspetti principali dello standard ISO 27018

• i clienti hanno il diritto, fin da subito di conoscere i nomi degli eventuali sub-processors(intermediari del cloud provider), e il luogo di stabilimento degli stessi, con diritto di opporsiad eventuali modifiche nella catena dei subfornitori, ovvero dei paesi di loro stabilimento.Può anche essere prevista l’opzione di risolvere il contratto a fronte di tali mutamenti.

• i clienti hanno diritto di ricevere notizia tempestiva delle violazioni di dati personali (databreaches), al fine di poter a loro volta darne notizia alle autorità di controllo (e agliinteressati) nei tempi previsti dalla legge.




• siano disciplinate le modalità di restituzione dei dati personali al cliente una voltaterminato il contratto (cd. transfer back).

• i suoi servizi siano soggetti a verifiche periodiche di conformità agli standard di sicurezza, dicui sia fornita evidenza ai clienti.

• tutto il suo personale addetto al trattamento di dati personali sia vincolato da patti diriservatezza (non disclosure agreements) e riceva adeguata formazione.

Grazie per l’attenzioneGrazie per l’attenzioneGrazie per l’attenzioneGrazie per l’attenzioneMassimo Farina

http://www.massimofarina.ithttp://www.diricto.it/

http://ict4forensics.diee.unica.it/




MUOVERSI NELLA JUNGLA DEI CONTRATTI DEL SOFTWAREMUOVERSI NELLA JUNGLA DEI CONTRATTI DEL SOFTWAREMUOVERSI NELLA JUNGLA DEI CONTRATTI DEL SOFTWAREMUOVERSI NELLA JUNGLA DEI CONTRATTI DEL SOFTWARE

di Massimo Farina

http://www.diricto.it/ http://ict4forensics.diee.unica.it/ [email protected]

Attribuzione - Non Commerciale - Condividi allo stesso modo 3.0

o Tu sei libero:

• di riprodurre, distribuire, comunicare al pubblico, esporre in pubblico, rappresentare, eseguire orecitare l'opera;

• di modificare quest’opera;

• Alle seguenti condizioni:� Attribuzione. Devi attribuire la paternità dell’opera nei modi indicati dall’autore o da chi

ti ha dato l’opera in licenza e in modo tale da non suggerire che essi avallino te o il modo in

Licenza




ti ha dato l’opera in licenza e in modo tale da non suggerire che essi avallino te o il modo incui tu usi l’opera.

� Non commerciale. Non puoi usare quest’opera per fini commerciali.� Condividi allo stesso modo. Se alteri, trasformi quest’opera, o se la usi per crearne

un’altra, puoi distribuire l’opera risultante solo con una licenza identica o equivalente aquesta.

o In occasione di ogni atto di riutilizzazione o distribuzione, devi chiarire agli altri i termini della licenzadi quest’opera.

o Se ottieni il permesso dal titolare del diritto d'autore, è possibile rinunciare ad ognuna di questecondizioni.

o Le tue utilizzazioni libere e gli altri diritti non sono in nessun modo limitati da quanto sopra

Download - Cloud computing: aspetti giuridici - Ordine Ingegneri di Cagliari

Top Related